Projekt dyrektywy w sprawie środków na rzecz wysokiego poziomu bezpieczeństwa sieci i systemów komunikacji na terytorium Unii i uchylenia dyrektywy EU 2016/1148 (dalej: Dyrektywa NIS 2”) został opublikowany przez Komisję Europejską 16 grudnia ubiegłego roku. Dyrektywa NIS 2 podobnie jak jej „poprzedniczka” ma na celu ochronę infrastruktury krytycznej. Rozszerza jednak swój zakres podmiotowy oraz nakłada na spółki obowiązki związane z zarządzaniem ryzykiem (ang. risk management approach).

 

Pomimo zauważalnych osiągnięć okazało się, że obecnie obowiązująca Dyrektywa EU 2016/1148 ma pewne ograniczenia. Transformacja cyfrowa społeczeństwa (zintensyfikowana przez kryzys związany z COVID-19) spowodowała ewolucję krajobrazu zagrożeń i pojawianie się nowych wyzwań, które wymagają dostosowanych i innowacyjnych reakcji. Liczba cyberataków w dalszym ciągu rośnie; są one coraz bardziej wyrafinowane i pochodzą z wielu różnych źródeł w UE i poza jej granicami.

 

Obowiązująca Dyrektywa (UE) 2016/1148 w sprawie bezpieczeństwa sieci i systemów informatycznych (dyrektywa w sprawie bezpieczeństwa sieci i informacji) jest pierwszym aktem prawnym w ogólnounijnych przepisach dotyczących cyberbezpieczeństwa zapewniającym środki prawne służące podniesieniu ogólnego poziomu cyberbezpieczeństwa w Unii.

Przyczyniła się do zwiększenia zdolności w zakresie cyberbezpieczeństwa na szczeblu krajowym przez zobowiązanie państw członkowskich do przyjęcia krajowych strategii cyberbezpieczeństwa oraz do wyznaczenia organów ds. cyberbezpieczeństwa.

Przyczyniła się do zacieśnienia współpracy między państwami członkowskimi na szczeblu unijnym przez utworzenie różnych forów ułatwiających wymianę strategicznych i operacyjnych informacji.

Przyczyniła się do poprawy cyberodporności podmiotów publicznych i prywatnych w siedmiu sektorach (energetyki, transportu, bankowości, infrastruktury rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji oraz infrastruktury cyfrowej) oraz w trzech rodzajach usług cyfrowych (internetowe platformy handlowe, wyszukiwarki internetowe i usługi w chmurze) przez nałożenie na państwa członkowskie wymogu zapewnienia, aby operatorzy usług kluczowych i dostawcy usług cyfrowych wdrażali wymogi w zakresie cyberbezpieczeństwa i zgłaszali incydenty.

 

Nowa, projektowana Dyrektywa NIS 2 stanowi element szerzej zakrojonego zestawu obowiązujących aktów prawnych i przyszłych inicjatyw na szczeblu unijnym, których celem jest zwiększenie odporności podmiotów publicznych i prywatnych na zagrożenia.

W dziedzinie cyberbezpieczeństwa są to zwłaszcza dyrektywa (UE) 2018/1972 ustanawiająca Europejski kodeks łączności elektronicznej (której przepisy dotyczące cyberbezpieczeństwa zostaną zastąpione przepisami Dyrektywy NIS 2) oraz będącego jeszcze w fazie projektu rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (COM(2020) 595 final). Przepisy Europejskiego kodeksu łączności elektronicznej oraz rozporządzenia będą uznawane za lex specialis do Dyrektywy NIS 2.

Przedmiot i zakres (art. 1 i 2)

Dyrektywa NIS 2 przede wszystkim określa obowiązki spoczywające na państwach członkowskich, dotyczące przyjęcia krajowej strategii cyberbezpieczeństwa oraz wyznaczania właściwych organów krajowych, pojedynczych punktów kontaktowych oraz CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego). Jej przepisy wskazują, że państwa członkowskie muszą określić obowiązki związane z zarządzaniem ryzykiem w cyberprzestrzeni oraz zgłaszaniem incydentów. Wskazuje też, że państwa członkowskie muszą określić obowiązki w zakresie wymiany informacji na temat cyberbezpieczeństwa.

