Celem podniesienia poziomu cyberbezpieczeństwa Rada Europy zdecydowała się na opracowanie i wdrożenie dwóch nowych regulacji: NIS2 będącą rozszerzeniem regulacji NIS oraz DORA ze szczególnym uwzględnieniem sektora finansowego. Czasu na wdrożenie obu regulacji nie pozostaje dużo, bo NIS2 musi zostać wdrożona do października 2024, a termin wdrożenia DORA upływa 17 stycznia 2025 roku. Nie są gotowe również polskie ustawy wdrażające niniejsze regulacje. Oceniając zakres koniecznych prac do wdrożenia wspomnianych ustaw warto już (dopiero?) teraz zająć się ich przygotowaniem zanim będzie za późno.

W niniejszym opracowaniu nie będziemy starać się wchodzić w szczegóły wdrożenia samej ustawy. Zrealizujemy to w czasie webinarium oraz przygotowywanego przez nas szkolenia, w których proponujemy Państwu udział:

 

Darmowe webinarium – „NIS2 i DORA - nowa droga” 22.03.2024 10:00 – 11:30

Szkolenie – „Wdrażanie dyrektywy NIS2 w organizacji”

 

NIS2

16 stycznia 2023 weszła w życie dyrektywa NIS2 (ang. “Network and Information Systems Directive 2”), która aktualizuje i rozszerza unijne przepisy cyberbezpieczeństwa NIS z 2016 roku. Zapisy NIS w Polsce realizuje ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) z 28 sierpnia 2018 roku. Państwa UE mają obowiązek wdrożyć regulację unijną do krajowego porządku prawnego nie później niż do 17 października 2024 r. Aktualnie trwają prace nad nowelizacją ustawy KSC. 

 

Pełną treść dyrektywy NIS 2 w języku polskim znajdziecie Państwo pod poniższym linkiem.
https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32022L2555&qid=1704191263396 

 

Zacznijmy od tego, że ustawa obejmuje swoim zasięgiem znacznie więcej podmiotów krytycznych kluczowych dla bezpiecznego funkcjonowania Państwa. Wdrażanie KSC zaczynało się praktycznie od wypełnienia ankiety pozwalającej na zaklasyfikowanie danej organizacji jako podmiotu świadczącego usługi kluczowe. Rozszerzenie zakresu obejmowania NIS ma spore konsekwencje. Między innymi nie należy oczekiwać na dotychczasowe zapytania ankietowe rozsyłane przez organy centralne do poszczególnych jednostek organizacyjnych. Obowiązuje zasada „size-cap” – podpadasz pod zakres masz obowiązek. Czyli odwrotnie, to jednostki mają obowiązek być przygotowane do obsługi nowej ustawy o KSC. Zwróćmy również uwagę, że wyłączane są z tego obowiązku tylko mikroprzedsiębiorstwa, których zgodnie z danymi GUS nie ma za wiele. Po dwóch latach funkcjonowania ustawy KSC organizacje państwowe są gotowe do kontrolowania wdrożenia nowej ustawy KSC. Dyrektywa NIS2 ma zastosowanie zarówno do podmiotów publicznych oraz prywatnych, o których mowa w Załączniku I lub Załączniku II dyrektywy. Dyrektywa NIS2 w Załączniku I definiuje podmioty kluczowe, a w Załączniku II podmioty ważne.

NIS 2 ma zastosowanie do wszystkich podmiotów, które prowadzą działalność w wymienionych w dyrektywie sektorach gospodarki oraz są uznawane za średnie lub duże przedsiębiorstwa. Do stosowania nowej dyrektywy będą zobowiązane również mikroprzedsiębiorstwa i małe przedsiębiorstwa, które spełnią kryteria wskazujące na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług. Jako kryterium wystarczy na przykład, aby znaleźć się w certyfikowanym łańcuchu dostaw.

 

W Załączniku I jako sektory kluczowe wskazano:

energetyka	transport	bankowość	infrastruktura rynków finansowych
opieka zdrowotna	sektor wody pitnej	ścieki	infrastruktura cyfrowa
zarządzanie usługami ICT	administracja publiczna	przestrzeń kosmiczna

 

Natomiast w Załączniku II wśród sektorów ważnych znalazły się takie sektory jak:

usługi pocztowe i kurierskie	gospodarowanie odpadami	produkcja, przetwarzanie i dystrybucja chemikaliów	produkcja, przetwarzanie i dystrybucja żywności
produkcja (szeroko pojęta)	usługi cyfrowe	badania naukowe

 

Dyrektywa NIS posługuje się inną nomenklaturą niż NIS2. Lista podmiotów opisanych w Załączniku II NIS2 jest znacznie poszerzona. Kursywą oznaczyliśmy zmiany w stosunku do NIS. Obejmują one nie tylko nowe działy, ale i również poszerzenie ich zakresu.

