Skip to content
Menu

Dyrektywa NIS 2 – wdrożenie w aplikacjach SaaS i mobilnych

Usługodawcy aplikacji webowych (SaaS) i mobilnych powinni zwrócić uwagę na Dyrektywę (UE) 2022/2555, czyli NIS 2 i stosowanie nowych zasad cyberbezpieczeństwa w swoich organizacjach.  W polskim systemie prawnym będzie ją implementować nowelizacja Ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa.

Co reguluje Dyrektywa NIS 2?

Dyrektywa ustala środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej. Dodatkowo znacząco rozszerza zakres podmiotów objętych dotychczasowymi regulacjami. Właściwe organy nadzorcze dostają nowe możliwości egzekwowania przepisów, a na spółki i ich członków zarządu mogą zostać nałożone kary pieniężne i sankcje karne, których wartości są porównywalne z tymi nakładanymi przez właściwe organy za nieprzestrzeganie RODO.

Jakie podmioty muszą przestrzegać nowych regulacji?

Dyrektywa NIS 2 ma co do zasady zastosowanie do średnich oraz dużych przedsiębiorstw świadczących usługi lub prowadzących działalność w Unii Europejskiej. Dodatkowo podmioty prywatne muszą należeć albo do sektorów kluczowych albo do sektorów ważnych wskazanych w załącznikach do Dyrektywy NIS 2. Infrastruktura cyfrowa (w tym m.in. dostawcy usług chmurowych, opierający swoje produkty na AWS lub Azure) należy do sektora usług kluczowych. Dostawcy usług cyfrowych (platformy handlowe, wyszukiwarki internetowe, czy sieci społecznościowe) są natomiast przypisani do sektora usług ważnych.

Projekt polskiej ustawy wskazuje także, że dostawcy usług zarządzanych w zakresie bezpieczeństwa podlegają ustawie niezależnie od wielkości przedsiębiorstwa. Oznacza to, że mogą być zatem mikro- lub małym przedsiębiorcą. Dodatkowo projektodawca objął wszystkie podmioty publiczne nowymi zasadami.

W ramach przestrzegania tych zasad podmioty kluczowe i ważne będą wymagać od usługodawców analogicznego ich przestrzegania oraz odpowiednich zapisów w umowie. Zapisy te będą m.in. dotyczyć procedury reagowania na incydenty i możliwości przeprowadzania audytów. Z tego względu zasadne będzie zweryfikowanie zasad cyberbezpieczeństwa również u podmiotów bezpośrednio nie objętych Dyrektywą NIS 2.

Od zasady wielkości przedsiębiorstwa istnieją również inne wyjątki, dlatego każde przedsiębiorstwo powinno ustalić, czy podlega Dyrektywie NIS 2 i znowelizowanym przepisom.

Środki zarządzania ryzykiem w cyberbezpieczeństwie

Z analizy postanowień Dyrektywy NIS 2 oraz projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wynika, że podmioty kluczowe i ważne powinny wdrożyć w organizacji dokumentację normatywną i operacyjną. Polityki i procedury w ramach tej dokumentacji powinny obejmować m.in. takie dokumenty jak:

  1. politykę analizy ryzyka;
  2. politykę bezpieczeństwa systemów informatycznych;
  3. procedurę zarządzania podatnościami;
  4. procedurę zgłaszania incydentów;
  5. procedurę obsługi incydentów;
  6. procedurę zarządzania ciągłością działania (Business Continuity Management/BCM);
  7. politykę zarządzania ryzykiem ze strony zewnętrznych dostawców;
  8. politykę cyberhigieny;
  9. politykę stosowania zabezpieczeń kryptograficznych i szyfrujących;
  10. procedury bezpieczeństwa zasobów ludzkich i politykę kontroli dostępu.

Środki techniczne, operacyjne i organizacyjne dotyczące zarządzania ryzykiem w cyberbezpieczeństwie opiera się w przypadku podlegania polskiej Ustawie o KSC na Polskiej Normie PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301. Dodatkowo rekomendowane jest stosownie w poszczególnych procedurach norm ISO lub NIST, a także certyfikowanie tych norm w kluczowych obszarach, mimo iż taka certyfikacja nie jest wymagana przez ustawodawcę.

