Cyberbezpieczeństwo sieci i systemów informatycznych (2022)

 

STRESZCZENIE DOKUMENTU:

Dyrektywa (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium UE

JAKIE SĄ CELE DYREKTYWY?

Dyrektywa, znana jako dyrektywa NIS2, ustanawia wspólne ramy regulacyjne w zakresie cyberbezpieczeństwa mające na celu zwiększenie poziomu cyberbezpieczeństwa w Unii Europejskiej (UE), zobowiązując państwa członkowskie UE do wzmocnienia zdolności w zakresie cyberbezpieczeństwa, a także wprowadzając środki zarządzania ryzykiem w cyberbezpieczeństwie i sprawozdawczość w sektorach krytycznych, wraz z przepisami dotyczącymi współpracy, wymiany informacji, nadzoru i egzekwowania przepisów.

KLUCZOWE ZAGADNIENIA

Cyberbezpieczeństwo odnosi się do działań niezbędnych do ochrony sieci i systemów informatycznych, użytkowników takich systemów i innych osób podatnych na cyberzagrożenia.

Sektory krytyczne

Dyrektywa ma zastosowanie głównie do średnich i dużych podmiotów działających w następujących sektorach kluczowych, jak określono w załączniku I:

• energetyka:
  • energia elektryczna, w tym systemy produkcji, dystrybucji i przesyłu oraz punkty ładowania,
  • system ciepłowniczy lub chłodniczy,
  • ropa naftowa, w tym instalacje służące do produkcji, magazynowania i przesyłu,
  • gaz, w tym systemy dostarczania, dystrybucji i przesyłu oraz magazynowania,
  • wodór;
• transport lotniczy, kolejowy, wodny i drogowy;
• bankowość i infrastruktura rynków finansowych, na przykład instytucje kredytowe, operatorzy systemów obrotu i kontrahenci centralni;
• opieka zdrowotna, w tym świadczeniodawcy, producenci podstawowych produktów farmaceutycznych i krytycznych wyrobów medycznych oraz laboratoria referencyjne UE;
• woda pitna;
• ścieki;
• infrastruktura cyfrowa, w tym dostawcy usług ośrodka przetwarzania danych, usług chmurowych, publicznych sieci łączności elektronicznej oraz publicznie dostępnych usług łączności elektronicznej;
• zarządzanie usługami ICT (między przedsiębiorstwami);
• przestrzeń kosmiczna;
• podmioty administracji publicznej na szczeblu centralnym i regionalnym, z wyłączeniem sądownictwa, parlamentów i banków centralnych, przy czym dyrektywa nie ma zastosowania do podmiotów administracji publicznej, które prowadzą działalność w zakresie bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa.

Ma ona również zastosowanie do sektorów ważnych zdefiniowanych w załączniku II:

• usługi pocztowe i kurierskie;
• gospodarka odpadami;
• wytwarzanie, produkcja i dystrybucja chemikaliów;
• produkcja, przetwarzanie i dystrybucja żywności;
• produkcja, w szczególności wyrobów medycznych, komputerów, wyrobów elektronicznych i optycznych, niektórych rodzajów urządzeń i maszyn elektrycznych, pojazdów samochodowych i pozostałego sprzętu transportowego;
• dostawcy usług cyfrowych, w tym internetowych platform handlowych, wyszukiwarek i sieci społecznościowych;
• organizacje badawcze.

Krajowa strategia cyberbezpieczeństwa

Każde państwo członkowskie musi przyjąć krajową strategię na rzecz osiągnięcia i utrzymania wysokiego poziomu cyberbezpieczeństwa w sektorach kluczowych, w tym:

• ramy zarządzania wyjaśniające role i obowiązki zainteresowanych stron na szczeblu krajowym;
• polityki dotyczące bezpieczeństwa łańcuchów dostaw;
• polityki dotyczące zarządzania podatnościami;
• polityki w zakresie promowania i rozwoju kształcenia i szkolenia w zakresie cyberbezpieczeństwa;
• środki mające na celu poprawę świadomości w zakresie cyberbezpieczeństwa wśród obywateli.

Państwa członkowskie muszą do 17 kwietnia 2025 r. ustanowić wykaz podmiotów istotnych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen. Muszą regularnie dokonywać przeglądu i, w stosownych przypadkach, aktualizacji tego wykazu, nie rzadziej niż co dwa lata po wskazanej wyżej dacie. Komisja Europejska przyjęła wytyczne dotyczące informacji, które należy gromadzić przy sporządzaniu tych wykazów, oraz wzoru dokumentu służącego do tego celu.

Komisja wydała również wytyczne wyjaśniające zasady dotyczące związku między dyrektywą (UE) 2022/2555 a obecnymi i przyszłymi sektorowymi aktami prawnymi UE, w których przewidziano środki zarządzania ryzykiem w cyberbezpieczeństwie lub wymogi w zakresie zgłaszania incydentów. Dodatek do wytycznych zawiera niewyczerpujący wykaz sektorowych aktów prawnych, które Komisja uważa za objęte zakresem dyrektywy (UE) 2022/2555.

