Na początek może warto przypomnieć jakimi zagrożeniami cybernetycznymi Unia Europejska musi się zmagać i jak poważne konsekwencje mogą być dla jej obywateli oraz instytucji publicznych.

1. Ataki hakerskie: ataki hakerskie stanowią poważne zagrożenie dla systemów informatycznych UE, obejmujące różne formy, takie jak ataki DDoS (Rozproszone Ataki Odmowy Usług), ataki ransomware, ataki phishingowe czy ataki na infrastrukturę krytyczną.
2. Wycieki danych osobowych: wycieki danych osobowych są powszechnym zjawiskiem, które narusza prywatność obywateli UE i może prowadzić do kradzieży tożsamości, oszustw finansowych oraz innych form nadużyć.
3. Dezinformacja i cyberpropaganda: dezinformacja i cyberpropaganda stanowią zagrożenie dla demokracji i stabilności społecznej w UE, prowadząc do dezinformacji, manipulacji społecznej oraz podważania zaufania do instytucji demokratycznych.
4. Zagrożenia dla infrastruktury krytycznej: ataki na infrastrukturę krytyczną, taką jak systemy energetyczne, transportowe czy bankowe, mogą powodować zakłócenia w funkcjonowaniu społeczeństwa i gospodarki UE.
5. Zagrożenia dla przedsiębiorstw: przedsiębiorstwa w UE są narażone na różnorodne zagrożenia cybernetyczne, w tym ataki na sieci korporacyjne, kradzież poufnych danych handlowych oraz szpiegostwo przemysłowe.
6. Zagrożenia dla sektora zdrowia: w ostatnich latach szczególnie widoczne stało się zagrożenie dla sektora zdrowia, gdzie ataki ransomware, mogą powodować zakłócenia w funkcjonowaniu systemów informatycznych szpitali i innych instytucji medycznych.
7. Zagrożenia dla krytycznej infrastruktury informacyjnej: ataki na krytyczną infrastrukturę informacyjną, taką jak systemy telekomunikacyjne czy internetowe, mogą prowadzić do zakłóceń w dostępie do usług komunikacyjnych oraz naruszeń prywatności i bezpieczeństwa danych.

W odpowiedzi na powyższe zagrożenia podjęto w UE szereg inicjatyw na przestrzeni lat mających poprawić bezpieczeństwo cybernetyczne.

Historia zwiększenia odporności europejskich systemów informatycznych na zagrożenia cybernetyczne jest złożona i obejmuje wiele wydarzeń i inicjatyw na przestrzeni lat. Oto kilka kluczowych momentów w tej historii:

1. Powstanie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA): ENISA została utworzona w 2004 roku i jest agencją Unii Europejskiej odpowiedzialną za wsparcie państw członkowskich w dziedzinie bezpieczeństwa sieci i informacji. Od tamtej pory ENISA aktywnie działa na rzecz zwiększenia świadomości i współpracy w zakresie cyberbezpieczeństwa w Europie.
2. Dyrektywa NIS: Pierwsza dyrektywa NIS została przyjęta przez UE w 2016 roku i wprowadziła ramy prawne dla zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w państwach członkowskich.
3. Aktualizacja dyrektywy NIS (NIS2): W 2021 roku UE przyjęła aktualizację dyrektywy NIS, znanej jako NIS2, mającą na celu wzmocnienie ram prawnych dotyczących bezpieczeństwa sieci i systemów informatycznych w Unii Europejskiej.
4. Europejska Strategia Cyberbezpieczeństwa: Unia Europejska przyjęła w 2013 roku Europejską Strategię Cyberbezpieczeństwa, która określa priorytety i cele w dziedzinie cyberbezpieczeństwa na szczeblu europejskim.
5. Współpraca międzynarodowa: Unia Europejska aktywnie współpracuje z innymi krajami i organizacjami na całym świecie w celu zwiększenia bezpieczeństwa cybernetycznego. Przykładem może być współpraca z NATO, G7 oraz Organizacją Narodów Zjednoczonych.
6. Inicjatywy na rzecz edukacji i szkolenia: istnieją liczne inicjatywy na szczeblu europejskim mające na celu zwiększenie świadomości i umiejętności z zakresu cyberbezpieczeństwa wśród obywateli, przedsiębiorstw i instytucji.
7. Wdrażanie nowych technologii: Unia Europejska inwestuje w badania i rozwój nowych technologii oraz narzędzi wspierających cyberbezpieczeństwo, takich jak sztuczna inteligencja, blockchain czy bezpieczeństwo kwantowe.

