Dyrektywa (UE) 2022/2555, znana także jako dyrektywa NIS2, ustanawia wspólne ramy regulacyjne w zakresie cyberbezpieczeństwa mające na celu zwiększenie poziomu cyberbezpieczeństwa w Unii Europejskiej (UE), zobowiązując państwa członkowskie UE do wzmocnienia zdolności w zakresie cyberbezpieczeństwa, a także wprowadzając środki zarządzania ryzykiem w cyberbezpieczeństwie i sprawozdawczość w sektorach krytycznych, wraz z przepisami dotyczącymi współpracy, wymiany informacji, nadzoru i egzekwowania przepisów.
KLUCZOWE ZAGADNIENIA
Cyberbezpieczeństwo odnosi się do działań niezbędnych do ochrony sieci i systemów informatycznych, użytkowników takich systemów i innych osób podatnych na cyberzagrożenia.
Sektory krytyczne
Dyrektywa ma zastosowanie głównie do średnich i dużych podmiotów działających w następujących sektorach kluczowych, jak określono w załączniku I:
energetyka:
energia elektryczna, w tym systemy produkcji, dystrybucji i przesyłu oraz punkty ładowania,
system ciepłowniczy lub chłodniczy,
ropa naftowa, w tym instalacje służące do produkcji, magazynowania i przesyłu,
gaz, w tym systemy dostarczania, dystrybucji i przesyłu oraz magazynowania,
wodór;
transport lotniczy, kolejowy, wodny i drogowy;
bankowość i infrastruktura rynków finansowych, na przykład instytucje kredytowe, operatorzy systemów obrotu i kontrahenci centralni;
opieka zdrowotna, w tym świadczeniodawcy, producenci podstawowych produktów farmaceutycznych i krytycznych wyrobów medycznych oraz laboratoria referencyjne UE;
woda pitna;
ścieki;
infrastruktura cyfrowa, w tym dostawcy usług ośrodka przetwarzania danych, usług chmurowych, publicznych sieci łączności elektronicznej oraz publicznie dostępnych usług łączności elektronicznej;
podmioty administracji publicznej na szczeblu centralnym i regionalnym, z wyłączeniem sądownictwa, parlamentów i banków centralnych; dyrektywa nie ma zastosowania do podmiotów administracji publicznej, które prowadzą działalność w zakresie bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa.
Ma ona również zastosowanie do sektorów ważnych zdefiniowanych w załączniku II:
usługi pocztowe i kurierskie;
gospodarka odpadami;
wytwarzanie, produkcja i dystrybucja chemikaliów;
produkcja, przetwarzanie i dystrybucja żywności;
produkcja, w szczególności wyrobów medycznych, komputerów, wyrobów elektronicznych i optycznych, niektórych rodzajów urządzeń i maszyn elektrycznych, pojazdów samochodowych i pozostałego sprzętu transportowego;
dostawcy usług cyfrowych, w tym internetowych platform handlowych, wyszukiwarek i sieci społecznościowych;
organizacje badawcze.
Krajowa strategia bezpieczeństwa cybernetycznego
Każde państwo członkowskie musi przyjąć krajową strategię na rzecz osiągnięcia i utrzymania wysokiego poziomu cyberbezpieczeństwa w sektorach kluczowych, w tym:
ramy zarządzania wyjaśniające role i obowiązki zainteresowanych stron na szczeblu krajowym;
polityki dotyczące bezpieczeństwa łańcuchów dostaw;
polityki dotyczące zarządzania podatnościami;
polityki w zakresie promowania i rozwoju kształcenia i szkolenia w zakresie cyberbezpieczeństwa;
środki mające na celu poprawę świadomości w zakresie cyberbezpieczeństwa wśród obywateli.
Państwa członkowskie muszą do ustanowić wykaz podmiotów istotnych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen. Muszą regularnie dokonywać przeglądu i, w stosownych przypadkach, aktualizacji tego wykazu, nie rzadziej niż co dwa lata po wskazanej wyżej dacie. Komisja Europejska przyjęła wytyczne dotyczące informacji, które należy gromadzić przy sporządzaniu tych wykazów, oraz wzoru dokumentu służącego do tego celu.
Komisja wydała również wytyczne wyjaśniające zasady dotyczące związku między dyrektywą (UE) 2022/2555 a obecnymi i przyszłymi sektorowymi aktami prawnymi UE, w których przewidziano środki zarządzania ryzykiem w cyberbezpieczeństwie lub wymogi w zakresie zgłaszania incydentów. Dodatek do wytycznych zawiera niewyczerpujący wykaz sektorowych aktów prawnych, które Komisja uważa za objęte zakresem artykułu 4 dyrektywy (UE) 2022/2555.
Zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) udzielają pomocy technicznej podmiotom, w tym przez:
monitorowanie i analizowanie cyberzagrożeń, podatności i incydentów na szczeblu krajowym;
dostarczanie zainteresowanym podmiotom i innym interesariuszom wczesnych ostrzeżeń, alertów, ogłoszeń i informacji na temat cyberzagrożeń, podatności i incydentów, w miarę możliwości w czasie zbliżonym do rzeczywistego;
reagowanie na incydenty i udzielanie pomocy, w stosownych przypadkach;
gromadzenie i analizowanie danych kryminalistycznych oraz zapewnienie dynamicznej analizy ryzyka i incydentów oraz świadomości sytuacyjnej w zakresie cyberbezpieczeństwa;
przeprowadzanie, na wniosek, aktywnego skanowania sieci i systemów informatycznych w celu wykrycia podatności o potencjalnym znaczącym wpływie.
Sieć CSIRT
Dyrektywa ustanawia sieć krajowych CSIRT w celu wspierania szybkiej i skutecznej współpracy operacyjnej.
Dyrektywa ustanawia Grupę Współpracy wspierającą i ułatwiającą współpracę strategiczną i wymianę informacji. W jej skład wchodzą przedstawiciele państw członkowskich, Komisji i ENISA. W stosownych przypadkach Grupa Współpracy może zaprosić Parlament Europejski i przedstawicieli odpowiednich zainteresowanych stron do udziału w jej pracach.
Europejska Sieć Organizacji Łącznikowych do spraw Kryzysów Cyberbezpieczeństwa (EU-CyCLONe) to sieć składająca się z przedstawicieli organów państw członkowskich ds. zarządzania kryzysowego w cyberbezpieczeństwie, jak również Komisji, w przypadkach gdy potencjalny lub trwający incydent w cyberbezpieczeństwie na dużą skalę ma lub może mieć znaczący wpływ na sektory objęte dyrektywą. W innych przypadkach Komisja uczestniczy w działaniach sieci w charakterze obserwatora.
Sieć wspiera skoordynowane zarządzanie na szczeblu operacyjnym incydentami i sytuacjami kryzysowymi w cyberbezpieczeństwie na dużą skalę oraz zapewnia regularną wymianę informacji między państwami członkowskimi oraz instytucjami UE, jej organami, urzędami i agencjami.
Zadaniem sieci jest między innymi:
koordynowanie zarządzania incydentami i sytuacjami kryzysowymi w cyberbezpieczeństwie na dużą skalę oraz wspieranie podejmowania decyzji na szczeblu politycznym;
zwiększenie gotowości;
rozwijanie wspólnej świadomości sytuacyjnej;
ocena skutków i wpływu incydentów i sytuacji kryzysowych w cyberbezpieczeństwie na dużą skalę oraz zaproponowanie możliwych środków łagodzących.
Środki zarządzania ryzykiem w cyberprzestrzeni;
Podmioty muszą podjąć odpowiednie i proporcjonalne techniczne, operacyjne i organizacyjne działania dotyczące zarządzania ryzykiem w zakresie cyberbezpieczeństwa. Katalog działań obejmuje m.in. analizę ryzyka i polityki bezpieczeństwa systemów informatycznych, obsługę incydentów, ciągłość działania, usuwanie skutków awarii i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, obsługę i ujawnianie luk w zabezpieczeniach, podstawowe praktyki higieniczne, polityki i procedury dotyczące korzystania z kryptografii (i szyfrowania, w stosownych przypadkach), bezpieczeństwo zasobów ludzkich oraz korzystanie z uwierzytelniania wieloskładnikowego lub rozwiązań ciągłego uwierzytelniania. Działania te muszą opierać się na podejściu uwzględniającym wszystkie zagrożenia.
Organy zarządzające muszą zatwierdzać te środki i nadzorować ich wdrażanie, a za naruszenia mogą zostać pociągnięte do odpowiedzialności.
Sprawozdawczość
Podmioty muszą powiadomić swoje CSIRT lub odpowiedni organ o każdym incydencie, który:
spowodował lub może spowodować poważne zakłócenia operacyjne lub straty finansowe dla danego podmiotu;
wpłynął lub jest w stanie wpłynąć na inne osoby, powodując znaczne szkody majątkowe i niemajątkowe.
Ponadto ENISA opracuje we współpracy z Komisją i Grupą Współpracy dwuletnie sprawozdanie na temat stanu cyberbezpieczeństwa w UE, które zostanie również przedłożone Parlamentowi.
Nadzór i egzekwowanie przepisów
Dyrektywa przewiduje środki zaradcze i sankcje w celu zapewnienia egzekwowania przepisów.
Oceny wzajemne
Celem ocen wzajemnych jest wyciąganie wniosków ze wspólnych doświadczeń, wzmocnienie wzajemnego zaufania, osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa oraz zwiększenie zdolności państw członkowskich w zakresie cyberbezpieczeństwa niezbędnych do wdrożenia tej dyrektywy oraz doskonalenie ich polityk w tej dziedzinie. Oceny te obejmują fizyczne lub wirtualne wizyty na miejscu i zdalną wymianę informacji. Udział w tych ocenach wzajemnych jest dobrowolny.