Dyrektywa NIS 2  – sposób implementacji przez usługodawców SaaS i mobilnych

Podstawowe kamienie milowe wdrożenia powinny wyglądać następująco:

Zapoznanie pionów decyzyjnych z Dyrektywą NIS 2. Kluczowe jest, aby osoby decyzyjne (czyli zarząd oraz liderzy poszczególnych działów) były świadome nadchodzących zmian i ich wymagań. Dodatkowo w pierwszej kolejności należy przeprowadzić ocenę podlegania nowym przepisom w zakresie udostępnianych produktów i usług.

Audyt stanu bezpieczeństwa. Następnie należy przeprowadzić audyt w odniesieniu do stosowanych zasad cyberbezpieczeństwa. Dokładny audyt stanu bezpieczeństwa powinien składać się z audytu technicznego w zakresie posiadanych ekosystemów, jak i prawnego w odniesieniu do posiadanych polityk i procedur i obowiązujących w nich zapisów.

Wdrażanie rekomendowanych rozwiązań. Normy określone po przeprowadzeniu audytu pozwolą na implementację odpowiednich rozwiązań technicznych i organizacyjnych zarówno w systemach informatycznych jak i dokumentacji prawnej.

Szkolenia kadry zarządzającej i pracowników. Po wdrożeniu wymagań Dyrektywy NIS 2 w organizacji, konieczne jest przeszkolenie zarządu, osób kluczowych, jak również innych osób zatrudnionych w odniesieniu do nowych zasad cyberbezpieczeństwa.

Aktualizacja przyjętych rozwiązań. W momencie uchwalenia przez państwa członkowskie ostatecznych przepisów wdrażających Dyrektywę NIS 2 do ich wewnętrznych porządków prawnych, a także wydania szczegółowych wytycznych, zaleceń i rekomendacji przez właściwe organy, konieczne jest uzupełnienie dokumentacji i wdrożenia o powyższe.

Warto zaznaczyć, że poszczególne czynności mogą być wykonywane równolegle lub następować również po innych etapach, jak np. testy penetracyjne w ramach audytu po wdrożeniu rekomendowanych rozwiązań.


Przeprowadzam oceny podlegania Dyrektywie NIS 2 oraz wdrażam w organizacjach jej regulacje oraz postanowienia znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa. Wdrożenie jest kompleksowe i obejmuje zarówno audyt prawny jak i techniczny. Chcesz wiedzieć więcej? Napisz do mnie na adres: patrycja@patrycjabadek.legal.

Jeżeli chcesz podzielić się z kimś powyższym artykułem, wybierz ikonę odpowiedniej aplikacji.

Niniejszy artykuł ma charakter wyłącznie edukacyjny i jest aktualny na dzień jego publikacji. Nie stanowi on natomiast ani porady prawnej, ani nie zastępuje profesjonalnych usług prawnych. Każda sytuacja jest specyficzna i jeżeli potrzebujesz dokładnej analizy lub opinii, to możesz skorzystać z indywidualnej pomocy prawnej, która jest odpłatna. Jeżeli jesteś zainteresowany lub zainteresowana, to zapraszam do bezpośredniego kontaktu w celu zapoznania się z Twoją sytuacją i pytaniami oraz przedstawienia wyceny usług prawnych.

Szukasz indywidualnej pomocy prawnej? Skontaktuj się ze mną.

Patrycja-Badek-blog

Patrycja Bądek

Radca prawny z ponad 12-letnim doświadczeniem w kompleksowej obsłudze prawnej polskich i zagranicznych klientów biznesowych, w tym głównie w zakresie IT, TMT oraz własności intelektualnej.

Inne artykuły na blogu:

znak1

Zapisz się do newslettera i zostań ze mną na dłużej!

Jeżeli masz ochotę pozostać ze mną w bliższym kontakcie, a także otrzymać bonusowy materiał – Checklistę dobrej umowy, to zapraszam Cię do zapisania się na newsletter. Będę przesyłać Ci także wartościowe treści prawne i zagadnienia, które z pewnością zainteresują Cię jako przedsiębiorcę.

Nie możesz kopiować zawartości tej strony