Do 17 października 2024 r. do krajowego porządku prawnego powinna zostać wdrożona dyrektywa NIS 2. Warto omówić dwie kluczowe zmiany, które się z nią wiążą – rozszerzenie zakresu podmiotowego regulacji i wymogi bezpieczeństwa łańcucha dostaw.
Jesteśmy na półmetku okresu przewidzianego na implementację ważnej regulacji z zakresu cyberbezpieczeństwa – dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (Dz Urz UE L 333 z 27.12.2022; dalej: dyrektywa NIS 2).
Dotychczas obowiązująca dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz Urz UE L 194 z 19.07.2016; dalej: dyrektywa NIS) obejmuje swoim zakresem dwie kategorie podmiotów: operatorów usług kluczowych (dalej: OUK) oraz dostawców usług cyfrowych.
Operatorzy usług kluczowych to podmioty, które dostarczają usługę niezbędną do utrzymania krytycznych społecznych i (lub) gospodarczych funkcji społeczeństwa. Zidentyfikowane w NIS sektory, w których mogą występować OUK, to: infrastruktura energetyczna, transport, a także usługi bankowe i finansowe, zdrowia, zaopatrzenia w wodę oraz infrastruktury cyfrowej.
Zgodnie z dyrektywą NIS obowiązek identyfikacji podmiotów, które spełniają wymogi stawiane operatorom kluczowych usług, spoczywa na państwach członkowskich. W Polsce uznanie danego podmiotu za OUK następuje na podstawie decyzji właściwego organu (ministra odpowiedzialnego za dany sektor gospodarki). Podmiotów wyznaczonych jako OUK jest w naszym kraju stosunkowo niewiele. Według danych z lutego 2023 r., udostępnionych w trybie dostępu do informacji publicznej, za operatorów usług kluczowych w Polsce uznano ok. 400 podmiotów. Warto jednocześnie podkreślić, że ich liczba znacząco wzrosła w stosunku do roku poprzedniego (2022 r.), jako że proces wyznaczania OUK jest procesem ciągłym.
Z kolei dostawców usług cyfrowych zdefiniowano na gruncie dyrektywy NIS jako osoby prawne świadczące usługi cyfrowe, tj. usługi, które są świadczone za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie ich odbiorców. Zgodnie z dyrektywą NIS do usług cyfrowych zaliczamy: internetową platformą handlową, wyszukiwarkę internetową lub usługę przetwarzania w chmurze.
Nowy zakres podmiotowy w NIS 2
W dyrektywie NIS 2 zakres podlegania regulacjom z obszaru cyberbezpieczeństwa został znacząco rozszerzony o kolejne sektory gospodarki. Dyrektywa ta wprowadza także kryterium wielkości podmiotu, na podstawie którego określa się, jakie podmioty są nią objęte, a jakie nie.
NIS 2 ma zastosowanie do wszystkich podmiotów, które prowadzą działalność we wskazanych w dyrektywie sektorach gospodarki oraz są uznawane za średnie lub duże przedsiębiorstwa [1]. Regulacje NIS 2 obejmą zatem przedsiębiorstwa, które zatrudniają co najmniej 50 pracowników i których roczny obrót i (lub) roczna suma bilansowa przekracza 10 mln euro.
Do stosowania nowej dyrektywy będą zobowiązane również niektóre mikroprzedsiębiostwa i małe przedsiębiorstwa. Dotyczy to m.in. podmiotów wskazanych w przepisach bezpośrednio, takich jak dostawcy usług zaufania czy podmioty, które spełnią kryteria wskazujące na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów bądź typów usług.
Oprócz kryterium wielkości dyrektywa NIS 2 wprowadza w miejsce dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych podział na dwie nowe kategorie: podmioty kluczowe (essential entities) i podmioty ważne (important entities). W zależności od wielkości podmiotu oraz tego, w jakim sektorze on działa, tj. jakie jest znaczenie danego sektora dla niezakłóconego funkcjonowania gospodarczego i społecznego Unii Europejskiej (dalej: UE), będzie on kwalifikowany jako podmiot kluczowy lub ważny.
Wyjątkiem od tego są m.in. kwalifikowani dostawcy usług zaufania, dostawcy usług DNS czy rejestry nazw domen najwyższego poziomu, którzy będą uznawani za podmioty kluczowe niezależnie od wielkości.