 

W niniejszym opracowaniu nie będziemy starać się wchodzić w szczegóły wdrożenia samej ustawy. Zrealizujemy to, jak wcześniej wspominaliśmy w czasie webinarium oraz przygotowywanych przez nas szkoleń.

 

Firmy prezentują różny sposób podejścia do problemu wdrożenia nowej ustawy, którą dalej będziemy nazywać KSC2.

 

Pierwsza z prezentowanych filozofii to gra na przeczekanie. Niestety nie ma ona szans powodzenia. Organizacje państwowe przygotowane są po pięciu latach funkcjonowania systemu NIS/KSC do natychmiastowej kontroli wdrożenia zaleceń ustawy. Szansa na to, że obie strony będą nieprzygotowane i wszystko rozejdzie się po kościach, jest więc niewielka. O aspekcie oczekiwania na powiadomienie już wspominaliśmy.

 

Często słyszymy, że wdrożenie NIS2 to problem dla prawników i działów „compliance”. Niestety to też nie jest prawdą. Wdrożenie NIS2 to kompleksowy program obejmujących wszystkie aspekty działania firmy.

 

Popularne jest również kolejne nieporozumienie. Większość firm ma już wdrożony system obsługi incydentów więc adopcja do KSC2 to przysłowiowa „bułka z masłem”. Problem polega jednak na tym, że najczęściej nasz system obsługuje tylko nasze wewnętrzne incydenty. To z czym będziemy mieli do czynienia w NIS2 ma zupełnie inną skalę. Nasz incydent poważny, a takie mamy raportować, będzie na przykład miał taki wymiar jak brak dostawy wody dla mieszkańców danego obszaru. Wymaga to często zupełnej zmiany systemu obsługi incydentów. Musimy również umieć zidentyfikować naszych Klientów i o naszych działaniach umieć ich poinformować.

 

Poza obowiązkiem zgłaszania incydentów niezwykle ważnym staje się też ciągłe i skuteczne monitorowanie i zarządzanie podatnościami w organizacji. Wykrywanie podatności i ich usuwanie na czas, czynnie przyczynia się do zmniejszenia ilości incydentów a tym samym ilości potencjalnych zdarzeń wymagających raportowania.

 

Wiele osób ma nadzieję, że certyfikat popularnych norm takich jak np. ISO/IEC 27001 czy też ciągłości działania ISO 22301 wystarczą, aby spełnić wymagania NIS2. Owszem normy bezpieczeństwa to dobra droga do realizacji wdrożenia NIS2. Rozwiązują one częściowo problem arbitracji naszych decyzji - mamy bowiem oparcie o konkretny zatwierdzony dokument. Jest to problem zarówno RODO, jak i NIS1/2 pozostawiający otwartą kwestię zwrotu „właściwy dobór”. Problem jednak polega na analizie ryzyka i zakresu stosowanych norm. Na konferencjach były raportowane również pomyłki dotyczące braku rozróżniania przez klientów amerykańskich norm bezpieczeństwa NIST od rozporządzenia NIS2. Jak już wspominaliśmy NIS2 to bardzo specyficzne wymagania, których wdrożenie nie jest proste i wymaga czasu. Podsumowując, normy wdrożone to dobry punkt wyjścia, ale nie koniec a dopiero początek pracy.

 

Ostatnią chyba najbardziej krytyczną sprawą są drastyczne kary. Złośliwi twierdzili, że wszyscy rzucili się na wdrożenie RODO czyli GDPR bo kary są drakońskie. Proszę zauważcie Państwo, że ostatnia nowelizacja ustawy o ochronie danych osobowych z 2011 roku dokładnie też to robiła. Praktycznie kradzież danych przed 2011 rokiem wiązała się z niewielkim karami, niewspółmiernymi do zysków osób popełniających wykroczenia. Tu również NIS2 szokuje wysokością możliwych kar, wprowadzając pieniężne kary administracyjne:

• podmioty kluczowe dokonujące naruszeń będą podlegały administracyjnym karom pieniężnym w maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2% rocznego obrotu;
• podmioty ważne dokonujące naruszeń będą podlegały administracyjnym karom pieniężnym w maksymalnej wysokości co najmniej 7 000 000 EUR lub 1,4 % rocznego obrotu.

 

DORA

DORA (ang. “Digital Operational Resilience Act”) to rozporządzenie Parlamentu Europejskiego i Rady Europy (UE) 2022/2554 z dnia 14 grudnia 2022 r. nakładające obowiązki w zakresie cyberbezpieczeństwa na podmioty sektora finansowego, a także na zewnętrznych dostawców usług ICT (ang. „Information and Communication Technologies”). W przypadku DORA mamy trochę więcej czasu, bo termin wdrożenia rozporządzenia DORA mija 17 stycznia 2025 roku. 

