Wdrożenie regulacji
Transpozycja NIS2 jest szansą na uporządkowanie przepisów dotyczących cyberbezpieczeństwa w Polsce. Niemniej wymaga ona szerokich konsultacji społecznych ze wszystkimi podmiotami reprezentującymi 18 sektorów objętych regulacją. Szacuje się, że w przeciwieństwie do kilkuset podmiotów, do których obecnie stosuje się ustawę o krajowym systemie cyberbezpieczeństwa, dyrektywa NIS2 nakłada obowiązki na kilka do kilkunastu tysięcy polskich przedsiębiorstw i podmiotów publicznych.
Dotychczasowe doświadczenia związane z niedoszłą nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) wskazują, że implementacja dyrektywy NIS2 do polskiego porządku prawnego będzie procesem długotrwałym. Prace nad nowelizacją UKSC trwały ponad trzy lata i we wrześniu poprzedniego roku projekt został wycofany. Zgodnie z terminem transpozycji dyrektywa NIS2 powinna zostać wprowadzona do polskiego porządku prawnego do 18 października 2024 r. Po tym terminie polscy przedsiębiorcy oraz podmioty publiczne będą zobowiązane do stosowania nowych środków w zakresie cyberbezpieczeństwa.
Analizując modele zaproponowane w innych państwach członkowskich, wydaje się, że istnieją dwa najbardziej prawdopodobne scenariusze:
- gruntowna nowelizacja UKSC,
- przyjęcie nowej ustawy uchylającej poprzednią.
Z perspektywy biznesu i pewności obrotu prostszym i pewniejszym rozwiązaniem byłoby uchwalenie nowej ustawy i zamknięcie skomplikowanego rozdziału, jaki stanowiły kolejne próby nowelizacji UKSC. Należy mieć także nadzieję, że transpozycja NIS2 nie będzie odbywała się w pośpiechu i proces legislacyjny zostanie przeprowadzony z szerokim udziałem ekspertów, przedstawicieli biznesu oraz organizacji społecznych.
Wyzwaniem związanym z wdrożeniem NIS2 są środki cyberbezpieczeństwa. To priorytet zarówno dla państw członkowskich UE, które będą musiały wprowadzić efektywny mechanizm egzekwowania wprowadzenia tych środków, jak i dla przedsiębiorstw objętych dyrektywą NIS2.
W NIS2 znajduje się lista 10 środków cyberbezpieczeństwa (art. 21 ustęp 2 lit. a–j). Obejmuje ona m.in. wprowadzenie zasad dotyczących: zarządzania ryzykiem, bezpieczeństwa łańcucha dostaw oraz określonych środków technicznych, takich jak kryptografia czy uwierzytelnianie wieloskładnikowe. Należy wskazać, że państwa członkowskie w dużej mierze trzymają się katalogu środków przewidzianych w tekście dyrektywy NIS2. Takie wnioski wyciągnąć można z analizy projektów w Chorwacji, Niemczech, Belgii czy Finlandii. Stawia to zatem przed polskim ustawodawcą pytanie, czy w ramach polskiego procesu implementacji dyrektywy NIS2 należy rozbudować katalog środków cyberbezpieczeństwa, czy też poprzestać na 10 wymogach z dyrektywy NIS2.
Wydaje się, że konieczne jest przede wszystkim zapewnienie proporcjonalnego stosowania wymogów NIS2. Zgodnie z art. 21 ust.2 NIS2 w ramach analizy proporcjonalności należy wziąć pod uwagę:
- stopień narażenia na ryzyko,
- wielkość podmiotu,
- prawdopodobieństwo wystąpienia incydentów,
- skutek wystąpienia incydentu dla społeczeństwa oraz gospodarki.
Tak sformułowana zasada proporcjonalności tworzy pewien „bezpiecznik” dla adresatów NIS2. Pozwala na dokonanie samodzielnej oceny, w jaki sposób wdrożyć określone obowiązki. Może to być istotne przy wdrażaniu wymogów związanych z bezpieczeństwem łańcucha dostaw. Jako przykład można podać sytuację, w której organ wymaga szeroko zakrojonej kontroli poddostawców. W takiej sytuacji należy zbadać, czy nakaz organu nie sięga za daleko, a kluczowym mechanizmem będzie tu właśnie test proporcjonalności. Zasada proporcjonalności powinna pozwolić na ocenę, który poddostawca i w jakim stopniu jest kluczowy z perspektywy bezpieczeństwa łańcucha dostaw.
Zgłaszanie incydentów
Dyrektywa NIS2 wprowadza także istotne zmiany w zakresie raportowania incydentów. Z procesem raportowania incydentów wiąże się wiele wyzwań. Przede wszystkim podmioty kluczowe i ważne będą musiały dostosować swoją strukturę organizacyjną tak, aby odpowiednio szybko zebrać informacje o incydencie i przesłać je do właściwego organu nadzorczego. Co równie ważne, za proces ten odpowiedzialni będą członkowie zarządu, również ci niezajmujący się bezpieczeństwem informacji i IT. Wymusza to przeprowadzenie odpowiednich szkoleń i wdrożenie mechanizmów, które pozwolą zminimalizować ryzyko odpowiedzialności zarządu za błędy w raportowaniu incydentów.
NIS2 to nie tylko wymogi i kary – dla podmiotów kluczowych mogące wynosić nawet 10 mln euro lub 2 proc. całkowitego rocznego obrotu. Z procesem implementacji dyrektywy wiążą się liczne szanse dla przedsiębiorców. Szczególnie warto zwrócić uwagę, że uporządkowanie kwestii cyberbezpieczeństwa na poziomie UE zwiększy pewność prawa oraz podniesie poziom cyberbezpieczeństwa w państwach członkowskich. Pozytywnie wpłynie to na pozycję rynkową podmiotów inwestujących i dbających o poziom cyberbezpieczeństwa w swojej organizacji.