Pod koniec 2020 r. Komisja Europejska zakończyła proces rewizji dyrektywy NIS i przedstawiła propozycję nowej, kompleksowej regulacji, która została nazwana „dyrektywą NIS2”. Przepisy te mają całkowicie zastąpić dyrektywę NIS, eliminując jej słabości i znaczące różnice w implementacji pomiędzy poszczególnymi państwami członkowskimi. Komisja nie zdecydowała się przy tym na propozycję rozporządzenia, bezpośrednio stosowanego w krajach UE, choć była to jedna z rozważanych dróg.

Podmioty objęte regulacją

Najważniejszą zmianą w stosunku do obecnie obowiązującej dyrektywy wydaje się wprowadzenie jasnego kryterium określenia, które podmioty są tą dyrektywą objęte. Na gruncie obecnie obowiązującej dyrektywy NIS tymi podmiotami byli m.in. operatorzy usług kluczowych czy dostawcy usług cyfrowych. W przypadku tej pierwszej kategorii to państwa członkowskie w regulacjach krajowych miały stworzyć system identyfikacji operatorów usług kluczowych – skutkiem tego był brak jednolitości podejścia i znaczne zróżnicowanie np. w liczbie wyznaczonych operatorów.

Biorąc pod uwagę powyższe, zdecydowano, że to sama dyrektywa NIS2 będzie określać krąg podmiotów, które będą podlegać jej regulacjom. Szukając prostego i jednolitego kryterium, uznano, że pomocne będzie oparcie się na kryterium wielkości podmiotu – spod dyrektywy wyłączono więc mikroprzedsiębiorców i małych przedsiębiorców (z pewnymi wyjątkami) i stwierdzono, że każdy średni i duży przedsiębiorca, który prowadzi działalność wskazaną w załączniku do propozycji dyrektywy, powinien być objęty jej regulacją. Powierzono również ENISA (unijnej agencji ds. cyberbezpieczeństwa) prowadzenie rejestru podmiotów objętych dyrektywą, do którego te podmioty powinny same się zgłosić.

Kluczowe i istotne podmioty

W zakresie podmiotów objętych regulacją przebudowano również podział na operatorów usług kluczowych i dostawców usług cyfrowych – zastąpiono go w dyrektywie NIS2 podziałem na kluczowe podmioty (essential entities) i istotne podmioty (important entities) oraz rozszerzono sektory i rodzaje usług, w których te podmioty działają.

Za kluczowe podmioty (essential entities) dyrektywa NIS2 uznaje m.in. wskazane podmioty z sektora energii, transportu, bankowości, zdrowia, zaopatrzenia w wodę i infrastruktury cyfrowej, jak również podmioty publiczne. W tej ostatniej kategorii wskazano także dostawców usług chmurowych (dotąd podlegali ograniczonej regulacji jako dostawcy usług cyfrowych), dostawców centrów danych, dostawców CDN (content delivery network), dostawców usług zaufania (dotychczas byli wyłączeni spod regulacji) czy dostawców publicznych sieci łączności elektronicznej i dostawców usług łączności elektronicznej, jeśli są one powszechnie dostępne.

Pewnego rodzaju ciekawostką, pokazującą jednak dążenie do stworzenia regulacji odpowiedniej na najbliższe lata, jest wskazanie w ramach tej kategorii również sektora przestrzeni kosmicznej (space), a w jego ramach operatorów infrastruktury naziemnej – która jest własnością państw członkowskich lub podmiotów prywatnych, jest przez nie zarządzana i eksploatowana – wspierających świadczenie usług kosmicznych. Podmioty te na gruncie dyrektywy NIS2 będą uznawane za kluczowe podmioty.

