Odpowiedź Europy na cyberwojnę. NIS-2 – szansa na wzrost poziomu cyberbezpieczeństwa?

Ponad dwa miesiące temu, 13 lipca, po tym jak zostało osiągnięte porozumienie polityczne między Parlamentem Europejskim a państwami członkowskimi UE, Komisja Przemysłu, Badań Naukowych, Telekomunikacji i Energii Parlamentu Europejskiego zatwierdziła projekt dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającą dyrektywę (UE) 2016/1148, czyli tzw. dyrektywę NIS2. Aktualnie czekamy na jej zatwierdzenie przez Parlament Europejski a potem przez Radę, po których zostanie opublikowana w Dzienniku Urzędowym, a 20 dni później dyrektywa wejdzie w życie. Dla państw członkowskich ten moment będzie oznaczać rozpoczęcie terminu 21 miesięcy na implementację dyrektywy w krajowych porządkach prawnych. W Polsce dokona się to przez przyjęcie nowej (lub zmianę już istniejącej) stosownej ustawy w zakresie cyberbezpieczeństwa.

Kliknij tutaj i dowiedz się wiecej o naszej praktyce „Media i Technologia”. Dalsza część artykułu poniżej.

Różnica między NIS oraz NIS2

Główne różnice pomiędzy pierwszą – jeszcze obowiązującą – dyrektywą dotyczącą cyberbezpieczeństwa, tj. network and information security (NIS), a NIS2 dotyczą podmiotów zobowiązanych; środków technicznych i organizacyjnych, które należy wdrożyć oraz zgłaszania incydentów i zagrożeń. We wszystkich wymienionych obszarach w dyrektywie NIS2 zakres w stosunku do zapisów dyrektywy NIS jest poszerzony.

W dyrektywie NIS2 podmioty zobowiązane zostały podzielone na dwie kategorie: podmioty kluczowe, w których znaleźli się między innymi dostawcy usług przetwarzania w chmurze obliczeniowej, dostawcy usług centrów danych, dostawcy usług content delivery network; oraz podmioty istotne, do których zostali zakwalifikowani m.in. dostawcy wyszukiwarek internetowych, dostawcy platform handlowych, dostawcy serwisów społecznościowych i dostawcy usług kurierskich. Na obie kategorie zostały nałożone obowiązki zarówno dotyczące przygotowania i wdrożenia stosownych procedur i środków w zakresie cyberbezpieczeństwa oraz zgłaszania incydentów a także cyberzagrożeń, mogących skutkować powstaniem znaczącego incydentu stosownym organom.

NIS2 wprowadza bardziej rygorystyczne środki nadzorcze dla organów krajowych, a także bardziej rygorystyczne wymogi w zakresie egzekwowania prawa, ma też na celu harmonizację systemów sankcji we wszystkich państwach członkowskich. Odpowiedzialność za zapewnienie cyberbezpieczeństwa będzie także spoczywać na osobach, które zarządzają podmiotami zobowiązanymi przez dyrektywę.

Uregulowanie na poziomie unijnym jest krokiem koniecznym

Uregulowanie na poziomie unijnym tak istotnej kwestii, jaką jest – zwłaszcza dziś – cyberbezpieczeństwo, wydaje się być krokiem koniecznym. Natomiast, jak to zazwyczaj bywa w przypadku regulacji unijnych, powstaje ryzyko, że takie wprowadzone prawo będzie większym obciążeniem (zwłaszcza w zakresie wdrażania dodatkowych środków, tworzenia dokumentacji) dla podlegających mu podmiotów niż faktycznym narzędziem służącym obronie praw, które stanowiły podstawę ratio jego uchwalenia. Takie ryzyko ziściło się choćby w przypadku ogólnego rozporządzenia o ochronie danych (RODO), które na faktyczną ochronę danych osobowych przełożyło się w nieznacznym stopniu, a raczej na produkcję dokumentów i zasypywanie osób, których dane dotyczą, dość często niezrozumiałymi informacjami.

