Parlament Europejski i Rada Unii Europejskiej osiągnęły porozumienie w sprawie nowych regulacji bezpieczeństwa sieci i systemów informatycznych. Chodzi o dyrektywę NIS2 („network and information systems”), która zastąpi obecną NIS.
Margaritis Schinas, wice przewodniczący Komisji Europejskiej odpowiedzialny za promowanie europejskiego stylu życia, zaznacza, że cyberbezpieczeństwo nabiera coraz większego znaczenia w miarę transformacji cyfrowej. – Obecny kontekst geopolityczny sprawia, że jeszcze pilniejsze staje się zagwarantowanie przez UE, by jej ramy prawne były adekwatne do zakładanych celów – dodaje.
Dyrektywa NIS weszła w życie w sierpniu 2016 r. i stanowiła pierwszy ogólnounijny akt prawny dotyczący cyberbezpieczeństwa. Thierry Breton, unijny komisarz ds. rynku wewnętrznego, podkreśla, że ponieważ cyberzagrożenia w ostatnim czasie stały się poważniejsze i bardziej złożone, konieczne jest dostosowanie zasad do nowych realiów. – Modernizujemy przepisy, aby zapewnić krytyczne usługi dla społeczeństwa i gospodarki – stwierdza Thierry Breton.
Reklama
NIS2 zwiększy wymagania w sferze cyberbezpieczeństwa i rozszerzy zakres podmiotów zobowiązanych do ich stosowania. Ujednolici też zasady w dziedzinach, w których 27 państw stosowało dotychczas różne rozwiązania. W obecnym kształcie dyrektywa daje bowiem krajom członkowskim dość dużą swobodę – np. w kwestii uznawania przedsiębiorstw za kluczowe. Nowelizacja wprowadza tu kryterium wielkości. Dyrektywa NIS2 obejmie wszystkie średnie i duże podmioty działające w sektorach, których dotyczy regulacja – m.in. energetyki, transportu, ochrony zdrowia – lub świadczące usługi objęte obowiązkami z zakresu cyberbezpieczeństwa.
Rozszerzony zostanie ponadto zakres sektorów objętych regulacją. Za podmioty kluczowe lub istotne będą uważani m.in. dostawcy usług chmury obliczeniowej i centrów danych, dostawcy publicznych sieci łączności elektronicznej oraz usług łączności elektronicznej, firmy świadczące usługi pocztowe i kurierskie, a także podmioty zajmujące się gospodarką ściekami i odpadami. W opiece zdrowotnej w zasięgu NIS2 znajdą się również producenci wyrobów medycznych.

Reklama
Znowelizowana dyrektywa będzie miała ponadto zastosowanie do podmiotów administracji publicznej szczebla centralnego i regionalnego. Ponieważ ta sfera jest często celem cyberataków, państwa członkowskie będą mogły rozszerzyć NIS2 na administrację szczebla lokalnego.
Komisja Europejska deklaruje, że nowa regulacja pomoże zintensyfikować wymianę informacji i współpracę w zakresie zarządzania kryzysami w cyberprzestrzeni na szczeblu krajowym i unijnym. Przewiduje też wysokie kary dla podmiotów, które nie będą realizowały jej zapisów we właściwy sposób. Górny próg to 10 mln euro lub do 2 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która kwota jest wyższa.
– Uzupełnimy to podejście przyszłym aktem dotyczącym cyberodporności, który zagwarantuje, że produkty cyfrowe będą również bezpieczniejsze – informuje Thierry Breton. Ta druga regulacja (Cyber Resilience Act) jest obecnie na etapie konsultacji publicznych, które potrwają jeszcze do 25 maja. Celem aktu jest ochrona konsumentów przed produktami, które nie spełniają wymogów bezpieczeństwa – przez wprowadzenie wspólnych przepisów dotyczących cyberbezpieczeństwa dla producentów i sprzedawców produktów cyfrowych i usług pomocniczych.
W przypadku NIS2 prace są już na finiszu. Kolejnym etapem będzie formalne zatwierdzenie dyrektywy przez parlament i Radę. Na implementację nowych przepisów państwa członkowskie będą miały 21 miesięcy od ich wejścia w życie.
Jak nas informuje Janusz Cieszyński, sekretarz stanu w KPRM i pełnomocnik rządu ds. cyberbezpieczeństwa, w Polsce posłuży do tego odrębna regulacja. To znaczy, że przepisy wynikające z NIS2 nie będą już dodawane do procedowanej obecnie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Budzi ona tak duże kontrowersje, że od przedstawienia pierwszego projektu we wrześniu 2020 r. nie została jeszcze zatwierdzona przez Komitet Stały Rady Ministrów. ©℗