Dyrektywa NIS 2 ma zastosowanie do niektórych publicznych lub prywatnych podmiotów niezbędnych działających w sektorach wymienionych w załączniku I (energetyki; transportu; bankowości; infrastruktury rynków finansowych; służby zdrowia; wody pitnej; ścieków; infrastruktury cyfrowej; administracji publicznej i przestrzeni kosmicznej). A także do niektórych podmiotów istotnych działających w sektorach wymienionych w załączniku II (usługi pocztowe i kurierskie; gospodarka odpadami; wytwarzanie, produkcja i dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; wytwarzanie i dostawcy usług cyfrowych).

Natomiast mikro- i małe podmioty w rozumieniu zalecenia Komisji 2003/361/WE z 6 maja 2003 r. są wyłączone z zakresu Dyrektywy NIS 2. Od tej zasady zrobiono wyjątek dla mikro- i małych: dostawców sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej, dostawców usług zaufania, rejestrów nazw domen najwyższego poziomu (TLD – Top-Level Domain) i administracji publicznej oraz niektórych innych podmiotów, takich jak wyłączny dostawca usługi w jakimś państwie członkowskim)

Krajowe ramy dotyczące cyberbezpieczeństwa (art. 5–11)

Państwa członkowskie są zobowiązane do przyjęcia krajowej strategii cyberbezpieczeństwa określającej cele strategiczne oraz odpowiednie środki polityczne i regulacyjne mające na celu osiągnięcie i utrzymanie wysokiego poziomu cyberbezpieczeństwa.

W Dyrektywie NIS 2 wymaga się, aby państwa członkowskie wyznaczyły CSIRT, by pełniły one rolę zaufanych pośredników i ułatwiały interakcję między podmiotami zgłaszającymi a producentami lub dostawcami produktów i usług ICT (Technologie Informacyjne i Komunikacyjne). ENISA (The European Union Agency for Cybersecurity) jest zobowiązana do rozwijania i utrzymywania europejskiego rejestru podatności dotyczącego wykrytych podatności.

Państwa członkowskie są zobowiązane do wdrożenia krajowych ram zarządzania kryzysami cyberbezpieczeństwa, m.in. przez wyznaczenie właściwych organów krajowych odpowiedzialnych za zarządzanie cyberincydentami i kryzysami cyberbezpieczeństwa na dużą skalę.

 

Dyrektywa NIS 2 nakłada także na państwa członkowskie obowiązek wyznaczenia co najmniej jednego właściwego organu krajowego ds. cyberbezpieczeństwa, który będzie wykonywał zadania nadzorcze, a także krajowego pojedynczego punktu kontaktowego do spraw cyberbezpieczeństwa, który będzie pełnił funkcję łącznikową w celu zapewnienia transgranicznej współpracy organów państw członkowskich. Państwa członkowskie są także zobowiązane do wyznaczenia CSIRT.

Współpraca (art. 12–16)

Aby wspierać i ułatwiać strategiczną współpracę i wymianę informacji między państwami członkowskimi oraz rozwijać zaufanie i pewność Dyrektywa NIS 2 ustanawia Grupę Współpracy.

Ponadto ustanawia się sieć CSIRT, aby przyczyniać się do rozwijania pewności i zaufania między państwami członkowskimi oraz promować szybką i skuteczną współpracę operacyjną.

Przepisy Dyrektywy NIS 2 powołują także europejską sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe), aby wspierać skoordynowane zarządzanie cyberincydentami i kryzysami cyberbezpieczeństwa na dużą skalę oraz zapewniać regularną wymianę informacji między państwami członkowskimi a instytucjami UE.

 

ENISA jest zobowiązana do wydawania co dwa lata, we współpracy z Komisją, sprawozdania o stanie cyberbezpieczeństwa w Unii. Komisja jest zobowiązana do ustanowienia systemu wzajemnej oceny umożliwiającego regularną wzajemną ocenę skuteczności polityk cyberbezpieczeństwa państw członkowskich.