Druga kategoria podmiotów (important entities) obejmuje niektóre podmioty sektora pocztowego, zarządzania odpadami, produkcji i dystrybucji chemikaliów, żywności i innych wskazanych produktów, a także wskazanych dostawców usług cyfrowych, tj. dostawców:

  • internetowych platform handlowych (providers of online marketplaces);
  • wyszukiwarek internetowych (providers of online search engines);
  • serwisów społecznościowych (providers of social networking services platform) – warto zwrócić uwagę, że ci dostawcy nie byli dotąd objęci dyrektywą NIS.

Podejście oparte na ryzyku i kary administracyjne

Zarówno kluczowe, jak i istotne podmioty zgodnie z dyrektywą NIS2 powinny podlegać takim samym wymogom w zakresie zarządzania ryzykiem i obowiązkom sprawozdawczym. Takie same wymogi nie oznaczają jednak, że zrezygnowano z podejścia opartego na ryzyku – wręcz przeciwnie. W praktyce oznacza to, że ustawa implementująca dyrektywę NIS2 nie powinna zawierać rozróżnienia obowiązków kluczowych i istotnych podmiotów – jak obecna ustawa o krajowym systemie cyberbezpieczeństwa różnicuje obowiązki operatorów usług kluczowych i dostawców usług cyfrowych.

Odnośnie do podejścia opartego na ryzyku kraje członkowskie powinny zgodnie z projektem dyrektywy NIS2 zapewnić, że podmioty objęte regulacją podejmą odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych, które podmioty te wykorzystują przy świadczeniu swoich usług. Projekt dyrektywy NIS2 przewiduje przy tym, że systemy nadzoru i sankcji pomiędzy podmiotami kluczowymi i istotnymi powinny być zróżnicowane, co będzie się bezpośrednio przekładać na wysokość kar za naruszenie przepisów.

W tym zakresie projekt dyrektywy NIS2 jasno odnosi się do wysokości kar administracyjnych, które mogą zostać nałożone na kluczowe lub istotne podmioty, określając ich górną granicę – 10 milionów euro lub 2% przychodu, w zależności od tego, która kwota będzie wyższa. Taka propozycja jest o tyle istotna, że maksymalne kwoty kar administracyjnych na gruncie ustawy o krajowym systemie cyberbezpieczeństwa (implementującej dyrektywę NIS) były znacząco niższe, a w porównaniu z karami, które mogły zostać nałożone na gruncie RODO – nieznaczne. Jednocześnie doświadczenia wdrożenia RODO pokazują, że zagrożenie niewykonania obowiązków wysokimi karami jest pewnego rodzaju motywacją dla podmiotów zobowiązanych.

Dyrektywa NIS2 – rewolucja w dziedzinie cyberbezpieczeństwa?

Opisane wyżej propozycje zmian jasno pokazują, że wyciągnięto wnioski z często niedoskonałej, ale przede wszystkim niejednolitej implementacji dyrektywy NIS. Nie zdecydowawszy się na wprowadzenie rozporządzenia unijnego, Komisja podjęła próbę wyeliminowania rozbieżności podejścia krajów członkowskich w poszczególnych krajowych regulacjach, przynajmniej w najistotniejszych kwestiach. Trzeba przy tym pamiętać, że opisywana dyrektywa NIS2 jest dopiero projektem, a ostateczny kształt regulacji będzie jeszcze podlegać uzgodnieniom.

Niezależnie jednak od tego wdrożenie dyrektywy NIS2 wymagać będzie w dalszej perspektywie zmian w polskim krajowym systemie cyberbezpieczeństwa, w którego skład wejdzie więcej podmiotów niż dotychczas. Oznaczać to będzie także rezygnację z procedury wyznaczania podmiotów decyzją administracyjną. Odciążenie organów właściwych w tym zakresie może pozwolić na przekierowanie sił i środków nie tylko na nadzór nad podmiotami zobowiązanymi (czyli w praktyce weryfikację spełnienia przez nich ustawowych obowiązków), lecz także na tworzenie inicjatyw wspierających wymianę informacji w zakresie cyberbezpieczeństwa.

Propozycja dyrektywy NIS2 jest dostępna pod linkiem.