12 września 2024

Dyrektywa NIS2: nowe standardy bezpieczeństwa w erze cyfrowej

Rewolucja informatyczna doprowadziła do powstania przestrzeni teleinformatycznej, znanej również jako cyberprzestrzeń. Cyberprzestrzeń charakteryzuje się następującymi cechami: niezależnością od miejsca, czasu, odległości czy granic, jak również częściową anonimowością i ograniczoną możliwością ustalenia sprzętu, z którego się korzysta . Rozwój cyberprzestrzeni zmusił użytkowników do zabezpieczania swoich sieci komputerowych, urządzeń i oprogramowania przed uszkodzeniami, atakami oraz nieautoryzowanym dostępem, co określa się terminem „cyberbezpieczeństwo”.

WOJCIECH KAPICA
Radca prawny i partner w kancelarii Lawarton Ługowski Kapica sp.k.
Ekspert w zakresie regulacji sektora finansowego, systemów zgodności (compliance) oraz etyki w działalności instytucji finansowych.

NATALIA ROSIAK
Adwokat w kancelarii Lawarton Ługowski Kapica sp.k. specjalizująca się w systemach zgodności (compliance). Absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego (2009). Jest certfikowanym Approved Compliance Officer (ACO), Approved Compliance Expert (ACE) oraz Approved Whistleblowing Compliance Officer (AWBO) Instytutu Compliance.

Cyberbezpieczeństwo odnosi się do procesu zapewnienia bezpiecznego funkcjonowania w cyberprzestrzeni całego państwa, jego struktur, a także osób fizycznych i prawnych, w tym przedsiębiorców i innych podmiotów nieposiadających osobowości prawnej. Obejmuje ono ochronę systemów teleinformatycznych i zasobów informacyjnych, które znajdują się w ich posiadaniu, w ramach globalnej cyberprzestrzeni[1].

W Polsce podstawowym aktem prawnym, który reguluje obszar cyberbezpieczeństwa, jest ustawa o krajowym systemie cyberbezpieczeństwa[2]. Ustawą tą wdrożono do systemu prawnego dyrektywę 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii[3], zwaną Dyrektywą NIS. W zakresie cyberbezpieczeństwa obowiązuje obecnie dyrektywa 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę NIS[4], zwana Dyrektywą NIS 2. Dyrektywa NIS 2 rozwija rozwiązania wprowadzone przez swoją poprzedniczkę, Dyrektywę NIS, oferując bardziej szczegółowe regulacje, które mają na celu dalsze zwiększenie odporności i zdolności reagowania na incydenty. Zgodnie z art. 45 Dyrektywy NIS 2 wchodzi ona w życie 20. dnia po jej opublikowaniu w Dzienniku Urzędowym UE. Natomiast zgodnie z art. 41 tej dyrektywy w ciągu 21 miesięcy od daty wejścia w życie Dyrektywy NIS 2 (tj. styczeń 2025) państwa członkowskie muszą przyjąć i opublikować przepisy niezbędne do wykonania Dyrektywy NIS 2. W przypadku Polski będzie to nowa ustawa lub nowelizacja obowiązującej ustawy o krajowym systemie cyberbezpieczeństwa oraz nowe lub znowelizowane akty wykonawcze. W przeszłości zdarzały się opóźnienia we wdrażaniu dyrektyw, ale terminowe, a nawet szybsze niż przewidziane 21 miesięcy (zgodnie z art. 41 Dyrektywy NIS 2), wdrożenie tej dyrektywy jest wysoce pożądane. Jest to istotne zarówno ze względu na rosnącą liczbę naruszeń cyberbezpieczeństwa, w tym różnorodnych ataków hakerskich, jak i z uwagi na obecną sytuację geopolityczną w Europie, w tym konflikt między Ukrainą a Rosją[5]. 

Znaczenie Dyrektywy NIS 2 dla banków spółdzielczych

Załącznik I Dyrektywy NIS 2 wśród sektorów kluczowych, do których adresowana jest ta dyrektywa, wymienia wprost bankowość, rozumianą jako instytucje kredytowe zgodnie z definicją w art. 4 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013[6]. W związku z tym ilekroć w Dyrektywie NIS 2 jest mowa o podmiotach kluczowych, należy przez to rozumieć także banki spółdzielcze. Oznacza to, że banki spółdzielcze podlegają ścisłym regulacjom w zakresie cyberbezpieczeństwa.

Obowiązki raportowania incydentów

Art. 6 pkt. 6 Dyrektywy NIS 2 stanowi, że „incydent” oznacza zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem. Zgodnie z art. 23 ust. 1 Dyrektywy NIS 2 każde państwo członkowskie powinno zapewnić, aby podmioty kluczowe i ważne, bez zbędnej zwłoki zgłaszały swojemu właściwemu CSIRT[7] lub, jeżeli ma to zastosowanie, swojemu właściwemu organowi, incydent mający istotny wpływ na świadczenie przez nie usług, o którym mowa w art. 21 ust. 3 Dyrektywy NIS 2 (poważny incydent). Incydent uznaje się za poważny, jeżeli:

·        spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;

·        wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

W stosownych przypadkach dane podmioty bez zbędnej zwłoki powinny powiadamiać odbiorców swoich usług o poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie tych usług. Każde państwo członkowskie powinno zapewnić, aby podmioty te zgłaszały m. in informacje umożliwiające CSIRT lub, jeżeli ma to zastosowanie, właściwemu organowi ustalenie transgranicznego wpływu incydentu. 

Raportowanie incydentów przez banki spółdzielcze ma ogromne znaczenie na świadczone przez nich usługi bankowe. Banki spółdzielcze są kluczowym elementem infrastruktury krytycznej, a incydenty cybernetyczne mogą zakłócić stabilność finansową. Obowiązek raportowania pomaga w monitorowaniu i analizie zagrożeń, co z kolei zwiększa bezpieczeństwo całego sektora finansowego. Raportowanie incydentów umożliwia szybkie reagowanie na cyberzagrożenia. Dzięki temu można wdrażać środki zaradcze, które ograniczają negatywne skutki ataków. Banki spółdzielcze, które raportują incydenty i wykazują proaktywność w zakresie cyberbezpieczeństwa, budują zaufanie wśród swoich klientów. Klienci są bardziej skłonni powierzyć swoje finanse instytucji, która otwarcie komunikuje się o kwestiach bezpieczeństwa i podejmuje działania w celu ochrony ich danych. Analiza zgłoszonych incydentów pozwala bankom spółdzielczym na lepsze zrozumienie rodzajów zagrożeń, z jakimi mogą się spotkać. To z kolei umożliwia dostosowywanie strategii i systemów bezpieczeństwa, aby skuteczniej chronić się przed przyszłymi atakami.

Wymagania dotyczące zarządzania ryzykiem

Art. 21 Dyrektywy NIS 2 określa środki zarządzania ryzykiem w cyberbezpieczeństwie. Zgodnie z art. 21 ust. 1 Dyrektywy NIS 2 państwa członkowskie powinny zapewnić, aby podmioty kluczowe i ważne wprowadzały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Przy uwzględnieniu najnowszego stanu wiedzy oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, a także kosztów wdrożenia środki, o których mowa powyżej, zapewniają poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do istniejącego ryzyka. Oceniając proporcjonalność tych środków, należycie uwzględnia się stopień narażenia podmiotu na ryzyko, wielkość podmiotu i prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym ich skutki społeczne i gospodarcze. 

Zgodnie z art. 21 ust. 2 Dyrektywy NIS 2, środki, o których mowa w art. 21 ust. 1 Dyrektywy NIS 2, bazują na podejściu uwzględniającym wszystkie zagrożenia i mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami, i obejmują co najmniej następujące elementy:

·        politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;

·        obsługę incydentu;

·        ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;

·        bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;

·        bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;

·        polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;

·        podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;

·        polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;

·        bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;

·        w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Banki spółdzielcze muszą implementować i utrzymywać systemy zarządzania ryzykiem, które są zgodne z nowymi standardami Dyrektywy NIS 2. Obejmuje to m.in. ocenę ryzyka związanego z cyberbezpieczeństwem, implementację odpowiednich środków technicznych i organizacyjnych oraz regularne audyty bezpieczeństwa. Cyberataki i inne incydenty mogą prowadzić do znacznych strat finansowych, zarówno bezpośrednio (np. przez kradzież środków) jak i pośrednio (np. przez utratę reputacji). Zarządzanie ryzykiem pomaga bankom spółdzielczym zminimalizować te straty poprzez wczesne wykrywanie i odpowiednią reakcję na zagrożenia. Banki spółdzielcze przechowują i przetwarzają ogromne ilości wrażliwych danych, w tym dane osobowe klientów. Wymogi dotyczące zarządzania ryzykiem pomagają chronić te dane przed naruszeniami, co jest nie tylko prawnym obowiązkiem, ale także kluczowe dla utrzymania zaufania klientów. 

Wymogi w zakresie szkoleń i świadomości

Dyrektywa NIS 2 podkreśla potrzebę podnoszenia świadomości w zakresie cyberbezpieczeństwa wśród pracowników banków spółdzielczych. Banki spółdzielcze, jako podmioty kluczowe, zgodnie z 89 motywem preambuły Dyrektywy NIS 2, powinny przyjąć szeroki wachlarz podstawowych praktyk dotyczących cyberhigieny, takich jak organizowanie szkoleń dla pracowników oraz szerzenie wiedzy na temat cyberzagrożeń, phishingu lub technik inżynierii społecznej. Ponadto, zgodnie z art. 20 ust. 2 Dyrektywy NIS 2, państwa członkowskie zapewniają, aby członkowie organu zarządzającego podmiotów kluczowych i ważnych, a więc także banków spółdzielczych, mieli obowiązek odbywać regularne szkolenia w celu zdobycia wystarczającej wiedzy i umiejętności pozwalających im rozpoznać ryzyko i ocenić praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływ na usługi świadczone przez dany podmiot, a także zachęcają podmioty kluczowe i ważne do oferowania podobnych szkoleń ich pracownikom. 

Wiedza o najlepszych praktykach w zakresie cyberbezpieczeństwa, zdobyta na szkoleniach, pomaga pracownikom w lepszym zabezpieczeniu systemów i danych. To obejmuje stosowanie odpowiednich haseł, unikanie podejrzanych linków i załączników, a także stosowanie zasad bezpiecznego korzystania z internetu i urządzeń. Regularne szkolenia z zakresu cyberbezpieczeństwa pomagają w budowaniu kultury bezpieczeństwa w organizacji. Kiedy wszyscy pracownicy, od najwyższego kierownictwa po szeregowych pracowników, rozumieją i przestrzegają zasad bezpieczeństwa, organizacja jako całość staje się bardziej odporna na cyberzagrożenia.

Kary za nieprzestrzeganie przepisów

Art. 32 Dyrektywy NIS 2 dotyczy środków nadzoru i egzekwowania przepisów dla podmiotów kluczowych. Zgodnie więc z art. 32 ust. 1-2 Dyrektywy NIS 2 państwa członkowskie powinny zapewnić, aby środki nadzoru lub egzekwowania przepisów nakładane na podmioty kluczowe w odniesieniu do obowiązków określonych w niniejszej dyrektywie były skuteczne, proporcjonalne i odstraszające, stosownie do okoliczności każdego indywidualnego przypadku. Państwa członkowskie powinny zapewnić, aby wykonując uprawnienia nadzorcze wobec podmiotów kluczowych, właściwe organy były uprawnione do objęcia tych podmiotów co najmniej:

·        kontrolami na miejscu i nadzorem zdalnym, w tym wyrywkowymi kontrolami prowadzonymi przez przeszkolonych specjalistów;

·        regularnymi ukierunkowanymi audytami bezpieczeństwa prowadzonymi przez niezależną instytucję lub właściwy organ;

·        audytami doraźnymi, w tym w uzasadnionych przypadkach w związku z wystąpieniem poważnego incydentu lub z naruszeniem niniejszej dyrektywy przez podmiot kluczowy;

·        skanami bezpieczeństwa na podstawie obiektywnych, niedyskryminacyjnych, sprawiedliwych i przejrzystych kryteriów szacowania ryzyka, w razie potrzeby we współpracy z danym podmiotem;

·        wnioskami o udzielenie informacji niezbędnych do oceny środków zarządzania ryzykiem w cyberbezpieczeństwie przyjętych przez dany podmiot, w tym udokumentowanej polityki cyberbezpieczeństwa, a także zgodności z obowiązkiem przedkładania informacji właściwym organom zgodnie z art. 27;

·        wnioskami o udzielenie dostępu do danych, dokumentów i informacji koniecznych do wykonywania ich zadań nadzorczych;

·        wnioskami o przedstawienie dowodów realizacji polityki cyberbezpieczeństwa, takich jak wyniki audytu bezpieczeństwa przeprowadzonego przez wykwalifikowanego audytora oraz odpowiednie dowody.

Państwa członkowskie powinny zapewnić, aby administracyjne kary pieniężne nakładane na podmioty kluczowe i ważne zgodnie z art. 34 Dyrektywy NIS 2 za naruszenia niniejszej dyrektywy były skuteczne, proporcjonalne i odstraszające, stosownie do okoliczności każdego indywidualnego przypadku. Państwa członkowskie powinny zapewnić, aby podmioty kluczowe, które naruszają postanowienia art. 21 lub 23 Dyrektywy NIS 2, podlegały zgodnie z art. 34 ust. 2 i 3 Dyrektywy NIS 2 administracyjnym karom pieniężnym w maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy, przy czym zastosowanie ma kwota wyższa.

Podsumowanie

Dyrektywa NIS 2 jest krokiem milowym w rozwoju europejskiego systemu cyberbezpieczeństwa. Jej wprowadzenie podkreśla znaczenie ochrony kluczowej infrastruktury i usług w erze cyfrowej. Wdrożenie Dyrektywy NIS 2 wiąże się z koniecznością poniesienia kosztów zarówno przez podmioty zobowiązane do przestrzegania jej przepisów, jak i przez organy państwowe. Większość nowych obowiązków nałożonych przez Dyrektywę NIS 2 to zadania organizacyjne, takie jak zasady komunikacji, raportowania, kontroli, analizy ryzyka i zarządzania tym ryzykiem. Koszty związane z realizacją tych obowiązków, przy odpowiednim zarządzaniu cyberbezpieczeństwem, będą znacznie niższe niż potencjalne koszty związane z wystąpieniem incydentów bezpieczeństwa[8].


 
[1] C. Banasiński, Podstawowe pojęcia i podstawy prawne bezpieczeństwa w cyberprzestrzeni, w: Cyberbezpieczeństwo. Zarys wykładu, C. Banasiński (red.), Warszawa 2018, s. 31.
[2] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (DzU z 2020 r. poz. 1369, ze zm.).
[3] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 194 z 19 VII 2016 r.).
[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (Dz.U. L 333 z 27.12.2022).
[5] M. Rogalski, Bezpieczeństwo sieci i usług łączności elektronicznej w prawie Unii Europejskiej oraz w prawie polskim, Oficyna Wydawnicza Uczelni Łazarskiego, Warszawa 2024, s. 37-38.
[6] Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 176 z 27.6.2013, s. 1).
[7] Zgodnie z art. 1 Dyrektywy NIS 2 są to zespoły reagowania na incydenty bezpieczeństwa komputerowego.
[8] M. Rogalski, Bezpieczeństwo sieci i usług łączności elektronicznej w prawie Unii Europejskiej oraz w prawie polskim, Oficyna Wydawnicza Uczelni Łazarskiego, Warszawa 2024, s. 38.

Artykuł pochodzi z "Głosu Banków Spółdzielczych" 4/2024.

×

Niezbędne pliki cookies

Te pliki cookie są niezbędne do działania strony i nie można ich wyłączyć. Służą na przykład do utrzymania zawartości koszyka użytkownika. Możesz ustawić przeglądarkę tak, aby blokowała te pliki cookie, ale wtedy strona nie będzie działała poprawnie.

Zawsze aktywne

Analityczne pliki cookie

Te pliki cookie pozwalają liczyć wizyty i źródła ruchu. Dzięki tym plikom wiadomo, które strony są bardziej popularne i w jaki sposób poruszają się odwiedzający stronę. Wszystkie informacje gromadzone przez te pliki cookie są anonimowe.