16 grudnia 2020 – Komisja Europejska publikuje projekt Dyrektywy NIS 2. Co się zmieni?

Komisja Europejska publikuje projekt Dyrektywy NIS 2. Co się zmieni?

Opublikowano: 16 grudnia 2020 | Autor: Zespół Trecom

Dyrektywa NIS (Network and Information Security Directive) z 2016 roku była pierwszym unijnym aktem prawnym regulującym kwestie cyberbezpieczeństwa. Jednak dynamiczny rozwój technologii, rosnąca liczba cyberataków oraz zróżnicowany poziom wdrożenia przepisów w państwach członkowskich doprowadziły do potrzeby jej aktualizacji.
16 grudnia 2020 roku Komisja Europejska opublikowała projekt nowelizacji – Dyrektywy NIS 2, która miała wzmocnić pierwotne przepisy i dostosować je do realiów cyfrowych lat 2020+.

Dlaczego potrzebna była nowelizacja Dyrektywy NIS?

Choć Ustawa o krajowym systemie cyberbezpieczeństwa (UoKSC) wprowadziła w Polsce wiele istotnych obowiązków dla operatorów usług kluczowych, praktyka pokazała, że istnieją obszary wymagające poprawy. Komisja Europejska wskazała na kilka kluczowych problemów:

Niespójne wdrożenie przepisów w państwach członkowskich, co prowadziło do różnic w poziomie ochrony.
Nowe zagrożenia cybernetyczne, m.in. znaczący wzrost liczby ataków ransomware na sektor zdrowia i energetyki.
Rozszerzenie cyfryzacji gospodarki, obejmujące kolejne branże nieobjęte wcześniej regulacjami.
Odmiejscowienie pracy – znaczny wzrost liczby pracowników zdalnych oraz wzrost popularności modelu bring your own device (BYOD).
Zwiększenie skali łańcuchów dostaw, które stały się celem złożonych ataków.

Grafika - Dlaczego potrzebna była nowelizacja NIS? – Powody wprowadzenia NIS 2 (2020) - Trecom, Baza Wiedzy NIS 2

Kluczowe założenia Dyrektywy NIS 2

Projekt NIS 2 opublikowany 16 grudnia 2020 r. przewidywał istotne zmiany w porównaniu do pierwotnej wersji dyrektywy NIS:

Rozszerzenie katalogu podmiotów objętych regulacjami
1. Oprócz operatorów usług kluczowych i dostawców usług cyfrowych, do grona zobowiązanych miały dołączyć średnie i duże przedsiębiorstwa w wielu sektorach gospodarki.
Zaostrzenie wymogów bezpieczeństwa
1. Wdrożenie szczegółowych środków technicznych i organizacyjnych w obszarach takich jak zarządzanie ryzykiem, reakcja na incydenty, bezpieczeństwo łańcucha dostaw.
Surowsze sankcje
1. Propozycja wprowadzenia wysokich kar finansowych za naruszenie przepisów – zbliżonych do mechanizmów znanych z RODO.
Lepsza koordynacja na poziomie UE
1. Wzmocnienie roli Grupy Współpracy NIS oraz CSIRT Network w wymianie informacji o zagrożeniach.

Grafika - Kluczowe założenia Dyrektywy NIS 2 (2020) - Trecom, Baza Wiedzy NIS 2

Wpływ na polską UoKSC

Publikacja projektu NIS 2 uruchomiła w Polsce proces analiz i konsultacji, których efektem była potrzeba nowelizacji Ustawy o krajowym systemie cyberbezpieczeństwa.
Zmiany przewidziane w NIS 2 oznaczały m.in.:

rozszerzenie listy operatorów usług kluczowych,
obowiązek raportowania większej liczby incydentów,
podniesienie standardów bezpieczeństwa w sektorach dotychczas mniej regulowanych.

Znaczenie dyrektywny NIS 2 dla firm i instytucji

Dla polskich organizacji publikacja projektu NIS 2 była sygnałem, że nadchodzą większe obowiązki i potencjalne koszty związane z dostosowaniem infrastruktury IT. W praktyce oznaczało to:

konieczność przeprowadzenia audytów zgodności z nowymi wymogami,
aktualizację procedur reagowania na incydenty,
inwestycje w narzędzia monitorowania i zarządzania bezpieczeństwem.

16 grudnia 2020 roku był punktem zwrotnym w europejskim podejściu do cyberbezpieczeństwa. Publikacja projektu Dyrektywy NIS 2 zapoczątkowała proces, który znacząco wzmocnił regulacje wynikające z pierwszej dyrektywy NIS i dostosował je do współczesnych realiów. Dla Polski oznaczało to konieczność aktualizacji UoKSC i przygotowania przedsiębiorstw oraz instytucji do bardziej rygorystycznych wymogów.