Zespoły reagowania na incydenty bezpieczeństwa komputerowego

Zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) udzielają pomocy technicznej podmiotom, w tym przez:

• monitorowanie i analizowanie cyberzagrożeń, podatności i incydentów na szczeblu krajowym;
• dostarczanie zainteresowanym podmiotom i innym interesariuszom wczesnych ostrzeżeń, alertów, ogłoszeń i informacji na temat cyberzagrożeń, podatności i incydentów, w miarę możliwości w czasie zbliżonym do rzeczywistego;
• reagowanie na incydenty i udzielanie pomocy, w stosownych przypadkach;
• gromadzenie i analizowanie danych kryminalistycznych oraz zapewnienie dynamicznej analizy ryzyka i incydentów oraz świadomości sytuacyjnej w zakresie cyberbezpieczeństwa;
• przeprowadzanie, na wniosek, aktywnego skanowania sieci i systemów informatycznych w celu wykrycia podatności o potencjalnym znaczącym wpływie.

Sieć CSIRT

Dyrektywa ustanawia sieć krajowych CSIRT w celu wspierania szybkiej i skutecznej współpracy operacyjnej.

Skoordynowane ujawnianie podatności

Państwa członkowskie muszą:

• wyznaczyć jeden spośród swoich CSIRT do celu koordynowania ujawniania podatności wykrytych w produktach lub usługach ICT;
• zapewnić, aby osoby fizyczne w państwach członkowskich mogły zgłaszać anonimowo podatności, jeśli o to wystąpią.

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opracowuje i prowadzi bazę danych dotyczącą podatności.

Grupa Współpracy

Dyrektywa ustanawia Grupę Współpracy wspierającą i ułatwiającą współpracę strategiczną i wymianę informacji. W jej skład wchodzą przedstawiciele państw członkowskich, Komisji i ENISA. W stosownych przypadkach Grupa Współpracy może zaprosić Parlament Europejski i przedstawicieli odpowiednich zainteresowanych stron do udziału w jej pracach.

Europejska sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa

Europejska sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe) to sieć składająca się z przedstawicieli organów państw członkowskich ds. zarządzania kryzysowego w cyberbezpieczeństwie, jak również Komisji, w przypadkach gdy potencjalny lub trwający incydent w cyberbezpieczeństwie na dużą skalę ma lub może mieć znaczący wpływ na sektory objęte dyrektywą. W innych przypadkach Komisja uczestniczy w działaniach sieci w charakterze obserwatora.

Sieć wspiera skoordynowane zarządzanie na szczeblu operacyjnym incydentami i sytuacjami kryzysowymi w cyberbezpieczeństwie na dużą skalę oraz zapewnia regularną wymianę informacji między państwami członkowskimi oraz instytucjami UE, jej organami i agencjami.

Zadaniem sieci jest między innymi:

• koordynowanie zarządzania incydentami i sytuacjami kryzysowymi w cyberbezpieczeństwie na dużą skalę oraz wspieranie podejmowania decyzji na szczeblu politycznym;
• zwiększenie gotowości;
• rozwijanie wspólnej świadomości sytuacyjnej;
• ocena skutków i wpływu incydentów i sytuacji kryzysowych w cyberbezpieczeństwie na dużą skalę oraz zaproponowanie możliwych środków łagodzących.

Sprawozdawczość

Podmioty muszą powiadomić swoje CSIRT lub odpowiedni organ o każdym incydencie, który:

• może spowodować poważne zakłócenia operacyjne lub straty finansowe dla danego podmiotu;
• wpłynął lub jest w stanie wpłynąć na inne osoby, powodując znaczne szkody majątkowe i niemajątkowe.

Ponadto ENISA opracuje, we współpracy z Komisją i Grupą Współpracy, dwuletnie sprawozdanie na temat stanu cyberbezpieczeństwa w UE, które zostanie również przedłożone Parlamentowi.

Nadzór i egzekwowanie przepisów

Dyrektywa przewiduje środki zaradcze i sankcje w celu zapewnienia egzekwowania przepisów.

Oceny wzajemne

Celem ocen wzajemnych jest wyciąganie wniosków ze wspólnych doświadczeń, wzmocnienie wzajemnego zaufania, osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa oraz zwiększenie zdolności państw członkowskich w zakresie cyberbezpieczeństwa niezbędnych do wdrożenia tej dyrektywy oraz doskonalenie ich polityk w tej dziedzinie. Oceny te obejmują fizyczne lub wirtualne wizyty na miejscu i zdalną wymianę informacji. Udział w tych ocenach wzajemnych jest dobrowolny.

OD KIEDY PRZEPISY TE MAJĄ ZASTOSOWANIE?