 

Zarządzanie ryzykiem w cyberprzestrzeni (art. 17–23)

W Dyrektywie NIS 2 nakłada się na państwa członkowskie obowiązek zapewnienia, aby organy zarządzające wszystkich podmiotów objętych jej zakresem zatwierdziły środki w zakresie zarządzania ryzykiem w cyberprzestrzeni przyjęte przez odpowiednie podmioty oraz uczestniczyły w specjalnych szkoleniach poświęconych cyberbezpieczeństwu.

Ponadto podmioty objęte zakresem dyrektywy będą miały obowiązek stosować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykiem w cyberprzestrzeni stwarzanym dla bezpieczeństwa sieci i systemów informatycznych. Są one zobowiązane także do zapewnienia, aby podmioty powiadamiały właściwe organy krajowe lub CSIRT o każdym cyberincydencie mającym znaczący wpływ na świadczenie usługi, za którą odpowiadają te podmioty.

Rejestry TLD oraz podmioty świadczące usługi rejestracji nazwy domeny dla TLD powinny gromadzić i utrzymywać precyzyjne i kompletne dane dotyczące rejestracji nazw domen. Ponadto takie podmioty są zobowiązane do zapewnienia wnioskodawcom ubiegającym się o prawnie uzasadniony dostęp efektywnego dostępu do danych dotyczących rejestracji domeny.

Jurysdykcja i rejestracja (art. 24 i 25)

Dyrektywa NIS 2 przyjmuje – co do zasady, że podmioty niezbędne i istotne podlegają jurysdykcji państwa członkowskiego, w którym świadczą usługi. Jednak niektóre rodzaje podmiotów (dostawców usług DNS, rejestry nazw TLD, dostawców usług w chmurze, dostawców usług ośrodka przetwarzania danych oraz dostawców sieci dostarczania treści, a także niektórych dostawców usług cyfrowych) uznaje się za podlegające jurysdykcji państwa członkowskiego, w którym znajduje się główna jednostka organizacyjna danego podmiotu w Unii. Ma to na celu zapewnienie, aby takie podmioty nie musiały spełniać wielu różnych wymogów prawnych ze względu na fakt, iż w stosunkowo dużym zakresie świadczą swoje usługi w wymiarze transgranicznym. ENISA jest zobowiązana do utworzenia i prowadzenia rejestru tych ostatnich podmiotów.

Wymiana informacji (art. 26 i 27)

Państwa członkowskie zapewniają przepisy umożliwiające podmiotom podjęcie wymiany informacji związanych z cyberbezpieczeństwem w ramach szczegółowych rozwiązań dotyczących przekazywania informacji na temat cyberbezpieczeństwa zgodnie z art. 101 TFUE. Ponadto państwa członkowskie muszą umożliwić podmiotom nieobjętym zakresem niniejszej dyrektywy zgłaszanie – na zasadzie dobrowolności – znaczących incydentów, cyberzagrożeń lub zdarzeń potencjalnie wypadkowych.

Nadzór i egzekwowanie przepisów (art. 28–34)

Właściwe organy są zobowiązane do sprawowania nadzoru nad podmiotami objętymi zakresem Dyrektywy NIS 2, a w szczególności do zapewnienia przestrzegania przez nie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów.

W Dyrektywie NIS 2 zobowiązuje się państwa członkowskie także do nakładania na podmioty niezbędne i istotne administracyjnych kar pieniężnych oraz definiuje się określone maksymalne poziomy kar.

 

W dyrektywie rozróżnia się system nadzoru ex ante dotyczący podmiotów niezbędnych i system nadzoru ex post dotyczący podmiotów istotnych, w ramach którego właściwe organy są zobowiązane do podejmowania działań, jeżeli zostaną im dostarczone dowody lub wskazanie, że podmiot istotny nie spełnia wymogów dotyczących bezpieczeństwa i zgłaszania incydentów.