Dyrektywa NIS 2 – wybrane praktyczne zagadnienia
W dniu 12.02.2025 r. opublikowana została kolejna (piąta) wersja projektu ustawy o zmianie Ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), której celem jest wdrożenie do polskiego porządku prawnego wymogów wynikających z Dyrektywy NIS 2[1]. Mimo że ostateczna treść ustawy nie jest jeszcze znana, podmioty, których regulacja ta będzie dotyczyć, mogą (a nawet powinny) już zacząć przygotowywać się do nowych obowiązków.
Tekst ukazał się pierwotnie w piśmie MAGAZYN ODO
Dyrektywa NIS 2 – do kogo ma zastosowanie?
Pierwszym etapem takiego przygotowania powinna być odpowiedź na pytanie – czy Dyrektywa NIS 2 ma zastosowanie do mojej organizacji? Wbrew pozorom, w wielu przypadkach już na tym etapie mogą pojawić się istotne wątpliwości. W załącznikach do Dyrektywy NIS 2 wskazanych zostało 11 sektorów kluczowych i 7 sektorów ważnych, w nich z kolei wskazane zostały podsektory (w niektórych przypadkach) i rodzaje działalności podlegające pod Dyrektywę NIS 2. Najnowszy projekt nowelizacji UKSC przewiduje podobną systematykę, nieco rozszerzając zakres stosowania Dyrektywy NIS 2, np. przez wskazanie dodatkowych rodzajów działalności w ramach sektora “Ochrona zdrowia”. Podstawową zasadą jest, że podmioty prowadzące działalność w jednym z sektorów wskazanych w załączniku i mające status dużego (podmioty kluczowe) albo co najmniej średniego (podmioty ważne) przedsiębiorstwa będą podlegały pod Dyrektywę NIS 2.
Zakres podmiotowy poszczególnych sektorów nie w każdym przypadku będzie jednak oczywisty. O ile część sektorów (np. sektor kluczowy “bankowość”) została zdefiniowana na tyle precyzyjnie, że krąg podmiotów, których dotyczy, nie powinien budzić większych wątpliwości, część sektorów dotyczy mniej oczywistego katalogu podmiotów. Można tu wskazać przykładowo sektor kluczowy “zarządzanie usługami ICT (między przedsiębiorstwami)”, do którego kwalifikować się mogą podmioty prowadzące działalność jako “dostawcy usług zarządzanych” lub “dostawcy usług zarządzanych w zakresie bezpieczeństwa”. Już same definicje “usług ICT” i “produktów ITC”, będące punktem wyjścia do definicji usług zarządzanych, określone zostały bardzo szeroko i mogą budzić praktyczne wątpliwości. Pierwsza z nich oznacza “usługę polegającą w pełni lub głównie na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji za pośrednictwem sieci i systemów informatycznych”, druga to z kolei “element lub grupa elementów sieci lub systemów informatycznych”. Taka konstrukcja tych definicji powoduje, że w zasadzie większość produktów lub usług okołoinformatycznych lub związanych z przekazywaniem informacji lub prowadzeniem komunikacji online może potencjalnie mieścić się w tej kategorii. Definicja “usług zarządzanych” określona została nie mniej szeroko, wskazując między innymi na wykonywanie niedookreślonych czynności “eksploatacji” i “zarządzania”, które z kolei odnosić się mogą zarówno do “produktów, sieci, infrastruktury, aplikacji ICT”, jak i “innych sieci i systemów informatycznych” i które są świadczone przez “pomoc” lub “aktywną administrację”. Każdy z wyżej wskazanych elementów tej definicji może być interpretowany na tyle szeroko, że duża liczba organizacji świadczących różnego rodzaju usługi informatyczne lub usługi świadczone drogą elektroniczną powinna zadać sobie pytanie, czy oferowane przez nie usługi nie mieszczą się w tej kategorii.