Kolejnym wyjątkiem są podmioty administracji publicznej – w stosunku do nich kryterium wielkości nie ma zastosowania. W ich przypadku przyjęto inny podział – podmioty administracji publicznej na poziomie rządu centralnego będą podmiotami kluczowymi. Natomiast na poziomie regionalnym podmioty administracji publicznej będą podmiotami ważnymi, ale dopiero wtedy, gdy ocena wynikająca z analizy ryzyka wykaże, że świadczą one usługi, których zakłócenie mogłoby mieć znaczący wpływ na krytyczną działalność społeczną lub gospodarczą. Nie jest natomiast jasne, kto ma przeprowadzać tę analizę – tę kwestię powinien przesądzić polski ustawodawca w ramach ustawy implementującej NIS 2 do polskiego sytemu prawnego. Możliwości jest kilka – za wspomnianą ocenę mogą potencjalnie odpowiadać organy wyższego stopnia, organy nadzorcze, organy właściwe do spraw cyberbezpieczeństwa, ustawodawca czy też sam podmiot administracji publicznej, którego ocena ma dotyczyć.
Zgodnie z regulacjami NIS 2 państwa członkowskie mogą także objąć przepisami podmioty administracji publicznej na poziomie lokalnym, jeśli uznają to za stosowne.
Należy pamiętać, że w NIS 2 przyjęto zasadę samookreślenia podmiotów (self-assessment) – obowiązkiem podmiotów będzie zatem przeprowadzenie we własnym zakresie oceny, czy na podstawie wskazanych w dyrektywie kryteriów są podmiotem kluczowym lub ważnym.
Warto również zaznaczyć, że podmioty kluczowe i ważne będą różnie traktowane na gruncie NIS 2 w zakresie środków nadzoru i kar, które będą bardziej dotkliwe w przypadku podmiotów kluczowych. Z kolei zakres obowiązków podmiotów kluczowych i ważnych jest tożsamy, z niewielkim wyjątkiem rejestrów nazw TLD oraz podmiotów świadczących usługi rejestracji nazw domen, dla których przewidziano w NIS 2 dodatkowe obowiązki.
Podmioty kluczowe
Zgodnie z NIS 2 podmioty kluczowe dostarczają usługi niezbędne do funkcjonowania społeczeństwa i gospodarki. Są zatem integralnym elementem infrastruktury krytycznej UE, a ich działalność ma bezpośredni wpływ na stabilność i bezpieczeństwo społeczne i gospodarcze. W załączniku I dyrektywy NIS 2 wskazano 11 sektorów kluczowych (sectors of high criticality), w których działają podmioty kluczowe.
Warto zauważyć, że to rozszerzony o nowe sektory katalog obszarów, w których działalność prowadzą dotychczasowi operatorzy usług kluczowych. Oprócz samych sektorów załącznik wskazuje również podsektory, a także konkretne rodzaje podmiotów, jakie są objęte przepisami dyrektywy. Do stosowania NIS 2 zobowiązane są tylko te rodzaje podmiotów, które wskazano w załączniku.
Nie oznacza to jednak, że podmioty te są określone w sposób precyzyjny. Przykładem jest sektor zarządzania usługami ICT, w ramy którego wchodzą dostawcy usług zarządzanych. W NIS 2 wprowadzono ich definicję (art. 6 pkt 39), natomiast jest ona dość szeroka i pozostawia spore pole do interpretacji. Wynika z niej, przy literalnej wykładni, że dostawcami usług zarządzanych będą nie tylko podmioty prowadzące aktywną administrację systemów ICT u klientów, ale także wszystkie inne podmioty świadczące usługi związane m.in z instalacją, eksploatacją, konserwacją i zarządzaniem wszelkiego rodzaju zasobami ICT.
Należy podkreślić, że prowadzenie działalności w sektorze kluczowym nie jest jedynym kryterium uznania za podmiot kluczowy. Drugim kryterium jest wielkość podmiotu. Podmiotami kluczowymi – z pewnymi wyjątkami – będą podmioty duże, czyli zatrudniające więcej niż 250 osób i których obroty roczne przekraczają 50 mln euro, i (lub) których roczna suma bilansowa przekracza 43 mln euro. Mikro oraz małe przedsiębiorstwa działające w sektorach kluczowych oraz ważnych nie będą co do zasady zobowiązane do wypełniania obowiązków wynikających z NIS 2. Nie będą też na nie nakładane kary.
Podmioty ważne
Drugą kategorią podmiotów stosujących NIS 2 są podmioty ważne. Kategoria ta obejmuje jednostki, które nie spełniają kryteriów przewidzianych dla podmiotów kluczowych, ale których działalność ma istotny wpływ na funkcjonowanie społeczeństwa i gospodarki UE.
