Nowa dyrektywa NIS 2 dotycząca cyberbezpieczeństwa, która w całości zastąpi obecnie obowiązującą, wprowadza szereg istotnych zmian. Jest swego rodzaju doprecyzowaniem i jakościową zmianą w zakresie przepisów dotyczących cyberbezpieczeństwa. Kluczową zmianą, o której należy na pewno powiedzieć – to istotne rozszerzenie zakresu podmiotów, które będą miały określone obowiązki dotyczące cyberbezpieczeństwa. Dyrektywa NIS 2 odchodzi od dotychczasowego podziału na dostawców usług kluczowych oraz operatorów usług cyfrowych, wprowadzając zupełnie nowe dwie kategorie – podmiotów niezbędnych i podmiotów istotnych. Zmienia się również kryterium, według którego te podmioty będą kwalifikowane. Zmiany dotyczą również nadzoru nad efektywnością i stosowania tych przepisów. Uwagę przykuwają przede wszystkim kary administracyjne – nawet do 10 milionów euro lub 2% obrotu. Zmianom ulegają również zasady dotyczące raportowania incydentów bezpieczeństwa. Zarówno sama procedura, jak i skutki jej niedochowania będą wyglądały trochę inaczej.
– Mamy także elementy podobne, czyli zasadnicze obowiązki obecnie wynikające z dyrektywy NIS pozostają niezmienione. Przede wszystkim analiza ryzyka, utrzymywanie ciągłości, polityki, procedury czy reagowanie na incydenty – powiedział serwisowi eNewsroom Wojciech Piszewski, Counsel w kancelarii Maruta Wachta, specjalizujący się m.in. w zagadnieniach compliance, prawa ochrony danych osobowych i e-commerce. – Niezmieniona pozostanie również podstawowa zasada proporcjonalności, zgodnie z którą środki powinny odpowiadać celom i poziomowi ryzyka, jaki w danym przypadku występuje. Wydaje się zresztą, że zasada proporcjonalności w większym stopniu zostaje podkreślona w ramach dyrektywy NIS 2 i co istotne, dotyczy ona również między innymi sposobu oceniania dostawców – w tym dostawców usług i sprzętu ICT. Dyrektywa wprost nakazuje uwzględnianie przede wszystkim czynników o charakterze technicznym oraz wskazuje na to, że taka ocena powinna uwzględniać wyniki na poziomie całej unii europejskiej. Zakres zmian wskazuje, że pracy będzie sporo – najpierw z implementacją prawną, a potem z wdrożeniem w praktyce. I co istotne – zmiany w dyrektywie nie są w pełni spójne ze zmianami, które obecnie planowane są w zakresie nowelizacji krajowych przepisów dotyczących cyberbezpieczeństwa – czyli ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Z tego względu warto się zastanowić, czy prace krajowe nie powinny zostać wstrzymane – bo warto poczekać na dyrektywę europejską i procedować dalej w ramach jednego projektu. Wydaje się, że Krajowy System Cyberbezpieczeństwa powinien poczekać na dyrektywę NIS 2 i jej pełne, prawidłowe wdrożenie – podkreśla Piszewski.