 

Treść rozporządzenia DORA w języku polskim:
https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX%3A32022R2554

 

Rozporządzenie DORA ma zastosowanie do następujących podmiotów:

• instytucji kredytowych;
• instytucji płatniczych, w tym instytucji płatniczych zwolnionych zgodnie z dyrektywą (UE) 2015/2366;
• dostawców świadczących usługę dostępu do informacji o rachunku;
• instytucji pieniądza elektronicznego, w tym instytucji pieniądza elektronicznego zwolnionych zgodnie z dyrektywą 2009/110/WE;
• firm inwestycyjnych;
• dostawców usług w zakresie kryptoaktywów, którzy uzyskali zezwolenie na mocy rozporządzenia Parlamentu Europejskiego i Rady w sprawie rynków kryptoaktywów oraz zmieniającego rozporządzenia (UE) nr 1093/2010 i (UE) nr 1095/2010 oraz dyrektywy 2013/36/UE i (UE) 2019/1937 (zwanego dalej „rozporządzeniem w sprawie rynków kryptoaktywów”) i emitentów tokenów powiązanych z aktywami;
• centralnych depozytów papierów wartościowych;
• kontrahentów centralnych;
• systemów obrotu;
• repozytoriów transakcji;
• zarządzających alternatywnymi funduszami inwestycyjnymi;
• spółek zarządzających;
• dostawców usług w zakresie udostępniania informacji;
• zakładów ubezpieczeń i zakładów reasekuracji;
• pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające;
• instytucji pracowniczych programów emerytalnych;
• agencji ratingowych;
• administratorów kluczowych wskaźników referencyjnych;
• dostawców usług finansowania społecznościowego;
• repozytoriów sekurytyzacji;
• zewnętrznych dostawców usług ICT.

 

DORA przewiduje stosowanie kar w przypadku naruszenia jego postanowień. W szczególności, organy nadzoru będą miały uprawnienia do nałożenia kar finansowych na instytucje finansowe, które nie spełniają wymagań wynikających z DORA.

 

Kary będą zależne od charakteru naruszenia i jego skutków dla instytucji finansowej oraz sektora finansowego jako całości. DORA przewiduje również karę w wysokości do 10% rocznego obrotu instytucji finansowej za poważne naruszenia związane z cyberbezpieczeństwem i operacyjną odpornością.

 

Dostawcy usług ICT stanowią kluczowy element infrastruktury informatycznej sektora finansowego i mają wpływ na operacyjną odporność instytucji finansowych. Rozporządzenie przewiduje kary dla dostawców kluczowych usług ICT. Organ nadzorczy dostał uprawnienia do nakładania kar finansowych na kluczowych zewnętrznych dostawców usług ICT. Kary mogą wynosić 1% średniego dziennego światowego obrotu.

 

PODSUMOWANIE

Warto więc rozpocząć niezwłocznie przygotowania do wdrożenia NIS2/KSC2. Czasu zostało bardzo niewiele. W mniejszych przedsiębiorstwach z pewnością wdrożenie musi opierać się na skorzystaniu z zewnętrznych usług ze względu chociażby na koszty budowania własnych zespołów.

 

Kary za brak wdrożenia ustawy są wysokie. Nie wiemy jeszcze jak zostaną one zmienione przez polskie przepisy wykonawcze. Ostatnio w przypadku RODO (GDPR) zostały one złagodzone dla jednostek państwowych. Na pewno kary są konieczne. Już pierwsze prace prowadzone nad takimi normami jak obecna PN ISO/IEC 27001 podnosiły nieuniknioność kary jako koniecznego elementu regulacyjnego. Skutki braku dotkliwych kar widzieliśmy na przykładzie ustawy o ochronie danych osobowy przed rokiem 2011 – przestępcy bardziej opłacało się zostać ukaranym. Być może firmy ubezpieczeniowe wyjdą na rynek z podobnymi pakietami ubezpieczeń jak w przypadku RODO.

 

Doświadczenia z wdrożenia i funkcjonowania KSC na pewno będą przydatne jednak takie zagadnienia jak kontrola łańcucha dostaw to zupełnie nowe wymaganie do tej pory wdrażane tylko w bardzo dużych firmach. Podobnie możemy napotkać problemy związane z koniecznością wykorzystania tylko sprzętu i oprogramowania z certyfikowanych łańcuchów dostaw.

 

Pozostają też otwarte tematy arbitracji jak to już mamy w przypadku RODO. Dylemat – kto decyduje o tym, że na przykład środki ochrony kryptograficznej są wystarczające?

 

Z przyjemnością postaramy się Państwu pomóc we wdrożeniach KSC2 jak i DORA.