13 maja 2022 roku Rada Unii Europejskiej i Parlament Europejski osiągnęły wstępne porozumienie dotyczące nowej wersji przepisów o cyberbezpieczeństwie – Dyrektywy NIS 2. Celem nowej regulacji jest podniesienie poziomu bezpieczeństwa sieci i systemów informatycznych w całej UE, zwiększenie odporności na zagrożenia oraz poprawa zdolności reagowania na incydenty w sektorze publicznym, prywatnym i na poziomie unijnym.
Po formalnym przyjęciu, NIS 2 zastąpi obowiązującą od 2016 roku dyrektywę NIS, która była fundamentem m.in. dla polskiej Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UoKSC).
Wzmocnione zarządzanie ryzykiem, reagowanie na incydenty i współpraca pomiędzy panstwami członkowskimi
Dyrektywa NIS 2 wprowadza wspólne zasady dla zarządzania ryzykiem i obowiązków sprawozdawczych we wszystkich sektorach objętych przepisami – od energii i transportu, przez ochronę zdrowia, po infrastrukturę cyfrową.
Główne cele nowelizacji to:
- Usunięcie rozbieżności w wymaganiach i praktykach cyberbezpieczeństwa między państwami członkowskimi.
- Ustanowienie minimalnych zasad dla ram regulacyjnych oraz mechanizmów skutecznej współpracy między właściwymi organami krajowymi.
- Aktualizacja listy sektorów i działalności objętych obowiązkami w zakresie cyberbezpieczeństwa.
- Wprowadzenie sankcji i środków egzekwowania prawa dla zapewnienia zgodności.
Nowa dyrektywa formalnie powoła European Cyber Crises Liaison Organisation Network (EU-CyCLONe) – sieć do koordynacji zarządzania incydentami cyberbezpieczeństwa na dużą skalę w całej UE.
Rozszerzenie zakresu stosowania przepisów
W przeciwieństwie do pierwotnej dyrektywy NIS, w której państwa członkowskie samodzielnie ustalały listę operatorów usług kluczowych, NIS 2 wprowadza tzw. zasadę progu wielkości (size-cap rule).
Oznacza to, że wszystkie średnie i duże przedsiębiorstwa działające w sektorach objętych dyrektywą automatycznie znajdą się w jej zakresie.
Wstępne porozumienie utrzymuje tę zasadę, ale zawiera dodatkowe postanowienia zapewniające:
- proporcjonalność wymogów,
- wyższy poziom zarządzania ryzykiem,
- jasne kryteria krytyczności dla określania podmiotów objętych przepisami.
Dyrektywa nie będzie obejmować podmiotów działających w obszarach obronności, bezpieczeństwa narodowego, bezpieczeństwa publicznego, organów ścigania i wymiaru sprawiedliwości. Poza zakresem znajdą się również parlamenty oraz banki centralne.
Ważnym novum jest objęcie administracji publicznej na szczeblu centralnym i regionalnym, a państwa członkowskie mogą także zdecydować o rozszerzeniu przepisów na poziom lokalny.
Inne zmiany uzgodnione przez współprawodawców
- Spójność z innymi regulacjami – tekst został dostosowany do przepisów sektorowych, m.in. rozporządzenia DORA (odporność cyfrowa sektora finansowego) i dyrektywy CER (odporność podmiotów krytycznych).
- Mechanizm dobrowolnego uczenia się między państwami – ma zwiększać zaufanie i wymianę dobrych praktyk.
- Uproszczenie obowiązków raportowych – aby uniknąć nadmiernego obciążenia przedsiębiorstw i zjawiska tzw. over-reportingu.
Państwa członkowskie będą miały 21 miesięcy od wejścia w życie dyrektywy na wprowadzenie jej postanowień do prawa krajowego.
NIS 2 - następne kroki
Porozumienie z 13 maja 2022 r. wymaga jeszcze formalnego zatwierdzenia przez Radę UE i Parlament Europejski. Po stronie Rady francuska prezydencja zapowiedziała szybkie skierowanie dokumentu do Komitetu Stałych Przedstawicieli w celu przyjęcia.
Wstępne porozumienie w sprawie Dyrektywy NIS 2 z 13 maja 2022 r. jest jednym z ważniejszych momentów w procesie aktualizacji europejskich regulacji cyberbezpieczeństwa. Rozszerzenie zakresu podmiotów, wzmocnienie wymogów i wprowadzenie nowych mechanizmów współpracy oznacza, że polska Ustawa o krajowym systemie cyberbezpieczeństwa będzie musiała zostać ponownie znowelizowana, a organizacje – zarówno publiczne, jak i prywatne – przygotować się na bardziej rygorystyczne wymagania.