Innym przykładem może być sektor ważny “produkcja”, który dla większości wskazanych w nim podsektorów zawiera odesłanie do klasyfikacji NACE Rev. 2. I nawet jeżeli na pierwszy rzut oka wydaje się, że żaden z podsektorów nie dotyczy danej organizacji, konieczna może okazać się bardziej szczegółowa analiza zakresu podmiotowego poszczególnych podsektorów. Prowadzi ona przykładowo do wniosku, że klasa “Produkcja urządzeń elektrycznych” obejmuje również “Produkcję nieelektrycznego sprzętu gospodarstwa domowego”, a “Produkcja maszyn i urządzeń” może obejmować między innymi produkcję kurków i zaworów, czy też produkcję narzędzi ręcznych mechanicznych. Podobnie, podsektor “produkcja pojazdów samochodowych, przyczep i naczep” również ma dużo szersze zastosowanie niż wynikałoby to z intuicyjnego rozumienia opartego na samej jego nazwie.
Obok wymienionego wyżej sektora “Produkcji” Dyrektywa NIS 2 obejmuje również podmioty prowadzące działalność w zakresie “Produkcji, wytwarzania i dystrybucji chemikaliów”. Również w tym przypadku zakres podmiotowy nie jest oczywisty, i nawet jeżeli dane przedsiębiorstwo nie produkuje tradycyjnie rozumianych chemikaliów (substancji lub mieszanin chemicznych), to kategoria “przedsiębiorstw zajmujących się wytwarzaniem z substancji lub mieszanin wyrobów” może już w praktyce objąć podmioty prowadzące różnego rodzaju działalność produkcyjną.
W przypadku niektórych sektorów zakres wynikający z projektu nowelizacji UKSC jest szerszy niż wynikałoby to z brzmienia samej Dyrektywy NIS 2. Nie chodzi tutaj wyłącznie o przypadki, w których w ramach danego sektora w nowelizacji UKSC pojawiły się dodatkowe podsektory lub rodzaje podmiotów. W niektórych przypadkach sam zakres definicji odnoszących się do poszczególnych sektorów został określony w różny sposób w nowelizacji UKSC i w Dyrektywie NIS 2. Przykładowo, Dyrektywa NIS 2 wymaga, aby dla podmiotu będącego organizacją badawczą głównym celem było prowadzenie badań stosowanych lub eksperymentalnych prac rozwojowych. W projekcie nowelizacji UKSC wystarczające jest z kolei samo prowadzenie badań aplikacyjnych lub prac rozwojowych i nie ma konieczności, aby był to główny cel działalności danego podmiotu.
Jak widać na powyższych przykładach, zakres zastosowania Dyrektywy NIS 2 nie w każdym przypadku będzie jednoznaczny. Dla wielu przedsiębiorstw odpowiedź na pytanie, czy jest ono podmiotem kluczowym lub ważnym, oznaczać będzie konieczność przeprowadzenia pracochłonnej analizy, której wyniki, przynajmniej na początkowym etapie obowiązywania nowych przepisów, mogą nie dać jednoznacznego rozstrzygnięcia. A odpowiedź twierdząca to dopiero początek dostosowywania organizacji do nowych przepisów.
Dyrektywa NIS 2 – dalsze obowiązki
Jeżeli Dyrektywa NIS 2 ma zastosowanie do danej organizacji, kolejnym etapem powinno być przygotowanie takiego podmiotu do spełnienia szczegółowych wymogów wynikających z nowych regulacji. Oznacza to konieczność wprowadzenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzenia ryzykiem w zakresie cyberbezpieczeństwa.
Jest to etap, który w wielu aspektach może przypominać wdrożenie RODO w organizacji. W przypadku obydwu regulacji analiza stanu zgodności i następnie wdrożenie odpowiednich środków mających na celu usunięcie zidentyfikowanych braków powinny obejmować dwa aspekty: prawny (w tym zgodność na poziomie wdrożonej dokumentacji i stosowanych procedur) i techniczny (w tym zgodność na poziomie stosowanych zabezpieczeń systemów informatycznych). Podobnie jak w przypadku RODO, dostosowanie organizacji do wymogów wynikających z Dyrektywy NIS 2 będzie również wiązało się z koniecznością przyjęcia odpowiednich polityk i procedur. Należy jednak pamiętać, że – mimo że zakres stosowania RODO i Dyrektywy NIS 2 będzie w niektórych przypadkach się zazębiał – są to dwie co do zasady niezależne od siebie regulacje prawne, a obowiązki określone w nich powinny być realizowane równolegle.
