LexDigital

Dyrektywa NIS i Dyrektywa NIS 2

Dyrektywa NIS, czyli Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, była pierwszym europejskim aktem prawnym w zakresie cyberbezpieczeństwa.

Dyrektywa NIS i Dyrektywa NIS 2

Jako kamień milowy w zakresie zarządzania ryzykiem w cyberbezpieczeństwie, dyrektywa ta ustanowiła nowe standardy dla operatorów usług kluczowych oraz dostawców usług cyfrowych, wymagając od nich implementacji adekwatnych środków technicznych i organizacyjnych, aby zapewnić wysoki poziom bezpieczeństwa swoich sieci.

Rozwój technologii i ewoluujące zagrożenia cybernetyczne skłoniły do wprowadzenia Dyrektywy NIS 2, tj. Dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148).

earth, internet, globalization


Artykuł omawia jak dyrektywa NIS oraz dyrektywa NIS2 odbija się na krajowym systemie cyberbezpieczeństwa.

Geneza Dyrektywy NIS

Dyrektywa NIS ma swoje źródło w rosnącej świadomości znaczenia cyberbezpieczeństwa w zglobalizowanym świecie, gdzie sieci oraz systemy informatyczne stają się kluczowymi elementami infrastruktury krytycznej.

Dyrektywa NIS, oficjalnie przyjęta w 2016 roku, była pierwszym krokiem w kierunku ujednolicenia podejścia do bezpieczeństwa sieci na poziomie międzynarodowym. Skoncentrowana na podniesieniu poziomu ochrony krajowych systemów cyberbezpieczeństwa, dyrektywa ta wprowadziła zestaw wymagań dla operatorów usług kluczowych oraz dostawców usług cyfrowych. Jej głównym celem było zapewnienie wysokiego wspólnego poziomu cyberbezpieczeństwa w państwach członkowskich, poprzez wdrożenie proporcjonalnych środków technicznych i zarządzania ryzykiem.

Dyrektywa ta nakładała na państwa członkowskie obowiązek identyfikacji operatorów usług kluczowych w sektorach takich jak energia, transport, usługi zdrowotne, usługi finansowe i infrastruktura cyfrowa, czy zaopatrzenie w wodę pitną i jej dystrybucja. Wymagała także od nich, by wdrażały strategie zarządzania ryzykiem w cyberbezpieczeństwie i zgłaszały poważne incydenty bezpieczeństwa komputerowego do właściwych organów nadzorczych.

Dyrektywa NIS była pionierskim krokiem na rzecz wspierania współpracy i wymiany informacji między państwami członkowskimi, a także ustanawiania skuteczniejszych środków na rzecz zapewnienia bezpieczeństwa sieci oraz systemów informatycznych, co miało kluczowe znaczenie dla ochrony obywateli, usług i infrastruktury w całej Unii Europejskiej.

earth, globalisation, network


Zakres dyrektywy NIS

Dyrektywa NIS, ustanowiona przez Parlament Europejski i Radę, stanowi kluczowy element ram prawnych UE dotyczących cyberbezpieczeństwa. Jej głównym celem było zapewnienie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w całej Unii Europejskiej. Zakres dyrektywy obejmował zarówno operatorów usług kluczowych, jak i dostawców usług cyfrowych, wymagając od nich wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszania poważnych incydentów bezpieczeństwa komputerowego.

Dyrektywa NIS koncentrowała się na sektorach kluczowych dla gospodarki i społeczeństwa, takich jak energia, transport, bankowość, infrastruktura rynków finansowych, zdrowie, zaopatrzenie w wodę i dystrybucja energii elektrycznej. Wymaga ona od państw członkowskich utworzenia krajowego systemu cyberbezpieczeństwa, w tym właściwych organów nadzorczych oraz jednolitego punktu kontaktowego. Państwa członkowskie miały także obowiązek zidentyfikować operatorów usług kluczowych.

