Lancuch dostaw gettyimages

Jak NIS2 wpłynie na podejście do bezpieczeństwa łańcucha dostaw?


Jednym z najważniejszych elementów Dyrektywy NIS2 są normy dotyczące oceny bezpieczeństwa łańcucha dostaw (supply chain security). Czy ich praktyczna implementacja okaże się problematyczna?

Kwestie związane z łańcuchem dostaw są uregulowane w art. 21 ust. 2 lit. d Dyrektywy NIS2. Zgodnie ze wskazanym przepisem, jednym z obowiązków dla kluczowych i ważnych podmiotów będzie wprowadzenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zapewnienia bezpieczeństwa łańcucha dostaw.

W Dyrektywie przewidziano trzy mechanizmy, których celem jest zagwarantowanie bezpieczeństwa łańcucha dostaw:

  • Pierwszy stanowi procedura przeprowadzana na szczeblu unijnym, której celem jest ocena poziomu ryzyka określonego łańcucha dostaw- jest to tzw. skoordynowane szacowanie ryzyka.  
  • Druga procedura została niejako ukryta w tekście Dyrektywy NIS2. Obejmuje ona bowiem wszystkie uprawnienia państw członkowskich do rozszerzania zakresu obowiązywania dyrektywy na podmioty pierwotnie pozostające poza jej zakresem. Tę procedurę można określić jako krajowe szacowanie ryzyka.
  • Trzecim mechanizmem jest obowiązek przewidziany w art. 21 ust. 2 lit. d Dyrektywy NIS2, który można określić jako- wewnętrzne szacowanie ryzyka.

Dyrektywa NIS2 wskazuje, że podmioty objęte obowiązkami dyrektywy powinny wziąć pod uwagę podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyki cyberbezpieczeństwa ich dostawców i usługodawców, w tym ich bezpieczne procedury rozwojowe. W szczególności należy uwzględnić obowiązek oceny/przewidywania jak dany produkt będzie rozwijany, gdyż może to stanowić wyzwanie organizacyjne dla podmiotów nie mających wystarczających zasobów kadrowych oraz technicznych.

Kolejnym obowiązkiem przewidzianym w Dyrektywie NIS2 jest konieczność uwzględnienia wyników skoordynowanych ocen ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw, przeprowadzonych zgodnie z art. 22 ust. 1 Dyrektywy NIS2. Skoordynowana ocena ryzyka budzi największe kontrowersje z uwagi na zakres kryteriów tej oceny, w tym uwzględnienie pozatechnicznych aspektów przy jej dokonywaniu.

Skoordynowane szacowanie ryzyka

Prawna podstawa tej procedury znajduje się w art. 22 Dyrektywy NIS2. Kluczowe kryteria i warunki jej przeprowadzania przewidziane zostały jednak w motywach dyrektywy, w szczególności w motywach (90) i (91). Procedura w ogólnym zarysie jest dwuetapowa:

  • Procedurę inicjuje Grupa Współpracy (art. 14 Dyrektywy NIS2) w celu ograniczenia kluczowych ryzyk łańcuchów dostaw.
  • Po konsultacjach z ENISA i Komisją oraz w niektórych przypadkach z zainteresowanymi stronami, przeprowadza się skoordynowane szacowanie ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw.

Przede wszystkim, ze strony biznesu mogą pojawić się pytania o to jakie kryteria stoją za wyborem określonego łańcucha dostaw. W tym zakresie dyrektywa nie dostarcza żadnych informacji, poza odwołaniem do 5G Toolbox jako procedury stanowiącej wzór do kolejnych skoordynowanych szacowań ryzyka. Na ten moment stwierdzić można, że biorąc pod uwagę strukturę organu jakim jest Grupa Współpracy (przedstawiciele państw członkowskich, ENISA i Komisji) powinna to być decyzja oparta na szerokim konsensusie politycznym. 


Celem procedury skoordynowanego szacowania ryzyka jest określenie środków, planów ograniczania ryzyka i najlepszych praktyk dotyczących przeciwdziałania krytycznym zależnościom, potencjalnym pojedynczym punktom awarii, zagrożeniom, podatnościom i innemu ryzyku związanemu z łańcuchem dostaw. Drugim celem jest zbadanie sposobów dalszego zachęcania podmiotów kluczowych i ważnych do ich szerszego stosowania.