Rozporządzenie wykonawcze (UE) 2024/2690 ustanawia zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodologicznych dotyczących środków zarządzania ryzykiem dotyczącym cyberbezpieczeństwa, a ponadto określa przypadki, w których incydent uznaje się za istotny dotyczące:
dostawców usług systemu nazw domen,
rejestrów nazw domen najwyższego poziomu,
dostawców usług przetwarzania w chmurze,
dostawców usług w zakresie centrów danych.
dostawców sieci dostarczania treści,
dostawców usług zarządzanych,
dostawców usług zarządzanych w zakresie bezpieczeństwa,
dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług społecznościowych, oraz
dostawców usług dotyczących zaufania.
Uchylenie
Dyrektywa (UE) 2022/2555 uchyliła dyrektywę (UE) 2016/1148 (zob. streszczenie) z dniem , a rozporządzenie wykonawcze (UE) 2024/2690 uchyliło rozporządzenie wykonawcze (UE) 2018/151, które ustanowiło zasady stosowania dyrektywy (UE) 2016/1148.
OD KIEDY PRZEPISY TE MAJĄ ZASTOSOWANIE?
Dyrektywa miała być transponowana do prawa krajowego do Zasady obowiązują od
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z , s. 80–152).
Kolejne zmiany dyrektywy (UE) 2022/2555 zostały włączone do tekstu pierwotnego. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.
DOKUMENTY POWIĄZANE
Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia ustanawiające zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania (Dz.U. L, 2024/2690, ).
Komunikat Komisji – Wytyczne Komisji dotyczące stosowania art. 3 ust. 4 dyrektywy (UE) 2022/2555 (NIS 2) 2023/C 324/02 (Dz.U. C 324 z , s. 2–7).
Komunikat Komisji – Wytyczne Komisji dotyczące stosowania art. 4 ust. 1 i 2 dyrektywy (UE) 2022/2555 (NIS 2) 2023/C 328/02 (Dz.U. C 328 z , s. 2–10).
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz.U. L 333 z , s. 1–79).
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (Dz.U. L 333 z , s. 164–198).
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/696 z dnia ustanawiające Unijny program kosmiczny i Agencję Unii Europejskiej ds. Programu Kosmicznego oraz uchylające rozporządzenia (UE) nr 912/2010, (UE) nr 1285/2013 i (UE) nr 377/2014 oraz decyzję nr 541/2014/UE (Dz.U. L 170 z , s. 69–148).
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/694 z dnia ustanawiające program „Cyfrowa Europa” oraz uchylające decyzję (UE) 2015/2240 (Dz.U. L 166 z , s. 1–34).
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.U. L 151 z , s. 15–69).
Zalecenie Komisji (UE) 2019/534 z dnia – Cyberbezpieczeństwo sieci 5G (Dz.U. L 88 z , s. 42–47).
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1139 z dnia w sprawie wspólnych zasad w dziedzinie lotnictwa cywilnego i utworzenia Agencji Unii Europejskiej ds. Bezpieczeństwa Lotniczego oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 2111/2005, (WE) nr 1008/2008, (UE) nr 996/2010, (UE) nr 376/2014 i dyrektywy Parlamentu Europejskiego i Rady 2014/30/UE i 2014/53/UE, a także uchylające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 552/2004 i (WE) nr 216/2008 i rozporządzenie Rady (EWG) nr 3922/91 (Dz.U. L 212 z , s. 1–122).
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia ustanawiająca Europejski kodeks łączności elektronicznej (wersja przekształcona) (Dz.U. L 321 z , s. 36–214).
Decyzja wykonawcza Rady (UE) 2018/1993 z dnia w sprawie zintegrowanych uzgodnień UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych (Dz.U. L 320 z , s. 28–34).
Zalecenie Komisji (UE) 2017/1584 z dnia w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę (Dz.U. L 239 z , s. 36–58).
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z , s. 1–88).
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. L 257 z , s. 73–114).
Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW (Dz.U. L 218 z , s. 8–14).
Decyzja Parlamentu Europejskiego i Rady nr 1313/2013/EU z dnia w sprawie Unijnego Mechanizmu Ochrony Ludności (Dz.U. L 347 z , s. 924–947).
Dyrektywa Parlamentu Europejskiego i Rady 2011/93/UE z dnia w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępująca decyzję ramową Rady 2004/68/WSiSW (Dz.U. L 335 z , s. 1–14).
Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 300/2008 z dnia w sprawie wspólnych zasad w dziedzinie ochrony lotnictwa cywilnego i uchylające rozporządzenie (WE) nr 2320/2002 (Dz.U. L 97 z , s. 72–84).
Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z , s. 37–47).