Dyrektywa NIS wymuszała wdrożenie odpowiednich środków technicznych i organizacyjnych, aby zarządzać ryzykami dla bezpieczeństwa sieci oraz systemów informatycznych. Zawiera również przepisy dotyczące zgłaszania incydentów bezpieczeństwa, co pozwala na lepszą koordynację reakcji na poziomie krajowym i unijnym. Dzięki temu dyrektywa NIS odgrywa kluczową rolę w zapewnieniu, że podmioty publiczne i prywatne świadczące usługi, które mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, są odpowiednio chronione przed zagrożeniami cybernetycznymi, co przyczynia się do ogólnego bezpieczeństwa publicznego w Unii Europejskiej.

risk, word, letters


Kluczowe pojęcia w dyrektywie NIS

Dwa kluczowe pojęcia w dyrektywie NIS to:

  1. operatorzy usług kluczowych
  2. dostawcy usług cyfrowych

Operatorzy usług kluczowych to termin odnoszący się do organizacji, zarówno publicznych, jak i prywatnych, które świadczą usługi niezbędne dla utrzymania kluczowych funkcji społecznych i gospodarczych. Przykłady obejmują sektory energetyczne, transportowe, bankowe, zdrowotne oraz dostawców wody pitnej. Bezpieczeństwo tych usług ma kluczowe znaczenie dla społeczeństwa, a ich zakłócenie mogłoby mieć poważne skutki.

Z kolei przez dostawcę usług cyfrowych należy rozumieć każdą osobę prawną, która świadczy usługi cyfrowe, tj. każdą usługę społeczeństwa informacyjnego, (tj. każdą usługę normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług). Dyrektywa wymienia trzy rodzaje usług cyfrowych:

  1. Internetowa platforma handlowa,
  2. Wyszukiwarka internetowa,
  3. Usługa przetwarzania w chmurze.
businessman, tablet, steering

Dyrektywa NIS — wymogi dla Dostawców Usług Cyfrowych

Dostawcy usług cyfrowych, zgodnie z dyrektywą NIS, są zobowiązani do wdrożenia odpowiednich i proporcjonalnych środków technicznych i organizacyjnych, aby zarządzać ryzykami dla bezpieczeństwa sieci i systemów informatycznych. Obejmuje to między innymi konieczność przeprowadzania regularnych audytów bezpieczeństwa, monitorowania potencjalnych zagrożeń oraz szybkiego reagowania na incydenty bezpieczeństwa komputerowego.

W zakresie zgłaszania incydentów dyrektywa parlamentu europejskiego i rady UE NIS wymaga, aby dostawcy usług cyfrowych informowali odpowiednie krajowe organy nadzorcze o poważnych incydentach bezpieczeństwa, które mogą mieć znaczący wpływ na świadczone przez nich usługi. To podejście ma na celu nie tylko ochronę infrastruktury cyfrowej, ale także podnoszenie świadomości o zagrożeniach i poprawę ogólnego poziomu cyberbezpieczeństwa w państwach członkowskich.

Realizując te wymogi, dostawcy usług cyfrowych odgrywają kluczową rolę w utrzymaniu bezpieczeństwa cyfrowego, zarówno w zakresie ochrony danych osobowych, jak i zapewnienia ciągłości działania usług cyfrowych, które są nieodłączną częścią gospodarki i codziennego życia w Unii Europejskiej.

fiber, cable, wire


Krajowy System Cyberbezpieczeństwa

W obliczu rosnących zagrożeń w cyberprzestrzeni krajowy system cyberbezpieczeństwa stał się kluczowym elementem ochrony infrastruktury krytycznej i danych obywateli. Wprowadzenie przez Parlament Europejski i Radę Dyrektywy NIS Dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych) znacząco przyczyniło się do wzrostu świadomości i umocnienia działań w tym obszarze w państwach członkowskich Unii Europejskiej.

Dyrektywa NIS nakłada na państwa członkowskie obowiązek stworzenia krajowych strategii cyberbezpieczeństwa, które obejmują zarządzanie ryzykiem w cyberbezpieczeństwie, identyfikację podmiotów kluczowych i ważnych, a także ustalenie procedur w zakresie zgłaszania incydentów bezpieczeństwa komputerowego. System ten wymaga od operatorów usług kluczowych oraz dostawców usług cyfrowych wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić wysoki poziom bezpieczeństwa swoich sieci i systemów informatycznych.

