W ramach mini-cyklu Projekty i regulacje unijne w obszarze Ochrony Zdrowia objaśniamy Państwu w tym artykule, na czym polega Dyrektywa NIS 2 (Network and Information Systems Directive) i dlaczego jest tak istotna.

Dyrektywa NIS 2 (Network and Information Systems Directive) – ważna regulacja w zakresie cyberbezpieczeństwa

Wobec wzrostu cyberataków w ciągu ostatnich lat, cyfryzacji, która została przyspieszona przez wybuch pandemii COVID-19 oraz wcześniejsze niedoszacowanie sektorów krytycznych gospodarki, narażonych na cyberataki, Unia Europejska zdecydowała się na zaostrzenie przepisów dotyczących cyberbezpieczeństwa dla dużych firm z sektora energetycznego, finansowego, transportowego, medycznego i dostawców cyfrowych.

Celem dyrektywy NIS 2 ma być harmonizacja wymogów cyberbezpieczeństwa i wdrożenie środków zwiększających ochronę w państwach Unii. Ustanowione mają być mechanizmy pomagające w skutecznej współpracy.

Warto również wspomnieć, iż rewizja dyrektywy NIS pokazała dość istotne różnice w sposobie i zakresie implementacji przepisów w ramach prawa państw członkowskich UE oraz nierówne rozłożenie podziału na operatorów usług kluczowych i pozostałe firmy w krajach członkowskich.

Dyrektywa NIS regulowała trzy obszary (zwane w jej treści filarami):
• „Pierwszy filar – zakładał powstanie w każdym z krajów członkowskich instytucji odpowiedzialnych za bezpieczeństwo cyfrowe, tzw. CSIRT (ang. Computer Security Incident Response Team, zespół reagowania na incydenty bezpieczeństwa).
• Drugi filar – dotyczył współpracy krajów członkowskich na poziomie technicznym oraz strategiczno-politycznym. Ten filar realizowany jest przez tak zwane Cooperation Group oraz sieć CSIRT, w skład których wchodzą przedstawiciele CSIRT państw członkowskich, CERT-EU i Komisja Europejska jako obserwator.
• Trzeci filar – regulował obowiązek reagowania na incydenty, obowiązek implementacji systemów bezpieczeństwa adekwatnych do ryzyka w poszczególnych sektorach i wiele innych. Dyrektywa nakładała również na członków UE stworzenie dedykowanej strategii narodowej w zakresie cyberbezpieczeństwa.”

Dyrektywa NIS2 nanosi na państwa członkowskie obowiązek opracowania planu i procedur na wypadek wystąpienia incydentów i kryzysów o dużej skali.

Dyrektywa NIS 2 (Network and Information Systems Directive) – jakie będą konsekwencje dla podmiotów z różnych branż?

Największą zmianą z perspektywy firm i instytucji jest znaczne rozszerzenie zakresu podmiotów objętych zarządzeniami dyrektywy. Dyrektywa NIS 2 „ustanawia bowiem zasadę wielkości jako identyfikacji regulowanych podmiotów. Będzie obejmować wszystkie średnie i duże podmioty, świadczące usługi objęte dyrektywą”. W związku z tym, w niedługim czasie w naszym kraju na kilka tysięcy firm zostaną nałożone wysokie wymagania dotyczące cyberbezpieczeństwa.

Nowa dyrektywa zawiera przepisy dotyczące wyższego poziomu zarządzania ryzykiem oraz kryteria, które mają umożliwić organom krajowym określenie dalszych podmiotów objętych dyrektywą. Dodatkowo ustanawia ramy dla lepszej współpracy i wymiany informacji między organami i państwami członkowskimi oraz tworzy europejską bazę danych – Europejską Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.

Wejście w życie regulacji spowoduje, że więcej podmiotów z różnych branż będzie musiało podjąć działania na rzecz ochrony niezbędnych sektorów, takich jak bankowość, energetyka, transport, infrastruktura cyfrowa, zdrowie, czy administracja publiczna.

Firmy z wymienionych branż są zobowiązane do oceny ryzyka związanego z cyberbezpieczeństwem, powiadamiania władz o wszelkich nieprawidłowościach oraz podejmowania działań w celu przeciwdziałania zagrożeniom. Nieprzestrzeganie przepisów obłożone jest sankcjami, tj. grzywną do 2% globalnych obrotów.

Dyrektywa NIS 2 weszła w życie 16.01.2022, a państwa członkowskie mają 21 miesięcy (tj. do października 2024) od wejścia w życie dyrektywy na włączenie jej przepisów do prawa krajowego.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa

W Polsce Ustawa o Krajowym Systemie Cyberbezpieczeństwa weszła w życie w sierpniu 2018 r. i była implementacją dyrektywy NIS – pierwszego unijnego prawa regulującego kwestię cyberbezpieczeństwa w obrębie państw członkowskich Wspólnoty.

Ustawa sklasyfikowała tak zwanych operatorów usług kluczowych (OUK), którzy zostali objęci restrykcyjnymi przepisami w zakresie cyberbezpieczeństwa. Na liście znalazło się kilkaset podmiotów (w tym firmy z sektora energetycznego, transportowego, bankowość, zdrowia i inne).

Do najważniejszych obowiązków OUK należało między innymi:
• zaimplementowanie adekwatnych do ryzyka środków bezpieczeństwa,
• ich utrzymanie oraz monitorowanie,
• zgłaszanie wszelkich incydentów do odpowiednich CSIRT, czyli Computer Security Incident Response Team (CSIRT NASK, CSIRT GOV i CSIRT MON).

Ponadto operatorzy usług kluczowych mają obowiązek przeprowadzania raz na dwa lata audytów swoich zabezpieczeń.

Spodziewany czas wejścia w życie znowelizowanej ustawy to początek II kwartału 2023. W przeciwieństwie do pierwotnej wersji ustawy z 2018 r., główni zainteresowani nie otrzymają decyzji administracyjnych od Ministerstwa Cyfryzacji o objęciu regulacjami ustawy.

Szacuje się, że wdrożenie wymaganych zmian może zająć poszczególnym firmom nawet kilkanaście miesięcy.

HERA – jak działa Urząd ds. Gotowości i Reagowania na Stany Zagrożenia Zdrowia

HERA to nowopowstały Urząd ds. Gotowości i Reagowania na Stany Zagrożenia Zdrowia. Ma na celu zapobieganie sytuacjom zagrożenia zdrowia, wykrywanie ich i szybkie reagowanie na takie sytuacje. Urząd został utworzony w pandemii COVID-19 i jego głównym działaniem jest przewidywanie potencjalnych zagrożeń i kryzysów zdrowotnych, dzięki gromadzeniu informacji i tworzeniu niezbędnych zdolności reagowania na nie.

W przypadku wystąpienia zagrożenia, HERA ma zapewnić opracowanie, produkcję i dystrybucję leków, szczepionek i innych medycznych środków przeciwdziałania. Urząd HERA powstał 16 września 2021 roku i jest jedną z dyrekcji generalnych Komisji Europejskiej. To kluczowy filar Europejskiej unii Zdrowotnej, koncentrujący swoje działania w obszarze zdrowia publicznego.

Źródła: Komisja Europejska, www.cyberdefence24.pl, Netia, materiały i opracowania własne.