Dyrektywa NIS2 – obowiązki i zasady postępowania zakwalifikowanych podmiotów

Dyrektywa NIS2 – obowiązki i zasady postępowania zakwalifikowanych podmiotów

W naszym wcześniejszym artykule na blogu pokazaliśmy, jak sprawdzić, czy Twoja firma kwalifikuje się do objęcia dyrektywą NIS2. Jeśli okazało się, że spełniasz wymagania, czas dowiedzieć się, co to oznacza w praktyce. Dyrektywa NIS2 nakłada na firmy konkretne obowiązki, które mają wzmocnić ich odporność na cyberzagrożenia i zapewnić bezpieczeństwo cyfrowe w całej Europie. W tym artykule opiszemy nie tylko, jakie kroki należy podjąć, aby spełnić nowe wymogi i jak reagować w przypadku wystąpienia incydentu, ale także jakie kary mogą grozić za nieprzestrzeganie nowych przepisów. Dowiesz się, jak przygotować firmę na nowe regulacje, by odpowiednio zadbać o ciągłość i bezpieczeństwo swojej działalności.

Kto sprawdza przedsiębiorstwo?

To na przedsiębiorcy spoczywa obowiązek samodzielnej analizy, czy jego wielkość oraz świadczone usługi sprawiają, że podlega dyrektywie NIS2. Jest to mechanizm samoidentyfikacji. Jeżeli tak jest i zakwalifikujesz siebie jako podmiot ważny albo kluczowy, musisz się zarejestrować w rejestrze podmiotów kluczowych i ważnych prowadzonym przez właściwe organy krajowe. Podmioty ważne oraz podmioty kluczowe mają obowiązek przekazać drogą elektroniczną wniosek o wpis do wykazu prowadzonego przez ministra cyfryzacji w terminie określonym przez tego ministra.

Obowiązki przedsiębiorstw objętych NIS2:

Prawodawca unijny nie skonkretyzował środków dla każdej grupy podmiotów, ale wprowadził pewną elastyczność, co oznacza wdrożenie odpowiednich/proporcjonalnych środków zarządzania ryzykiem w cyberbezpieczeństwie uwzględniające:

  • poziom ryzyka;
  • wielkość podmiotu;
  • prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze.

W ramach obowiązku wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie, dyrektywa NIS2 zobowiązuje podmioty do zapewnienia co najmniej:

Przedsiębiorca ma obowiązek zgłaszać osoby lub organy zarządzające w firmie, które zatwierdzają środki zarządzania ryzykiem w cyberbezpieczeństwie, nadzorują ich wdrażanie i ponoszą odpowiedzialność za ewentualne naruszenia dyrektywy NIS2.

Te osoby lub organy powinny odbywać regularne szkolenia, które pozwolą im zdobyć wiedzę wystarczającą do prawidłowego rozpoznania i oceny praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływu na usługi świadczone przez firmę.

Osoby lub organy zarządzające w firmie powinny oferować podobne szkolenia pracownikom (ale nie mają takiego obowiązku).

Zgłaszanie incydentów

Przedsiębiorca ma obowiązek:

  1. zgłosić bez zbędnej zwłoki właściwemu Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego – CSIRT lub innemu organowi właściwemu (który zostanie określony w ustawie wdrażającej dyrektywę NIS2) incydent mający istotny wpływ na świadczenie przez nie usług (poważny incydent);
  2. zgłosić informacje umożliwiające ustalenie transgranicznego wpływu incydentu;
  3. powiadomić odbiorców usług o poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie usług, z których korzystają;
  4. poinformować odbiorców usług, których potencjalnie dotyczy poważne cyberzagrożenie, o środkach zaradczych i innych środkach, które ci odbiorcy mogą zastosować w reakcji na to zagrożenie; w stosownych wypadkach również należy ich poinformować o samym poważnym cyberzagrożeniu.

Dostawca usług zaufania zgłasza poważne incydenty CSIRT (Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego) lub w stosownych przypadkach właściwemu organowi, bez zbędnej zwłoki, maksymalnie w ciągu 24 godzin od pozyskania informacji o takim poważnym incydencie.

Na wniosek CSIRT lub jeżeli ma to zastosowanie, właściwego organu – podmiot składa:

  • sprawozdanie okresowe na temat aktualizacji statusu zgłoszonego incydentu;
  • sprawozdanie końcowe – nie później niż miesiąc po zgłoszeniu incydentu (dokonanego w ciągu 72 godzin).

Jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, podmioty przedstawiają w tym momencie sprawozdanie z postępu prac, a sprawozdanie końcowe – w ciągu miesiąca od zakończenia przez nich obsługi incydentu.

