Przestrzeganie wymogów dotyczących cyberbezpieczeństwa w obliczu rosnącej liczby cyberataków będzie miało kluczowe znaczenie zarówno dla kwestii wizerunkowych i finansowych wielu podmiotów gospodarczych.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS 2), a w ślad za nią projekt nowelizacji ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (u.k.s.c.) w znacznym stopniu zmieniają ramy tego systemu. Wymagania i obowiązki zostaną zwiększone, obejmując szerszy krąg podmiotów, jednakże skutki tych zmian mogą sięgać dalej.

Projekt nowelizacji u.k.s.c. proponuje rozszerzenie listy podmiotów w krajowym systemie cyberbezpieczeństwa o dodatkowe sektory gospodarcze. Do sektorów takich jak energetyka, transport, zdrowie, bankowość, infrastruktura rynków finansowych, zaopatrzenie w wodę oraz infrastruktura cyfrowa, zgodnie z dyrektywą NIS 2, wprowadzono nowe obszary: gospodarka odpadami, zarządzanie ICT, przestrzeń kosmiczna, usługi pocztowe, produkcja, produkcja i dystrybucja chemikaliów oraz produkcja i dystrybucja żywności. Dyrektywa NIS 2 wprowadza także podział na podmioty kluczowe i ważne. Polski ustawodawca, implementując dyrektywę, przyjął kryterium wielkości podmiotu jako główny wyznacznik podziału. I tak co do zasady podmioty, które spełniają warunki dla średniego przedsiębiorstwa, uznawane są za podmioty ważne, natomiast większe przedsiębiorstwa są klasyfikowane jako kluczowe, niezależnie od branży, w której działają.

Istotna zmiana dotyczy nowych obowiązków nałożonych na podmioty kluczowe i ważne. Podstawowym będzie wdrożenie systemu zarządzania bezpieczeństwem informacji. Zgodnie z projektem nowelizacji u.k.s.c. w ramach tego systemu zarządzania bezpieczeństwem informacji konieczne będzie prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem. Podmioty obowiązane powinny zatem wprowadzić odpowiednią politykę w tym zakresie. Następnie niezbędne będzie wdrożenie odpowiednich środków technicznych i organizacyjnych na podstawie oszacowanego ryzyka. Ustawodawca w projekcie nowelizacji wskazuje minimalny zakres tego wdrożenia, który obejmuje politykę bezpieczeństwa systemu informacyjnego, politykę bezpieczeństwa i ciągłość łańcucha dostaw produktów, usług i procesów ICT, plan ciągłości działania (w tym plany awaryjne umożliwiające odtworzenie systemu informacyjnego po katastrofie), politykę cyberhigieny (dla personelu) oraz politykę stosowania kryptografii, w tym szyfrowania.

Dyrektywa NIS 2, a w ślad za nią projekt nowelizacji u.k.s.c. kładą duży nacisk na konieczność zapewnienia bezpieczeństwa łańcucha dostaw. Nowa regulacja z jednej strony zobowiązuje podmioty ważne i kluczowe do zapewnienia odpowiednich środków w zakresie bezpieczeństwa łańcucha dostaw, z drugiej strony na niektórych dostawców usług IT jako na podmioty kluczowe lub ważne nakłada szereg obowiązków. Rozwijająca się współpraca i powiązania pomiędzy podmiotami gospodarki sprawiają, że bezpieczeństwo jednego z tych podmiotów zależy od poziomu bezpieczeństwa zapewnionego przez podmioty trzecie: dostawców towarów, rozwiązań czy usług. Wprowadzenie odpowiednich środków pozwalających na zabezpieczenie przed cyberatakami poszczególnych elementów łańcucha dostaw jest szczególnie istotne. Za równie ważne uznaje się wdrożenie adekwatnych rozwiązań pozwalających na niwelowanie skutków takich ataków.

Z preambuły do dyrektywy NIS 2 wynika, że podmioty kluczowe i ważne powinny oceniać i uwzględniać ogólną jakość i odporność produktów i usług, a także praktyki dotyczące cyberbezpieczeństwa stosowane przez poszczególnych dostawców rozwiązań ICT. Preambuła zawiera także rekomendację, aby podmioty kluczowe i ważne w umowach z dostawcami uwzględniały zapewnienie odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie. Jak powyższe rekomendacje wpłyną na faktyczne działania podmiotów obowiązanych?