Przyjęty podział na podmioty kluczowe i ważne może wydawać się nieintuicyjny. Podmioty ważne działają bowiem nie tylko w sektorach ważnych, ale także w sektorach kluczowych. Ta językowa niespójność wynika z polskiego tłumaczenia NIS 2, w którym dwie kategorie sektorów (sektory kluczowe i ważne) mają nazwy tożsame dwóm kategoriom podmiotów (kluczowym i ważnym). W wersji angielskiej NIS 2 sektory mają odpowiednio nazwy: sectors of high criticality oraz other critical sectors, natomiast podmioty dzielą się na essential entities oraz important entities. Nie jest to też jedyny problem związany z tłumaczeniem – czytając polską wersję językową NIS 2, w kilku miejscach można wyciągnąć inne wnioski niż z wersji w języku angielskim. Z powyższych względów, aby w pełni zrozumieć niuanse NIS 2, warto konfrontować wersję polską z wersją angielską.
Podkreślenia wymaga, że niektóre wskazane w załączniku II sektory, w jakich działają podmioty ważne, ujęte są bardzo szeroko. Na przykład w sektorze produkcji został wyodrębniony podsektor produkcja urządzeń elektrycznych. Załącznik II odsyła w tym zakresie do sekcji C działu 27 klasyfikacji NACE Rev. 2 (klasyfikacja dla danych statystycznych związanych z działalnością gospodarczą), w którym wyodrębnione są kolejne podkategorie związane z produkcją urządzeń elektrycznych. Wśród nich znajdziemy produkcję urządzeń takich jak generatory i transformatory, baterie, różnego rodzaju kable czy też latarki lub elektryczne otwieracze do puszek. W związku z tym każde średnie oraz duże przedsiębiorstwo działające w sektorach kluczowych lub ważnych powinno odpowiednio wcześnie przeprowadzić dokładną analizę tego, czy będzie podlegało pod NIS 2. Można to zrobić już teraz, nie czekając na polskiego ustawodawcę. Wczesna ocena pozwoli na spokojne przygotowanie się do wypełniania obowiązków, które powinny zacząć obowiązywać nie później niż w październiku 2024 r.
Bezpieczeństwo łańcucha dostaw – dlaczego jest ważne?
NIS 2 wprowadza jeszcze jedną bardzo ważną zmianę – konkretne wymagania w zakresie bezpieczeństwa łańcucha dostaw podmiotów kluczowych i ważnych.
Nie ma w tym nic dziwnego. Coraz częściej bowiem sieć powiązań między organizacjami sprawia, że incydenty bezpieczeństwa informatycznego w jednej jednostce wpływają na działalność oraz bezpieczeństwo innych. W badaniach ankietowych przeprowadzonych w 2022 r. aż 62% zapytanych organizacji stwierdziło, że odczuło w ostatnich 12 miesiącach poprzedzających badanie skutki incydentów cybernetycznych, które wystąpiły u podmiotów trzecich [2].
Skuteczne ataki na dostawców rozwiązań ICT, takich jak SolarWinds czy Kaseya, pokazują, że łańcuch dostaw jest atrakcyjnym celem dla cyberprzestępców. Dlatego niezwykle ważne jest, aby podmioty prowadzące działalność w sektorach ważnych i kluczowych, objęte regulacjami dyrektywy NIS 2, wprowadzały odpowiednie środki – techniczne oraz organizacyjne – tak aby odpowiednio zabezpieczyć elementy łańcucha dostaw (zarówno w zakresie produktów, jak i usług) przed różnego rodzaju cyberzagrożeniami i ich skutkami.
Cyberbezpieczeństwo łańcucha dostaw w NIS 2
Cyberbezpieczeństwo łańcucha dostaw dotychczas nie było odpowiednio uregulowane prawnie – zarówno na szczeblu unijnym, jak i krajowym. W dyrektywie NIS 2 ustawodawca postanowił nadrobić tę zaległość i wprowadził w tym zakresie konkretne wymagania.
W NIS 2 bezpieczeństwo łańcucha dostaw unormowano na dwóch płaszczyznach. Po pierwsze wprowadzając konieczność uregulowania przez podmioty ważne i kluczowe kwestii ich relacji z dostawcami. Druga płaszczyzna dotyczy traktowania jako podmioty kluczowe i ważne wybranych dostawców usług IT.