Dyrektywa NIS 2 wskazuje szerszy niż RODO katalog konkretnych polityk i procedur, których obowiązek wdrożenia wynika wprost z przepisów. Są to m. in.: polityka analizy ryzyka i bezpieczeństwa systemów informacyjnych, polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie lub polityki i procedury stosowania kryptografii i w stosownych przypadkach szyfrowania.
Po wejściu w życie nowelizacji UKSC organizacje, które zidentyfikowały się jako podmioty kluczowe lub ważne, muszą również pamiętać o złożeniu wniosku o wpis do wykazu podmiotów kluczowych i ważnych – zgodnie z aktualnym brzmieniem projektu nowelizacji UKSC, w ciągu trzech miesięcy od spełnienia kryteriów uznania za podmiot kluczowy lub ważny.
Co istotne, nawet jeżeli w wyniku samodzielnej analizy określony podmiot stwierdził, że nie spełnia kryteriów uznania za podmiot kluczowy lub ważny, nie oznacza to automatycznie, że wejście w życie Dyrektywy NIS 2 nie będzie wiązało się dla niego z żadnymi dodatkowymi obowiązkami. Po pierwsze, Dyrektywa NIS 2 przykłada dużą wagę do obowiązków związanych z zapewnieniem bezpieczeństwa łańcucha dostaw, co w praktyce oznacza, że podmioty kluczowe lub ważne będą chciały zapewnić, na poziomie umownym, żeby ich bezpośredni dostawcy lub usługodawcy również wprowadzali odpowiednie środki techniczne i organizacyjne w celu zarządzania ryzykiem w cyberbezpieczeństwie. W konsekwencji wiele podmiotów, do których Dyrektywa NIS 2 nie znajdzie bezpośredniego zastosowania, zostanie zobligowane kontraktowo do spełnienia obowiązków analogicznych do tych, które wynikają z dyrektywy.
Po drugie, zakres podmiotowy został określony na tyle szeroko, że w przypadku rozszerzenia działalności o nowe produkty lub usługi w wielu przypadkach konieczna będzie ponowna analiza, czy nie zostały spełnione kryteria podlegania pod NIS 2. Dla podmiotów, które prowadzą działalność w sektorach wskazanych w Dyrektywie NIS 2, ale które nie podlegają pod Dyrektywę ze względu na brak spełnienia kryterium wielkościowego, kluczowym momentem dla ponownej ewaluacji podlegania pod NIS 2 będzie z kolei zakończenie każdego kolejnego roku obrotowego.
Incydenty na gruncie Dyrektywy NIS 2
Kluczowe obowiązki wynikające z Dyrektywy NIS 2 dotyczą również obszaru identyfikowania i zgłaszania incydentów. I tutaj należy ze szczególną ostrożnością oceniać konieczność jednoczesnego spełnienia obowiązków związanych ze zgłaszaniem naruszeń ochrony danych osobowych w rozumieniu RODO. Duża część incydentów w obszarze cyberbezpieczeństwa może wiązać się z naruszeniem ochrony danych (albo co najmniej z ryzykiem takiego naruszenia). I w drugą stronę – biorąc pod uwagę postęp technologii i zwiększającą się z każdym rokiem liczbę cyberataków, można przypuszczać, że coraz częściej naruszenia ochrony danych osobowych będą mogły być wynikiem zdarzenia, które można zakwalifikować jako incydent w rozumieniu Dyrektywy NIS 2.