Jeżeli poważny incydent dotyczy co najmniej dwóch państw członkowskich UE, CSIRT, właściwy organ lub pojedynczy punkt kontaktowy bez zbędnej zwłoki informują o tym poważnym incydencie pozostałe państwa członkowskie, których on dotyczy, a także ENISA (Agencję Unii Europejskiej ds. Cyberbezpieczeństwa).

Po otrzymaniu wczesnego ostrzeżenia CSIRT lub właściwy organ odpowiada podmiotowi zgłaszającemu, w tym:

  • przekazuje mu wstępne informacje zwrotne na temat poważnego incydentu;
  • przekazuje mu wytyczne lub porady operacyjne dotyczące możliwych środków ograniczających ryzyko (na wniosek podmiotu);
  • zapewnia dodatkowe wsparcie techniczne (na wniosek podmiotu).

Jeśli poważny incydent miał cechy przestępstwa, CSIRT lub właściwy organ informują również organy ścigania.

Na wniosek CSIRT lub właściwego organu pojedynczy punkt kontaktowy przekazuje zgłoszenia incydentów transgranicznych lub międzysektorowych pojedynczym punktom kontaktowym w innych państwach członkowskich, których dotyczy incydent.

Niektóre kategorie podmiotów (między innymi dostawcy usług DNS, rejestrów nazw TLD, usług chmurowych) zostaną objęte aktami wykonawczymi doprecyzowującymi incydenty poważne w ich zakresie.

W przypadku stwierdzenia niezgodności środków wdrożonych z wymaganiami dyrektywy, podmiot zobowiązany będzie do niezwłocznego zastosowania środków naprawczych.

Kary za nieprzestrzeganie wytycznych dyrektywy NIS2

Dyrektywa NIS2 wyraźnie określa konsekwencje finansowe za nieprzestrzeganie jej wytycznych. W przypadku podmiotów kluczowych, brak wdrożenia odpowiednich środków zarządzania ryzykiem lub niezgłoszenie incydentu skutkować może nałożeniem kary administracyjnej sięgającej aż 10 milionów euro lub 2% rocznego obrotu firmy, zależnie od tego, która z tych kwot będzie wyższa.

Dla podmiotów ważnych ustalono nieco łagodniejsze, choć nadal znaczące sankcje — w ich przypadku grzywna może wynieść do 7 milionów euro lub 1,4% rocznego obrotu, także wybierana według wyżej wspomnianej zasady.

Dodatkowo, w przypadkach poważnych naruszeń, dyrektywa przewiduje okresowe kary pieniężne, mające na celu skłonienie organizacji do wprowadzenia środków zgodnych z przepisami.

Dobrowolne zgłaszanie ważnych informacji

Zgłoszenia do CSIRT lub właściwych organów mogą dobrowolnie przekazywać:

  • podmioty kluczowe i ważne w przypadku incydentów, cyberzagrożeń i potencjalnych zdarzeń dla cyberbezpieczeństwa;
  • inne podmioty, niezależnie od tego, czy są objęte NIS2, w odniesieniu do poważnych incydentów, cyberzagrożeń oraz potencjalnych zdarzeń dla cyberbezpieczeństwa.

Dobrowolne zgłoszenia są rozpatrywane w taki sam sposób jak obowiązkowe zgłoszenia incydentów poważnych, przy czym zgłoszenia obowiązkowe mogą być traktowane priorytetowo.

W razie potrzeby zgłoszenia są przekazywane do pojedynczych punktów kontaktowych, z zachowaniem poufności i ochrony informacji przekazanych przez zgłaszającego.
Zgłoszenie nie nakłada dodatkowych obowiązków na zgłaszającego.

Treść całej dyrektywy NIS2 znajdziesz tutaj https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555.

Dostosowanie się do wymagań dyrektywy NIS2 jest kluczowe, by nie tylko spełnić nowe normy prawne, ale także realnie zwiększyć odporność firmy na cyberzagrożenia i zadbać o bezpieczeństwo cyfrowe wszystkich jej usług i danych. Wprowadzenie odpowiednich środków zarządzania ryzykiem i gotowość do reagowania na incydenty to zadanie, które może wydawać się wymagające, ale stanowi niezbędny krok do ochrony działalności oraz zaufania klientów.

Jeśli masz jakiekolwiek pytania dotyczące wymogów NIS2 lub potrzebujesz wsparcia w opracowaniu procedur bezpieczeństwa, zapraszamy do kontaktu https://konwerga.pl/kontakt/. Nasi specjaliści pomogą Ci wdrożyć rozwiązania dostosowane do Twoich potrzeb, abyś mógł spełnić obowiązki wynikające z nowych przepisów i chronić swoją firmę przed cyberzagrożeniami.