W ramach pierwszej płaszczyzny unijny prawodawca wprowadza wymagania dotyczące szacowania ryzyka związanego z bezpieczeństwem dostaw i zarządzania nim.
Zgodnie z postanowieniami dyrektywy NIS 2 podmioty kluczowe oraz ważne będą musiały wprowadzić adekwatne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych, które wykorzystują do prowadzenia działalności lub świadczenia usług. Środki te mają też zapobiegać wpływowi incydentów na odbiorców usług lub na inne usługi bądź minimalizować taki wpływ.
Co jednak istotne, środki te powinny obejmować m.in. bezpieczeństwo łańcucha dostaw, w tym kwestie związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami (art. 21 ust. 2 lit d). Artykuł 21 NIS 2 określa także kryteria, jakie muszą spełnić implementowane środki zarządzania ryzykiem (patrz: ramka „Wymagania wobec implementowanych środków zarządzania ryzykiem”).
Warto wskazać, że w kontekście najnowszego stanu wiedzy bardzo przydatne mogą być dokumenty publikowane przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Jeden z ostatnich dokumentów, opublikowany 13 czerwca 2023 r. pod tytułem „Zestaw Dobrych Praktyk w Zakresie Bezpieczeństwa Łańcucha Dostaw” („Good Practices For Supply Chain Cybersecurity”) [3], jest swoistym przewodnikiem po wskazówkach, jak prawidłowo wprowadzać środki zarządzania ryzykiem związane z łańcuchem dostaw.
Wskazane wyżej obowiązki zostały uregulowane w części normatywnej NIS 2, co oznacza, że muszą zostać wprowadzone do krajowego porządku prawnego w ramach implementacji dyrektywy. Oprócz nich, w preambule NIS 2, wskazano pewne rekomendacje, które mogą być zaimplementowane przez państwa członkowskie – według ich uznania.
Jedna z takich rekomendacji wyrażona jest w motywie 85 dyrektywy NIS 2. Dotyczy ona relacji podmiotów stosujących NIS 2 z ich dostawcami, w szczególności dostawców usług przechowywania i przetwarzania danych, dostawców usług zarządzanych w zakresie bezpieczeństwa oraz edytorów oprogramowania. Zgodnie z rekomendacją podmioty kluczowe i ważne powinny oceniać i uwzględniać ogólną jakość i odporność produktów oraz usług, a także praktyki dotyczące cyberbezpieczeństwa stosowane przez poszczególnych dostawców rozwiązań ICT – w tym procedury ich bezpiecznego opracowywania.
W praktyce oznacza to, że przed podjęciem decyzji o współpracy z danym dostawcą podmioty kluczowe oraz ważne powinny ocenić jego praktyki w zakresie cyberbezpieczeństwa oraz zgodność oferowanych produktów z obowiązującymi standardami, mając na uwadze koszty tego typu środków oraz aktualną wiedzę branżową.
W motywie 85 zalecono również, aby podmioty kluczowe i ważne uwzględniały zapewnienie odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie w umowach z dostawcami.
Dopóki jednak dyrektywa NIS 2 nie zostanie w pełni wdrożona w prawie krajowym, trudno ocenić, czy zalecenia zawarte w motywie 85 staną się faktycznymi, egzekwowalnymi obowiązkami. Jest jednak bardzo możliwe, że w związku z tymi obowiązkami podmiotów kluczowych lub ważnych troska o cyberbezpieczeństwo będzie oddziaływać także na ich dostawców. Co prawda dostawcy nie będą zobligowani prawnie (chyba że sami będą podmiotem kluczowym lub ważnym) do zapewniania odpowiednich środków w zakresie cyberbezpieczeństwa, mogą natomiast spotykać się z takimi wymaganiami ze strony zamawiających. W praktyce może to oznaczać, że dostawcy, którzy nie będą spełniać określonych wymagań cyberbezpieczeństwa, będą pomijani przez takich zamawiających.
Skoordynowane oszacowanie ryzyka dla bezpieczeństwa
Ważną zmianą, jaką wprowadza dyrektywa NIS 2, jest konieczność uwzględniania skoordynowanego oszacowania ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw. W art. 22 NIS 2 unijny prawodawca zakłada stworzenie mechanizmu przeprowadzenia takiej oceny, która ma wzmocnić cyberbezpieczeństwo w całej UE, zwracając uwagę na sektory szczególnie narażone na cyberzagrożenia.