Jednoczesna kwalifikacja określonego zdarzenia jako incydentu w rozumieniu Dyrektywy NIS 2 i jako naruszenia danych, o którym mowa w RODO, nie zwalnia jednak podmiotu z obowiązku dokonania osobnego zgłoszenia na podstawie każdej z tych regulacji. Zgodnie z projektem nowelizacji UKSC, system S46, wykorzystywany m. in. przy zgłaszaniu incydentów, ma służyć również do dokonywania zgłoszenia naruszenia ochrony danych osobowych, co może oznaczać, że do pewnego stopnia “połączenie” ze sobą obydwu zgłoszeń będzie ułatwione. Z drugiej strony nie można jednocześnie zapominać, że analiza każdego zdarzenia pod kątem obowiązku jego zgłoszenia na gruncie Dyrektywy NIS 2 i RODO będzie musiała zostać przeprowadzona niezależnie od siebie.
O ile obowiązek zgłaszania naruszenia ochrony danych został określony w RODO szeroko (dotyczy on każdego przypadku, w którym istnieje ryzyko naruszenia praw lub wolności osób fizycznych, co znalazło potwierdzenie również w zaktualizowanym poradniku Prezesa UODO dotyczącym naruszeń ochrony danych osobowych opublikowanym w lutym 2025 r.), to na gruncie Dyrektywy NIS 2 obowiązkowemu zgłoszeniu podlegają incydenty poważne, a więc takie, które spowodowały lub mogą spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu lub które wpłynęły lub są w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe. Użycie takich słów jak “dotkliwe” lub “znaczne” (a w projekcie nowelizacji UKSC odpowiednio “poważne”) może w praktyce istotnie ograniczyć skalę zgłaszania incydentów na gruncie Dyrektywy NIS 2, co jednak nie wyklucza obowiązku zgłoszenia tego samego zdarzenia jako naruszenia na gruncie RODO.
Również terminy dokonywania zgłoszenia incydentów wynikające z RODO i Dyrektywy NIS 2 są różne. O ile termin 72 godzin ma zastosowanie zarówno do zgłoszenia incydentu poważnego, jak i naruszenia ochrony danych, to w przypadku incydentu na gruncie Dyrektywy NIS 2 wprowadzony został dodatkowy obowiązek dokonania tzw. wczesnego ostrzeżenia o incydencie poważnym, które powinno zostać dokonanie w ciągu 24 godzin od wykrycia incydentu.
Zarówno unijny, jak i polski ustawodawca zdaje się dostrzegać powyższe powiązania pomiędzy incydentem w rozumieniu Dyrektywy NIS 2 a naruszeniem ochrony danych w rozumieniu RODO. W projekcie nowelizacji UKSC, organ właściwy do spraw cyberbezpieczeństwa został zobligowany do poinformowania w terminie 7 dni Prezesa Urzędu Ochrony Danych Osobowych, jeżeli w trakcie sprawowania nadzoru podejrzewa naruszenie ochrony danych osobowych. Projekt polskiej ustawy przewiduje również, że jeżeli na dany podmiot nałożona już została kara pieniężna przez Prezesa Urzędu Ochrony Danych Osobowych, organ nie wszczyna postępowania w sprawie nałożenia kary określonej w nowelizacji UKSC za to samo zdarzenie i poprzestaje na pouczeniu. Obydwie te zasady są spójne z treścią art. 35 Dyrektywy NIS 2.
Podsumowanie
Wdrożenie Dyrektywy NIS 2 w organizacji to wieloetapowe wyzwanie, do którego polscy przedsiębiorcy powinni rozpocząć przygotowywania jeszcze przed wejściem w życie ustawy nowelizującej UKSC. Zastosowanie środków technicznych i organizacyjnych określonych w Dyrektywie NIS 2 pomoże wpłynąć na bezpieczeństwo we wszystkich aspektach działalności organizacji, w tym tych związanych z ochroną danych osobowych.
***
Autorzy: Paulina Komorowska-Mrozik, Dominika Chodkowska
Tekst ukazał się pierwotnie w piśmie MAGAZYN ODO
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)
