Z nowymi przepisami Unii Europejskiej będzie musiało zmierzyć się wiele podmiotów, w tym liczne grono tych, które nie podlegały wymogom dotychczasowej dyrektywy o cyberbezpieczeństwie. NIS 2 poszerza bowiem w znaczny sposób zakres firm, przedsiębiorstw i instytucji objętych wprowadzonymi regulacjami. Szacunki mówią, że w orbicie tego aktu znajdzie się w całej UE nawet kilkanaście tysięcy nowych podmiotów. W Polsce w sumie ma jej podlegać około 8 tys. firm.

Do osiemnastu powiększona została lista sektorów mających istotne znaczenie dla życia społecznego i gospodarczego, a więc objętych w konsekwencji szczególną ochroną. Do spełnienia wprowadzonych wymogów zobligowane zostały działające w nich zarówno prywatne, jak i publiczne podmioty. Generalnie regulacje dotyczą przedsiębiorstw średnich i dużych, ale w przypadku działalności o charakterze krytycznym obowiązkom wynikającym z nowej dyrektywy będą podlegać wszystkie podmioty, bez względu na wielkość.

Te same obowiązki, różne rozwiązania

NIS 2 określa wymagania w zakresie cyberbezpieczeństwa dla podmiotów kluczowych i ważnych. Kwalifikacja do grona podmiotów kluczowych lub ważnych będzie zależała od sektora, w którym prowadzona jest działalność oraz innych, określonych w dyrektywie wskaźników. W każdym z krajów członkowskich UE musi powstać wykaz podmiotów kluczowych i ważnych, który następnie ma być regularnie weryfikowany i aktualizowany.

Obowiązki wynikające z NIS 2 odnoszą się w tym samym stopniu do obu rodzajów podmiotów. W pierwszym rzędzie dotyczą one zarządzania ryzykiem i reagowania na incydenty. Nie znaczy to jednak, że wszystkie przedsiębiorstwa mają wdrażać te same narzędzia i rozwiązania z zakresu cyberbezpieczeństwa. Każda firma musi dobrać adekwatne do swojej sytuacji – odpowiednie i proporcjonalne – techniczne i organizacyjne środki ochrony, wynikające z przeprowadzonej analizy ryzyka. Ocena poziomu zagrożenia powinna uwzględniać zarówno sytuację w otoczeniu, jak i specyfikę funkcjonowania danej firmy, na przykład jej wielkość czy prawdopodobieństwo wystąpienia incydentów, stopień ich dotkliwości dla poszczególnych grup interesariuszy itp.

Dyrektywa nakłada na podlegające jej podmioty obowiązek prowadzenia stałej, dynamicznej analizy ryzyka, czyli reagującej na wszelkie zmiany warunków wykonywanej działalności. Firmy muszą mieć opracowany i wdrożony system zarządzania incydentami zapewniający ich bieżącą obsługę, zapobieganie im oraz ich wykrywanie i reagowanie na nie. Wśród środków zarządzania ryzykiem znalazła się polityka analizy ryzyka i bezpieczeństwa systemów informatycznych, która powinna uwzględniać wszelkie możliwe czynniki ryzyka, w tym również dotyczące bezpieczeństwa fizycznego wykorzystywanych narzędzi informatycznych. Konieczne jest też opracowanie i wdrożenie planu ciągłości działania przedsiębiorstwa oraz zarządzania kryzysowego, w tym kopiami zapasowymi.

Podmioty kluczowe i ważne muszą brać pod uwagę nie tylko bezpieczeństwo własnych, wewnętrznych systemów. Ich obowiązkiem jest także wprowadzenie rozwiązań zapewniających bezpieczeństwo łańcucha dostaw, w tym procedur dotyczących relacji z dostawcami lub usługodawcami oraz nabywania potrzebnych produktów i usług. Oprócz tego powinny być ustalone zasady rozwoju i utrzymania sieci oraz systemów informatycznych, obejmujące przeprowadzanie testów i audytów bezpieczeństwa. Nie można ponadto zapominać o obowiązku edukacji pracowników w formie szkoleń z zakresu cyberbezpieczeństwa.

Osobną grupę wymogów stanowią obowiązki dotyczące zgłaszania incydentów. Po zidentyfikowaniu wystąpienia poważnego incydentu podlegające nowej regulacji podmioty muszą bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin, wydać wstępne ostrzeżenie. Następnie, w ciągu 72 godzin od wykrycia, powinny zgłosić incydent do właściwego CSIRT-u.

Zakres obowiązywania NIS 2  
  • Sektory kluczowe: energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT (w relacjach między przedsiębiorstwami), przestrzeń kosmiczna, administracja publiczna
  • Sektory ważne: usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja w innych obszarach (np. wyrobów medycznych, wyrobów elektronicznych, komputerów, maszyn i urządzeń, pojazdów samochodowych), usługi cyfrowe, badania naukowe