Skupmy się tutaj na najnowszej dyrektywie NIS2.

Unia Europejska przyjęła dyrektywę NIS2 (Directive on Security of Network and Information Systems 2), jako kontynuację i uaktualnienie pierwotnej dyrektywy NIS, w celu odpowiedzi na zmieniające się zagrożenia cybernetyczne oraz zwiększenia odporności europejskich systemów informatycznych. Istnieje kilka kluczowych powodów, dla których UE zdecydowała się na przyjęcie dyrektywy NIS2:

1. Zmieniający się krajobraz cyberbezpieczeństwa: w miarę postępu technologicznego i coraz większej liczby połączeń internetowych, rośnie liczba zagrożeń cybernetycznych. Dyrektywa NIS2 ma na celu dostosowanie europejskich ram prawnych do nowych wyzwań i zagrożeń w dziedzinie cyberbezpieczeństwa.
2. Potrzeba wzmocnienia ochrony infrastruktury kluczowej: dyrektywa NIS2 skupia się również na wzmocnieniu ochrony infrastruktury krytycznej, takiej jak sektor energetyczny, transportowy, bankowy, opieki zdrowotnej, itp., przed cyberatakami, które mogą mieć poważne konsekwencje dla funkcjonowania społeczeństwa i gospodarki.
3. Wzrost świadomości i doświadczenia w dziedzinie cyberbezpieczeństwa: po wdrożeniu pierwotnej dyrektywy NIS, UE zyskała doświadczenie w zakresie zarządzania cyberbezpieczeństwem oraz w identyfikowaniu obszarów wymagających dalszych działań. Dyrektywa NIS2 stanowi naturalny krok naprzód w rozwoju ram prawnych dotyczących cyberbezpieczeństwa.
4. Wzrost liczby incydentów cybernetycznych: coraz częstsze incydenty cybernetyczne, takie jak ataki ransomware, wycieki danych czy cyberataki na kluczowe instytucje, podkreślają pilną potrzebę wzmocnienia odporności europejskich systemów informatycznych. Dyrektywa NIS2 ma na celu zwiększenie gotowości i reaktywności na tego typu incydenty.

W rezultacie przyjęcie dyrektywy NIS2, ma na celu wzmocnienie bezpieczeństwa sieci i systemów informatycznych w UE, poprawę współpracy między państwami członkowskimi oraz sektorem prywatnym oraz zwiększenie zaufania do cyfrowej gospodarki i społeczeństwa.

Dyrektywa NIS2 nakłada na podmioty gospodarcze Unii Europejskiej szereg wymogów dotyczących bezpieczeństwa sieci i systemów informatycznych. Oto główne z nich:

1. Zapewnienie odpowiedniego poziomu bezpieczeństwa: Podmioty gospodarcze zobowiązane są do zapewnienia odpowiedniego poziomu bezpieczeństwa sieci i systemów informatycznych poprzez stosowanie odpowiednich środków technicznych i organizacyjnych.
2. Zgłaszanie incydentów bezpieczeństwa: Podmioty są obowiązane do zgłaszania incydentów bezpieczeństwa sieci i systemów informatycznych, które mają wpływ na świadczenie usług cyfrowych lub infrastrukturę krytyczną, zarówno na rynku wewnętrznym UE, jak i do krajowych władz odpowiednich państw członkowskich.
3. Współpraca z władzami krajowymi: Podmioty muszą współpracować z właściwymi krajowymi organami odpowiedzialnymi za cyberbezpieczeństwo w zakresie zapobiegania, identyfikacji i ograniczania incydentów bezpieczeństwa sieci i systemów informatycznych.
4. Ochrona infrastruktury krytycznej: Podmioty działające w sektorach uznanych za infrastrukturę krytyczną, takich jak energia, transport, bankowość, opieka zdrowotna, muszą podjąć dodatkowe środki w celu zabezpieczenia swoich systemów przed cyberatakami.
5. Wzmocnienie ochrony usług cyfrowych: Dostawcy usług cyfrowych, takich jak platformy internetowe, muszą podjąć dodatkowe kroki w celu identyfikacji i eliminacji treści nielegalnych lub szkodliwych na swoich platformach.
6. Przygotowanie do reagowania na incydenty: Podmioty muszą przygotować plany i procedury reagowania na incydenty bezpieczeństwa sieci i systemów informatycznych oraz regularnie je testować i aktualizować.
7. Współpraca z ENISA: Podmioty mogą korzystać z wsparcia i zaleceń Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) w zakresie wdrażania wymogów dyrektywy NIS2.