Kryteria na jakich oparta będzie ocenna część procedury obejmują pięć zagadnień  i wszystkie dotyczą usług, systemów i produktów ICT:

  • Po pierwsze zakresu ich wykorzystania i poziomu zależności od nich.
  • Po drugie ich znaczenia dla wykonywania krytycznych lub wrażliwych funkcji.
  • Po trzecie dostępności alternatyw.
  • Po czwarte ich odporności na zakłócenia w całym cyklu życia. 
  • Po piąte ich potencjalnego przyszłego znaczenia. 

Powyższe kryteria można określić jako techniczne. W motywie (90) dyrektywy wskazano również tzw. czynniki pozatechniczne. Jest to w szczególności nadmierny wpływ państwa trzeciego na dostawców i usługodawców w postaci np. blokad technologicznych, zbytniej zależności od dostawcy czy ukrytych backdoorów.

Konsekwencje skoordynowanej oceny ryzyka łańcucha dostaw dla biznesu

Aby zrozumieć konsekwencje dla biznesu należy sięgnąć do art. 21 Dyrektywy NIS2, w którym zostały uregulowane szczegółowe obowiązki podmiotów kluczowych i ważnych. Zgodnie z ust. 3 tego przepisu państwa członkowskie, oceniając spełnienie obowiązków z Dyrektywy NIS2, muszą brać pod uwagę wyniki skoordynowanego szacowania ryzyka. Ta niewielka wzmianka może mieć duże konsekwencje dla biznesu. Jeżeli bowiem, dany podmiot zapewni compliance z Dyrektywą NIS2, co oznacza w pewnym uproszczeniu wypełnienie wymogów art. 21 Dyrektywy NIS2, to mimo wszystko jego działania mogą zostać uznane za niezgodne z tymi przepisami wyłącznie dlatego że nie uwzględnił wyników wspomnianej procedury. Może to się wiązać nawet z nałożeniem kar finansowych przewidzianych w Dyrektywie NIS2.

Dla biznesu będzie zatem kluczowe, aby monitorować na bieżąco postępujące prace w kierunku kolejnych skoordynowanych szacowań ryzyka. Może się bowiem okazać, że nawet dokładne wykonywanie wymogów Dyrektywy NIS2 nie wystarczy, jeśli w ramach naszego łańcucha dostaw znajdzie się podmiot uznany za szczególnie ryzykowny w ramach skoordynowanego szacowania ryzyka.

Krajowe szacowanie ryzyka

Ta procedura nie została nazwana w tekście dyrektywy. Stanowi ona zbiorcze określenie na szereg uprawnień państw członkowskich do rozszerzania zakresu podmiotowego Dyrektywy NIS2. Wspomniane uprawnienia znajdują się art. 2 ust. 2 lit. b, c, d i e Dyrektywy NIS2 i pozwalają one objąć zakresem dyrektywy: 


  • Podmioty będące jedynym dostawcą usługi w danym państwie członkowskim, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej.
  • Podmioty świadczące usługi, których zakłócenie mogłoby mieć znaczący wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne.
  • Podmioty świadczące usługi, których zakłócenie mogłoby prowadzić do powstania poważnego ryzyka systemowego, w szczególności w sektorach, w których takie zakłócenie mogłoby mieć wpływ transgraniczny.
  • Podmioty krytyczne ze względu na ich szczególne znaczenie na poziomie krajowym lub regionalnym dla konkretnego sektora lub rodzaju usługi lub dla innych współzależnych sektorów w państwie członkowskim.

Warto wyciągnąć z tego wyliczenia dwa wnioski. Po pierwsze, że zakres przewidziany w dyrektywie może ulec znacznej modyfikacji w procesie implementacji Dyrektywy NIS2 do krajowego porządku prawnego. Kontynuacją tego jest drugi wniosek, zgodnie z którym nawet po implementacji Dyrektywy NIS2, podmiot poprzednio nieobjęty żadnymi obowiązkami, może zostać objęty pełnym zakresem tych obowiązków, jeżeli wpisuje się w któryś z powyżej wyliczonych warunków.

