Prawo
OBOWIĄZKI PRZEDSIĘBIORCY TELEKOMUNIKACYJNEGO WYNIKAJĄCE Z DYREKTYWY NIS 2
W środowisku telekomunikacyjnym pojawiło nowe pojęcie budzące niepokój – „NIS 2”!
Zarówno w przekazach „szeptanych” jak i w różnych opracowaniach, artykułach, wypowiedziach, mniej lub bardziej profesjonalnych, pojawiło się mnóstwo informacji jak straszna jest Dyrektywa NIS 2.
Na wstępie należy podkreślić, że obowiązkami zapewnienia cyberbezpieczeństwa, określonego w Dyrektywie NIS 2 oraz w przepisach o Krajowym Systemie Cyberbezpieczeństwa, objęci zostaną wszyscy operatorzy publicznych sieci telekomunikacyjnych oraz dostawcy publicznych usług telekomunikacyjnych, bez względu na wielkość, rodzaj świadczonych usług itp.
Szczegóły zostaną określone w znowelizowanej ustawie z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa. Prace nad projektem takiej nowelizacje już rozpoczęły się.
OBOWIĄZKI PRZEDSIĘBIORCÓW TELEKOMUNIKACYJNYCH WYNIKAJĄCE Z NIS 2. CZY JUŻ NALEŻY SIĘ BAĆ?
Na podstawie Dyrektywy NIS2 państwa członkowskie opracują i wdrożą w życie przepisy zobowiązujące „podmioty kluczowe i ważne wprowadzały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.”
Już z pobieżnej analizy przepisów Działu VIIa ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne wynika, że obowiązki tak określone w pewnej części pokrywają się z obowiązkami wynikającymi z Dyrektywy NIS 2. Jeśli przedsiębiorcy telekomunikacyjni mieli prawidłowo opracowane, wdrożone i stosowane w przedsiębiorstwie zasady zapewnienia bezpieczeństwa sieci usług, danych lub przekazów telekomunikacyjnych, to dostosowanie ich do wymogów wynikających z NIS 2 może nie być nadmiernie uciążliwe i kosztowne.
Przed przedsiębiorcami, którzy dotychczas nie realizowali obowiązków wynikających z Działu VIIA Prawa telekomunikacyjnego, są w znacznie gorszej sytuacji. System bezpieczeństwa muszą zbudować od podstaw. Takie działanie na pewno będzie długotrwałe i zapewne kosztowne.
Samodzielne wykonanie przedsięwzięć nakazanych przepisami Dyrektywy NIS 2 może potrwać nawet kilka miesięcy a w wielu przypadkach będzie to po prostu niewykonalne!
O szczegółach tych obowiązków będzie można mówić dopiero po opublikowaniu przepisów krajowych określających sprawy cyberbezpieczeństwa.
Do tego czasu sugerujmy, aby przedsiębiorcy nie wykonywali żadnych nadmiernych czynności technicznych, organizacyjnych, finansowych wykraczających poza normalną działalność biznesową lub związanych z wypełnianiem ustawowych obowiązków (np. określonych w Dziale VIIa PT).
Warto natomiast dokonać przeglądu stopnia realizacji obowiązków dotyczących bezpieczeństwa, nakładanych aktualnie obowiązującymi przepisami oraz zapoznać się z wymogami wynikającymi z Dyrektywy NIS 2, z przepisów aktualnej ustawy z dnia 5 lipca 2028 r. o Krajowym Systemie Cyberbezpieczeństwa. Aktualne przepisy tej ustawy określające obowiązki operatorów usług kluczowych oraz dostawców usług cyfrowych zapewne po niewielkiej nowelizacji staną się obowiązkami podmiotów kluczowych i ważnych.
W przestrzeni publicznej pojawiły się przekazy, że bezwzględnie należy wymieniać urządzenia telekomunikacyjne (routery, switche, serwery, itp.) bo wymaga tego Dyrektywa NIS 2.
Zalecamy daleko idącą rozwagę i ostrożność w tym zakresie.
Ewentualne wymiany sprzętu, oprogramowania, itp. powinny wynikać z analiz w oparciu o aktualnie obowiązujące przepisy lub wynikające z wykonanych analiz ryzyka lub w związku z wymogami biznesowymi.
Akt prawny w postaci Dyrektywy Parlamentu Europejskiego i Rady (UE) kierowany jest do rządów państw członkowskich UE, które muszą wprowadzić przepisy dyrektywy do krajowego obszaru prawnego. Dyrektywa nie może być podstawą do egzekucji obowiązków nakładanych na przedsiębiorcę.