NIS2 chce zwiększyć poziom cyberbezpieczeństwa, posługując się przede wszystkim dwoma narzędziami – koniecznością stworzenia stosownej dokumentacji i procedur przez podmioty podlegające jej przepisom oraz obowiązkiem raportowania (zarówno incydentów jak i cyberzagrożeń) nałożonym na te podmioty. Te narzędzia wykorzystane w odpowiedni sposób mogą przynieść zamierzony cel wprowadzanych regulacji, ale pod pewnymi warunkami.

Czynnik ludzki – najsłabsze ogniwo

Przede wszystkim należy wziąć pod uwagę, że najsłabszym ogniwem w obszarze cyberbezpieczeństwa w każdej organizacji jest człowiek. Maszyny wykonują wszelkie instrukcje, nie dyskutując z nimi, człowiek, podejmując decyzję (np. o tym, czy udostępnić komuś informację, czy też nie), kieruje się wieloma różnymi czynnikami. A decyzja ta nie zawsze jest zgodna z tym, co zostało przewidziane w obowiązujących go procedurach. Ponadto daną osobę łatwo zmanipulować, zwłaszcza w sytuacji, gdy tak wiele informacji o niej jest ogólnodostępnych w przestrzeni internetu.

Aby więc stworzona w ramach wymogów NIS2 dokumentacja danej organizacji zawierająca sposoby postępowania w danych sytuacjach związanych z cyberbezpieczeństwem oraz podjęte w celu zwiększenia poziomu cyberbezpieczeństwa środki były skuteczne i stosowane, osoby, które będą zobowiązane ich przestrzegać, muszą zrozumieć, dlaczego i w jakim celu poszczególne zasady są wprowadzane. Powinny także mieć świadomość konsekwencji niezastosowania się do nich w różnych wypadkach. Niezwykle istotną kwestią jest więc dobre i praktyczne przeszkolenie tych osób, a także zaangażowanie ich w tworzenie zasad, którym następnie miałyby podlegać. Zasady te bowiem muszą odzwierciedlać i wpisywać się możliwie maksymalnie w faktyczne dotychczasowe funkcjonowanie organizacji. Tworzenie sztucznych obowiązków, które nie będą miały szansy zaistnieć w aktualnym stanie organizacji, jest bezcelowe. Oczywiście w zakresie, gdy stan faktyczny organizacji zupełnie nie odpowiada wymogom dyrektywy, konieczne jest dostosowanie status quo do jej przepisów (a nie odwrotnie), natomiast działanie to wymaga rozwagi i czasu, aby w ogóle było to respektowane przez osoby funkcjonujące w ramach organizacji.

Bez wątpienia bardziej skutecznym sposobem będzie wprowadzenie obowiązków, które nakłada NIS2, w sposób ewolucyjny, niż realizacja ich w krótkim czasie pomiędzy uchwaleniem a wejściem w życie polskiej ustawy transponującej NIS2. Biorąc pod uwagę, że celem uchwalenia dyrektywy jest ostatecznie harmonizacja porządków prawnych państw członkowskich, można wyjść z założenia, że krajowe ustawodawstwo nie będzie odbiegać znacząco od jej przepisów i już teraz na ich bazie rozpocząć proces wdrażania nowych zasad.

Najważniejszy cel

Równie istotna będzie praktyka stosowania przepisów dyrektywy przez zobowiązane podmioty. Ta, która wykształci się na początku, będzie następnie powielana. To nakłada dużą odpowiedzialność na największe podmioty podlegające przepisom dyrektywy, na których początkowo skupi się uwaga pozostałych mniejszych graczy w ramach rynków objętych wymogami z zakresu cyberbezpieczeństwa. Wydaje się, że rozważne, racjonalne i świadome wdrożenie obowiązków wynikających z NIS2 ma szansę przynieść spodziewany cel w postaci zwiększenia poziomu cyberbezpieczeństwa w ramach całej Unii Europejskiej, co jest warte podjęcia wysiłku i zaangażowania podmiotów zobowiązanych.

Autor: Paulina Wyrostek, Radca Prawny i Counsel w Kancelarii B2RLaw.