Wewnętrzne szacowanie ryzyka

Wewnętrzne szacowanie ryzyka stanowi obowiązek podmiotów kluczowych oraz ważnych i jest to obowiązek z natury techniczny. W motywach i przepisach dyrektywy wskazano jednak kilka istotnych wskazówek co do jego wykonywania.

Bardzo ważne będzie zwrócenie uwagi na treść krajowych strategii cyberbezpieczeństwa. To one powinny być źródłem informacji o podejściu danego państwa członkowskiego do egzekwowania tego obowiązku. Warto również zwrócić uwagę na inne dokumenty, takie jak Narodowy Plan Ochrony Infrastruktury Krytycznej. Analiza szeroko rozumianej praktyki ochrony łańcucha dostaw w danym państwie członkowskim musi być możliwie holistyczna.

Warto również zwrócić uwagę na uprawnienia i cel funkcjonowania sieci CSIRT, która na wniosek podmiotu kluczowego lub ważnego może monitorować jego aktywa połączone z internetem.

Należy pamiętać również o treści motywu (85) dyrektywy, w którym podkreślona została szczególna rola dostawców usług przechowywania i przetwarzania danych, zarządzania w zakresie cyberbezpieczeństwa i edytorów oprogramowania. Wskazano również na konieczność oceny poziomu ryzyka i dojrzałości podmiotów trzecich stanowiących ogniwo łańcucha dostaw.

Dyrektywa NIS2 a nowelizacja UKSC w perspektywie łańcucha dostaw

Procedowany obecnie projekt nowelizacji Ustawy o krajowym systemie cyberbezpieczeństwa (UKSC, UD68) został przyjęty przez Stały Komitet Rady Ministrów pod koniec kwietnia bieżącego roku. Wiele rozwiązań przewidzianych w projekcie budzi pewne kontrowersje, w szczególności te dotyczące 5G. Z perspektywy łańcucha dostaw warto zwrócić uwagę na pojęcie dostawców wysokiego ryzyka (HRV- high risk vendors). O ile mechanizm kontroli przewidziany w Dyrektywie NIS2 działać będzie jedynie w wypadku kontroli (do tego momentu to na podmiotach objętych Dyrektywą NIS2 spoczywa obowiązek zarządzania ryzykiem), to w rozwiązaniu przewidzianym w projekcie nowelizacji UKSC, to właściwy minister określać będzie który podmiot uznany zostanie za dostawcę szczególnego ryzyka. Rozwiązanie to jest zatem wyraźnie sprzeczne z Dyrektywą NIS2.

Okiem ekspertów EY Law

Mechanizmy oceny ryzyka przewidziane w Dyrektywie NIS2 są rozbudowane i wielopoziomowe. Odpowiednie rozwiązania mogą być wykorzystywane zarówno na szczeblu międzynarodowym jak i krajowym. Nie bez znaczenia są też obowiązki nałożone na podmioty kluczowe i ważne. Dla biznesu ważne jest, aby mieć na uwadze proces implementacji, który jak widać na polskim przykładzie, może być dalece skomplikowany.

Warto monitorować kolejne zmiany w zakresie cyberbezpieczeństwa, zarówno na gruncie legislacji krajowej jak i unijnej. Jak bowiem widać po regulacji bezpieczeństwa łańcucha dostaw w Dyrektywie NIS2, interesujące nas zagadnienia mogą okazać się dużo szersze, niż wydawałoby się po pobieżnej lekturze tekstu dyrektywy czy rozporządzenia. 



Podsumowanie

Głównym celem Dyrektywy NIS2, która została przyjęta 28 listopada 2022 roku (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.) jest podnoszenie ogólnego poziomu cyberbezpieczeństwa w UE. Jednym z najważniejszych elementów tej dyrektywy są normy dotyczące oceny bezpieczeństwa łańcucha dostaw (supply chain security). Czy praktyczna implementacja założeń Dyrektywy okaże się problematyczna? 


Kontakt
Chcesz dowiedziec sie wiecej? Skontaktuj sie z nami.

Informacje

Autorzy