Dyrektywa ma być transponowana do prawa krajowego do 17 października 2024 r. Przepisy mają mieć zastosowanie od 18 października 2024 r.

KONTEKST

Dyrektywa uchyla dyrektywę (UE) 2016/1148 (zob. streszczenie) od 18 października 2024 r.

Więcej informacji:

• Cyberbezpieczeństwo (Komisja Europejska)
• Cyberbezpieczeństwo: jak UE radzi sobie z cyberzagrożeniami (Rada Europejska, Rada Unii Europejskiej)
• Jak UE reaguje na kryzysy i buduje odporność? (Rada Europejska, Rada Unii Europejskiej)
• Cyfrowa przyszłość Europy (Rada Europejska, Rada Unii Europejskiej).

GŁÓWNY DOKUMENT

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80–152).

Kolejne zmiany dyrektywy (UE) 2022/2555 zostały włączone do tekstu pierwotnego. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

DOKUMENTY POWIĄZANE

Komunikat Komisji – Wytyczne Komisji dotyczące stosowania art. 3 ust. 4 dyrektywy (UE) 2022/2555 (NIS 2) 2023/C 324/02 (Dz.U. C 324 z 14.9.2023, s. 2–7).

Komunikat Komisji – Wytyczne Komisji dotyczące stosowania art. 4 ust. 1 i 2 dyrektywy (UE) 2022/2555 (NIS 2) 2023/C 328/02 (Dz.U. C 328 z 18.9.2023, s. 2–10).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz.U. L 333 z 27.12.2022, s. 1–79).

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (Dz.U. L 333 z 27.12.2022, s. 164–198).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/696 z dnia 28 kwietnia 2021 r. ustanawiające Unijny program kosmiczny i Agencję Unii Europejskiej ds. Programu Kosmicznego oraz uchylające rozporządzenia (UE) nr 912/2010, (UE) nr 1285/2013 i (UE) nr 377/2014 oraz decyzję nr 541/2014/UE (Dz.U. L 170 z 12.5.2021, s. 69–148).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/694 z dnia 29 kwietnia 2021 r. ustanawiające program „Cyfrowa Europa” oraz uchylające decyzję (UE) 2015/2240 (Dz.U. L 166 z 11.5.2021, s. 1–34).

Zob. tekst skonsolidowany.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.U. L 151 z 7.6.2019, s. 15–69).

Zalecenie Komisji (UE) 2019/534 z dnia 26 marca 2019 r. – Cyberbezpieczeństwo sieci 5G (Dz.U. L 88 z 29.3.2019, s. 42–47).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1139 z dnia 4 lipca 2018 r. w sprawie wspólnych zasad w dziedzinie lotnictwa cywilnego i utworzenia Agencji Unii Europejskiej ds. Bezpieczeństwa Lotniczego oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 2111/2005, (WE) nr 1008/2008, (UE) nr 996/2010, (UE) nr 376/2014 i dyrektywy Parlamentu Europejskiego i Rady 2014/30/UE i 2014/53/UE, a także uchylające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 552/2004 i (WE) nr 216/2008 i rozporządzenie Rady (EWG) nr 3922/91 (Dz.U. L 212 z 22.8.2018, s. 1–122).

Zob. tekst skonsolidowany.

Decyzja wykonawcza Rady (UE) 2018/1993 z dnia 11 grudnia 2018 r. w sprawie zintegrowanych uzgodnień UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych (Dz.U. L 320 z 17.12.2018, s. 28–34).

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (wersja przekształcona) (Dz.U. L 321 z 17.12.2018, s. 36–214).

Zob. tekst skonsolidowany.

Zalecenie Komisji (UE) 2017/1584 z dnia 13 września 2017 r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę (Dz.U. L 239 z 19.9.2017, s. 36–58).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1–88).

Zob. tekst skonsolidowany.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. L 257 z 28.8.2014, s. 73–114).

Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW (Dz.U. L 218 z 14.8.2013, s. 8–14).

Decyzja Parlamentu Europejskiego i Rady nr 1313/2013/EU z dnia 17 grudnia 2013 r. w sprawie Unijnego Mechanizmu Ochrony Ludności (Dz.U. L 347 z 20.12.2013, s. 924–947).

Zob. tekst skonsolidowany.

Dyrektywa Parlamentu Europejskiego i Rady 2011/93/UE z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępująca decyzję ramową Rady 2004/68/WSiSW (Dz.U. L 335 z 17.12.2011, s. 1–14).

Zob. tekst skonsolidowany.

Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 300/2008 z dnia 11 marca 2008 r. w sprawie wspólnych zasad w dziedzinie ochrony lotnictwa cywilnego i uchylające rozporządzenie (WE) nr 2320/2002 (Dz.U. L 97 z 9.4.2008, s. 72–84).

Zob. tekst skonsolidowany.

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37–47).

Zob. tekst skonsolidowany.

Ostatnia aktualizacja: 03.05.2024