Środki wdrażane i podejmowane przez podmioty kluczowe i ważne wobec dostawców powinny być adekwatne i proporcjonalne, zarówno do wielkości organizacji, stopnia narażenia na zagrożenia cyberbezpieczeństwa, jak i charakteru współpracy. W pierwszej kolejności wybór dostawcy powinien zostać poprzedzony analizą i szacowaniem ryzyka związanego z konkretnym dostawcą. Może się to odbywać na podstawie ankiet dotyczących cyberbezpieczeństwa lub wyciągu z polityk bezpieczeństwa wdrożonych u dostawcy – wszystko po to, aby podmioty kluczowe i ważne mogły oszacować ryzyka związane z planowaną współpracą oraz zdolność dostawcy w radzeniu sobie z zagrożeniami cyberbezpieczeństwa. Po drugie, przy zawieraniu umów z wybranym dostawcą podmioty kluczowe i ważne powinny dążyć do wprowadzenia odpowiednich postanowień umownych, w których zostaną ustalone wymagania w zakresie cyberbezpieczeństwa. Możliwe jest również wprowadzenie kar umownych za nieprzestrzeganie tych wymagań, a w przypadku poważnych, powtarzających się naruszeń – postanowienie pozwalające na rozwiązanie takiej umowy ze skutkiem natychmiastowym. Po trzecie, na etapie realizacji kontraktu podmiot kluczowy i ważny powinien zapewnić egzekwowanie postanowień umownych oraz monitorować dostawców. Jeśli w umowie została przewidziana możliwość przeprowadzenia audytu – zamawiający powinien z takiego prawa skorzystać. Cała procedura wyboru dostawcy aż do zarządzania kontraktem i wyjścia z niego powinna stanowić element systemu zarządzania bezpieczeństwem.

Powyższe obowiązki dotyczące zapewnienia przez podmioty kluczowe i ważne bezpieczeństwa i ciągłości łańcuchów dostaw mogą spowodować, że również dostawcy będą zobligowani do zapewniania odpowiednich środków w zakresie cyberbezpieczeństwa. Wystąpi efekt domina: podmiot nieobjęty obowiązkami wynikającymi z nowelizacji u.k.s.c. zostanie zmuszony do ich zastosowania, aby utrzymać dotychczasowych klientów lub pozyskać nowych. Dla wielu dostawców może się to wiązać z wdrożeniem przynajmniej niektórych elementów systemu zarządzania bezpieczeństwem informacji, aby nie zostać pominiętym przy zamówieniach ze strony zamawiających objętych obowiązkami z NIS 2/ znowelizowanej u.k.s.c.

Zatem z jednej strony obowiązki te będą musiały zostać wypełnione przez podmioty kluczowe i ważne, a w konsekwencji – przez ich dostawców. Z drugiej strony stosowanie się do wymogów cyberbezpieczeństwa wobec rosnącej liczby cyberataków będzie istotne dla kwestii wizerunkowych i finansowych wielu podmiotów gospodarczych. Nie należy zapominać również o tym, że atak hakerski powodujący utratę, brak integralności lub ujawnienie informacji dotyczących tajemnicy przedsiębiorstwa może przynieść negatywne konsekwencje w wielu obszarach funkcjonowania przedsiębiorstwa.

Dyrektywa NIS 2 powinna zostać zaimplementowana do porządku prawnego państw członkowskich (w tym do polskiego porządku prawnego) do 17 października 2024 r. Opublikowany w kwietniu projekt nowelizacji u.k.s.c. jest już po zakończonym etapie opiniowania i konsultacji publicznych. Rośnie też świadomość społeczeństwa co do zagrożeń związanych z cyberatakami. Przedsiębiorców wracających z urlopów czeka zatem pracowita jesień, bo wdrożenie systemu zarządzania cyberbezpieczeństwem stanie się niebawem standardem rynkowym.

Wprowadzenie odpowiednich środków pozwalających na zabezpieczenie przed cyberatakami poszczególnych elementów łańcucha dostaw jest szczególnie istotne. Podobnie jak wdrożenie adekwatnych rozwiązań pozwalających na niwelowanie skutków takich ataków

Artykuł został opublikowany w Dzienniku Gazeta Prawna 1 października 2024 roku.

W razie pytań dotyczących wdrożenia przepisów związanych z dyrektywą NIS2, zapraszamy do kontaktu z Adrianą Zalewską-Werrą: a.werra@dsk-kancelaria.pl