W skrócie, dyrektywa NIS2 nakłada na podmioty gospodarcze UE obowiązki mające na celu zwiększenie bezpieczeństwa sieci i systemów informatycznych oraz zwiększenie gotowości do reagowania na incydenty cybernetyczne.

A teraz odpowiedz najważniejsze pytanie skoro znamy już historie i zakres nowej dyrektywy UE NIS2

Dyrektywę NIS2 można opisać zarówno jako „kij”, jak i „marchewkę”, w zależności od kontekstu i perspektywy.

1. Kij: Dyrektywa NIS2 narzuca podmiotom gospodarczym oraz państwom członkowskim UE konkretne wymagania dotyczące bezpieczeństwa sieci i systemów informatycznych. Można więc powiedzieć, że jest to „kij” w sensie narzucania obowiązków i sankcji za ich nieprzestrzeganie.
2. Marchewka: Z drugiej strony, dyrektywa NIS2 oferuje także pewne korzyści dla podmiotów, takie jak poprawa bezpieczeństwa sieci i systemów informatycznych, zwiększenie świadomości dotyczącej cyberbezpieczeństwa oraz wsparcie w zapewnieniu zgodności z wymaganiami prawodawczymi. W ten sposób można ją również postrzegać jako „marchewkę” zachęcającą do poprawy bezpieczeństwa cybernetycznego.

Ostatecznie, dyrektywa NIS2 stanowi kompleksowy środek, mający na celu zwiększenie bezpieczeństwa sieci i systemów informatycznych w Unii Europejskiej, wykorzystując zarówno mechanizmy karne, jak i zachęty do poprawy praktyk cyberbezpieczeństwa.

Wysokość kar i inne środki egzekwowania, zależą od przepisów prawa krajowego w poszczególnych państwach członkowskich UE oraz od charakteru i skali naruszeń. Istotne jest, aby podmioty gospodarcze w UE przestrzegały wymogów dyrektywy NIS2 oraz monitorowały postępy w implementacji, aby uniknąć ewentualnych sankcji.

W Polsce przepisy dotyczące kar za niestosowanie Dyrektywy NIS2 są określone w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1307 ze zm.). W ramach tej ustawy, podmioty gospodarcze, które nie przestrzegają przepisów dotyczących bezpieczeństwa sieci i systemów informatycznych, mogą podlegać różnym sankcjom, w tym:

1. Kary pieniężne: za naruszenie przepisów dotyczących bezpieczeństwa sieci i systemów informatycznych, podmioty gospodarcze mogą być obciążone karą pieniężną. Wysokość kary jest uzależniona od rodzaju naruszenia i może być określona przez organy nadzoru.
2. Kary administracyjne: organ nadzoru może nałożyć na podmioty gospodarcze kary administracyjne w formie np. grzywien, ograniczeń działalności lub innych środków administracyjnych.
3. Inne środki egzekwowania: oprócz kar pieniężnych i administracyjnych, organy nadzoru mogą stosować inne środki egzekwowania, takie jak nakaz poprawy bezpieczeństwa, monitorowanie działań podmiotu, lub nawet zawieszenie działalności w przypadku poważnych naruszeń.

Oczywiście warto podkreślić, że wysokość kar i inne środki egzekwowania zależą od przepisów prawa krajowego w poszczególnych państwach członkowskich UE oraz od charakteru i skali naruszeń. Istotne jest, aby podmioty gospodarcze w UE przestrzegały wymogów dyrektywy NIS2 oraz monitorowały postępy w implementacji, aby uniknąć ewentualnych sankcji.

Autor: Tomasz Szepelak

Ekspert z wieloletnim doświadczeniem w branży IT, posiadający obszerną wiedzę techniczną obejmującą Cyberbezpieczeństwo w środowiskach Windows i Linux, znajdowanie podatności na stronach internetowych oraz udzielanie zaleceń dotyczących zamykania znalezionych podatności. Jest odpowiedzialny za wsparcie użytkowników końcowych, instalację, wdrożenie i utrzymanie różnych komponentów LAN/WAN w środowisku korporacyjnym w strukturach firmy międzynarodowej. Uczestniczy w różnorodnych projektach, jako niezależny lider projektu, pracuje nad wdrożeniami nowych rozwiązań. Może pochwalić się również szeroką wiedzą w zakresie procesów IT i tytułem ITIL® Expert.