Skoordynowane oszacowanie ryzyka to procedura, która zostanie przeprowadzona przez Grupę Współpracy razem z państwami członkowskimi, na wzór procedury przeprowadzonej podczas szacowania ryzyka sieci 5G. Końcowym efektem prac tej grupy ma być dokument, który będzie nie tylko identyfikował krytyczne usługi, systemy lub produkty ICT, główne zagrożenia i podatności związane z tymi elementami, ale także rekomendacje dotyczące przeciwdziałania tym zagrożeniom. W praktyce dokument przygotowany w ramach skoordynowanego oszacowania ryzyka może zawierać konkretne wytyczne dotyczące usług, systemów lub produktów ICT oraz ich dostawców.
Jeśli podmiot kluczowy lub ważny nie uwzględni przy wyborze środków zapewniających cyberbezpieczeństwo rekomendacji, które powstaną w wyniku oszacowania ryzyka, może to być uznane za naruszenie obowiązków wynikających z NIS 2 i skutkować nałożeniem administracyjnej kary pieniężnej.
Środki w zakresie bezpieczeństwo łańcucha dostaw – jak je wdrożyć?
Środki w zakresie bezpieczeństwa łańcucha dostaw powinny być podejmowane co najmniej na czterech etapach:
- przygotowania organizacyjnego – poprzez określenie wewnętrznych praktyk działania,
- wyboru dostawcy – poprzez analizę i szacowanie ryzyka z tym związanego,
- zawierania umów – poprzez wprowadzenie odpowiednich postanowień umownych,
- egzekwowania postanowień umownych oraz monitorowania dostawców.
Przed przystąpieniem do kontraktowania podmiot kluczowy lub ważny powinien podjąć działania wewnętrzne, by opracować własne strategie i reguły postępowania z dostawcami czy przydzielić odpowiednie zasoby do działań związanych z dostawcami.
Przed podjęciem decyzji o współpracy z dostawcą trzeba gruntownie zrozumieć poziom ryzyka, jakie niesie ze sobą taka współpraca. Ankiety dotyczące bezpieczeństwa, sprawdzenie referencji dostawcy, ustalenie warunków udziału w postępowaniu, a także analiza przeprowadzonych wcześniej testów penetracyjnych (pentestów) – to wszystko pozwoli lepiej ocenić potencjalne ryzyka i oszacować zdolność dostawcy do radzenia sobie z cyberzagrożeniami.
Umowy z wybranymi dostawcami powinny być tak skonstruowane, aby jasno określały wymagania w zakresie cyberbezpieczeństwa dostawców (np. polityki bezpieczeństwa oraz wymagania techniczne). Kluczowe jest również wprowadzenie postanowień dotyczących sankcji za nieprzestrzeganie tych wymagań, a także zabezpieczenie prawa do wcześniejszego rozwiązania umowy w przypadku naruszeń. Ważne jest też, aby zastrzec sobie prawo do przeprowadzania audytów samodzielnie lub z udziałem podmiotów profesjonalnych. Umowa powinna również określać wymagania dla podwykonawców, jeśli ich udział jest przewidziany w umowie.
Podpisanie umowy to nie koniec. Ważne jest bowiem, żeby przez cały okres jej obowiązywania, na bieżąco monitorować działalność dostawcy oraz dostarczane przez niego rozwiązania ICT. Jeśli zapewniliśmy sobie możliwość przeprowadzenia audytu, to warto z niej skorzystać. Taka kontrola pozwoli szybko wykryć ewentualne nieprawidłowości i zareagować – zanim przerodzą się one w poważne zagrożenie dla bezpieczeństwa.
Ostateczny dobór środków będzie zależał jednak od wielu czynników – wielkości organizacji, stopnia narażenia na zagrożenia cyberbezpieczeństwa, charakteru relacji z dostawcami czy przedmiotu umowy.
Przypisy
- Podstawą wyznaczenia kryteriów uznania za średnie przedsiębiorstwa jest załącznik do zalecenia Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczącego definicji przedsiębiorstw mikro, małych i średnich, itwa.pl/vf [dostęp: 8.12.2023].
- Anchore, 2022 Security Trends: Software Supply Chain Survey, itwa.pl/vg [dostęp:8.12.2023].
- ENISA, Good Practices For Supply Chain Cybersecurity, itwa.pl/vh [dostęp: 8.12.2023].
Autorzy
Agnieszka Wachowska
radczyni prawna, co-managing partner, szefowa zespołu IT-Tech Kancelarii Traple Konarski Podrecki i Wspólnicy.
Konrad Basaj
junior associate w zespole IT-Tech Kancelarii Traple Konarski Podrecki i Wspólnicy.