Krajowy system cyberbezpieczeństwa odpowiada również za koordynację działań między podmiotami publicznymi i prywatnymi, co jest kluczowe dla skutecznego zarządzania ryzykiem i reagowania na incydenty. W tym kontekście, właściwe organy nadzorcze w poszczególnych państwach członkowskich mają uprawnienia do egzekwowania przepisów dyrektywy, w tym nakładania administracyjnych kar pieniężnych w przypadku niezgodności.

Ustawa o krajowym systemie cyberbezpieczeństwa

Dyrektywa NIS jest wdrożona w Polsce przez ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

Ustawa reguluje następujące obszary:

  1. Utworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC): System ten ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.
  2. Zakres systemu: System obejmuje operatorów usług kluczowych (m.in. z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.
  3. Obowiązki operatorów usług kluczowych: Operatorzy są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach, oraz ich obsługi we współpracy z CSIRT poziomu krajowego.
circle, technology, abstract


Dyrektywa NIS 2 – Co Nowego?

Dyrektywa NIS 2, będąca aktualizacją i rozszerzeniem oryginalnej Dyrektywy NIS, została wprowadzona przez Parlament Europejski i Radę w celu dalszego wzmacniania cyberbezpieczeństwa w całej Unii Europejskiej. Ta zmieniająca rozporządzenie dyrektywa wprowadza szereg nowych wymogów i rozszerzeń, mających na celu zapewnienie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.

Jednym z kluczowych aspektów Dyrektywy NIS 2 jest rozszerzenie zakresu jej stosowania. Obejmuje ona teraz większą liczbę „podmiotów kluczowych i ważnych”, w tym średnie przedsiębiorstwa działające w sektorach krytycznych, takich jak infrastruktura cyfrowa, usługi pocztowe, gospodarowanie odpadami, a także usługi rejestracji nazw domen i dostawców usług DNS.

Obowiązki podmiotów kluczowych i podmiotów ważnych

Dyrektywa NIS 2 wprowadza jednakowe obowiązki dla dwóch głównych grup: podmiotów kluczowych i ważnych. Dotychczas obowiązki operatorów usług kluczowych oraz dostawców usług cyfrowych różniły się między sobą. Ww. podmioty będą musiały wprowadzić odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w odniesieniu do zarządzania ryzykiem.

Dyrektywa zwiększa również wymogi w zakresie zarządzania ryzykiem i zgłaszania incydentów bezpieczeństwa komputerowego. Podmioty te są zobowiązane do przeprowadzania ukierunkowanych audytów bezpieczeństwa, wdrażania środków zarządzania ryzykiem, a także szybkiego i skutecznego zgłaszania incydentów do właściwych organów nadzorczych.

Ponadto, NIS 2 nakłada na państwa członkowskie obowiązek zaktualizowania wykazu sektorów i podmiotów kluczowych, co umożliwia lepsze dostosowanie przepisów do zmieniających się realiów i zagrożeń w cyberprzestrzeni. Zmiany te mają na celu nie tylko ochronę infrastruktury krytycznej, ale także zapewnienie bezpieczeństwa publicznego poprzez bardziej efektywne egzekwowanie przepisów i zarządzanie ryzykiem w obszarze cyberbezpieczeństwa.

Dyrektywa NIS 2 reprezentuje ważny krok w kierunku wzmocnienia cyberbezpieczeństwa w Unii Europejskiej, dostosowując przepisy do szybko rozwijającego się i ewoluującego świata cyfrowego.

Podsumowanie

Dyrektywa NIS2 wprowadza kluczowe zmiany w zakresie cyberbezpieczeństwa, mając na celu wzmocnienie środków zapewnienia wysokiego poziomu cyberbezpieczeństwa w Unii Europejskiej. Nowa regulacja obejmuje szeroki wykaz podmiotów kluczowych, w tym podmioty administracji publicznej oraz inne podmioty kluczowe i ważne, działające w sektorze usług cyfrowych. W sprawie środków mających na celu zapewnienie bezpieczeństwa, dyrektywa przewiduje wydawanie nakazów zapewnienia zgodności z zakresu cyberbezpieczeństwa przez organy nadzorcze. Ponadto, regulacje zahaczają również o transgraniczne świadczenie usług, co wprowadza istotne zmiany w podejściu do współpracy i koordynacji działań pomiędzy państwami członkowskimi.

Autorem artykułu jest radca prawny Jakub Pawłowski.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk