W czasach, gdy rośnie zagrożenie cyberatakami, coraz częściej podnosi się temat bezpieczeństwa sieci i systemów informatycznych. Na potrzebę podniesienia standardów cyberbezpieczeństwa odpowiedziała Unia Europejska, wprowadzając dyrektywę NIS2. Ale czy jako prawnik in-house wiesz, jaki wpływ na przedsiębiorców mają nowe przepisy?
NIS2, czyli Network and Information Systems Directive 2 przyjęta przez Parlament Europejski w 2022 roku ma wyznaczać nowy standard wspólnego poziomu cyberbezpieczeństwa w krajach członkowskich. Oznacza to jednak kolejne obowiązki dla podmiotów objętych znowelizowanymi przepisami, co będzie stanowić wyzwanie dla przedsiębiorców oraz obsługujących ich prawników in-house.
Kogo obejmuje dyrektywa NIS2?
Dyrektywa znacząco rozszerzyła zakres podmiotowy w porównaniu do swojego poprzednika. Ponadto stosuje podział na, tzw. podmioty kluczowe i ważne. Wyszczególniona lista tych pierwszych znajduje się w załączniku do dyrektywy.
Z poniższego grona wyłączono odpowiednio podmioty administracji publicznej (oraz inne) w zakresie bezpieczeństwa narodowego, publicznego, obronności czy przestępności.
Do sektorów kluczowych zalicza się:
- energetyka,
- transport,
- bankowość,
- infrastruktura rynków finansowych,
- opieka zdrowotna,
- woda pitna,
- ścieki (nowe),
- infrastruktura cyfrowa,
- zarządzanie usługami ICT,
- podmioty administracji publicznej (nowe),
- przestrzeń kosmiczna (nowe).
Natomiast sektory ważne obejmują:
- usługi pocztowe i kurierskie,
- gospodarowanie odpadami (nowe),
- produkcja, wytwarzanie i dystrybucja chemikaliów,
- produkcja, przetwarzanie i dystrybucja żywności (nowe),
- produkcja wyrobów określonych w załączniku,
- dostawcy usług cyfrowych,
- badania naukowe.
Kluczowe obowiązki w NIS2 dla przedsiębiorców
Wiele z nałożonych przez NIS2 powinności zostało już wcześniej wprowadzonych przez poprzednią dyrektywę. Biorąc pod uwagę rosnące zagrożenie cyberatakami warto przeprowadzić audyt i sprawdzić aktualny stan procedur związanych z cyberbezpieczeństwem.
Prawnicy in-house muszą wziąć pod uwagę opracowanie planu środków zarządzania ryzykiem w cyberbezpieczeństwie. Środku te powinny być proporcjonalne oraz uwzględniać wielkość przedsiębiorstwa, ryzyko zagrożenia i możliwe konsekwencje. Nie można też zapomnieć o zawiadomieniu o uczestnictwie w mechanizmach wymiany informacji.
Na barkach osób odpowiedzialnych za cyberbezpieczeństwo jest również zgłaszanie incydentów poważnych do odpowiedniego organu czy (w odpowiednich wypadkach) odbiorców usług.
Wszystko to wiążę się z wprowadzeniem procedury w przypadku narażenia przedsiębiorstwa oraz profilaktyki. W tym zakresie zaleca się korzystanie z certyfikowanych produktów, usług i procesów. Należy także przeprowadzać obowiązkowe szkolenia dla kadry kierowniczej i odpowiednio informować pracowników.
Cyberbezpieczeństwo w przedsiębiorstwie
Dyrektywa NIS2 stanowi istotny krok w kierunku wzmocnienia cyberbezpieczeństwa i ustalenia jego standardu na zupełnie nowym poziomie. Przedsiębiorcy muszą być świadomi nowych wymagań oraz konsekwencji wynikających z tej regulacji.
Dlatego właśnie prawnicy in-house powinni postrzegać NIS2 jako okazję, a nie kolejny, żmudny obowiązek. Aktualne przepisy mogą być impulsem do stworzenia nowej cyber-rzeczywistości: podniesienia jakości ochrony czy wdrożenie rozwiązań technologicznych. Wszystko to wpłynie na zwiększenie poziomu świadczonych usług oraz postrzeganie Twojego przedsiębiorstwa.
Małgorzata Milewicz-Stobińskaproduct manager
LEX Dział prawny Dział Zarządzania Produktami