CO TO JEST DYREKTYWA NIS2
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) jest jednym z aktów prawnych wydawanych przez władzę Unii Europejskiej.
Tak też będzie z dyrektywą NIS2, które przepisy prawdopodobnie będą uwzględnione w nowelizowanej ustawie z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym
A GDZIE JEST DYREKTYWA NIS 1?
Dyrektywa NIS 1 (lub NIS) to nic innego jak dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194 z 19.7.2016, s. 1).
Z dniem 17 października 2024 r. Dyrektywa NIS 1 zostanie uchylona.
Najpóźniej do dnia 17 października 2024 r. państwa członkowskie mają obowiązek opracować, uchwalić i wydać akty prawne uwzględniające przepisy Dyrektywy NIS2, czyli znowelizować ustawę o KSC.
CEL DYREKTYWY NIS2
Celem zarówno dyrektywy NIS1 jak i NIS2 jest stworzenie krajowych ram prawnych w zakresie bezpieczeństwa sieci i systemów informatycznych.
O ile Dyrektywa NIS 1 nie określa praw i obowiązków przedsiębiorców telekomunikacyjnych, to już NIS 2 bardzo wyraźnie wskazuje ich jako podmioty mające znaczenie w systemie cyberbezpieczeństwa.
W przepisach odrębnych określano obowiązki przedsiębiorców telekomunikacyjnych w zakresie zapewnienia bezpieczeństwa sieci, usług i danych. Obowiązki takie ostatnio (od czterech lat) określa dyrektywa Europejski Kodeks Łączności Elektronicznej (EKŁE).
Wejście w życie Dyrektywy NIS 2 uchyla przepisy zawarte w EKŁE, dotyczące bezpieczeństwa sieci, usług, danych lub przekazów telekomunikacyjnych.
CZY DYREKTYWA NIS2 ZMIENI ZAKRES OBOWIĄZKÓW PRZEDSIĘBIORCY TELEKOMUNIKACYJNEGO W ZAKRESIE CYBERBEZPIECZEŃSTWA?
Najprostsza odpowiedź brzmi:
TAK, NIS 2 ZMIENIA, I TO BARDZO, OBOWIĄZKI Z ZAKRESY CYBERBEZPIECZEŃSTWA SPOCZYWAJĄCE NA PRZEDSIĘBIORCACH TELEKOMUNIKACYJNYCH
Dyrektywa NIS 1, a na jej podstawie Ustawa o KSC, nie dotyczyły przedsiębiorców telekomunikacyjnych. Obowiązki, zbliżone do obowiązków zapewnienia cyberbezpieczeństwa, określono w Dziale VIIA Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne
Dyrektywa NIS 2 uchyla przepisy, na podstawie których wydano przepisy o bezpieczeństwie i integralności sieci i usług w telekomunikacji oraz określa takie obowiązki (a nawet dużo szersze) spoczywające między innymi na przedsiębiorców telekomunikacyjnych.
Dyrektywa NIS2 ustala dwie grupy podmiotów zobowiązanych do zapewnienia cyberbezpieczeństwa:
- Podmioty kluczowe,
- Podmioty ważne.
Podmiot kluczowy to podmiot wskazany w załączniku do Dyrektywy NIS2, przekraczający pułap dla średniego przedsiębiorstwa czyli takiego, które zatrudnia więcej niż 50 pracowników oraz jego roczny obrót przekracza 10 milionów euro lub całkowity bilans roczny przekracza 10 milionów euro.
Do grupy podmiotów kluczowych zaliczeni zostali również przedsiębiorcy telekomunikacyjni.
Mali i mikroprzedsiębiorstwa, będący operatorami publicznych sieci telekomunikacyjnych lub świadczący publicznie dostępne usługi telekomunikacyjne są zaliczeniu do podmiotów ważnych.
Oznacza to, że obowiązkami z zakresu cyberbezpieczeństwa objęci zostaną praktycznie wszyscy przedsiębiorcy telekomunikacyjni (operatorzy publicznych sieci telekomunikacyjnych oraz dostawcy publicznych usług telekomunikacyjnych), bez względu na wielkość oraz charakter prowadzonej działalności.
W następnym materiale omówimy obowiązki wynikające z Dyrektywy NIS2.
Zapraszamy do lektury.
Andrzej Fudala
Dariusz Fudala
