Prawo
Jak przygotować się do audytu bezpieczeństwa informacji
(PKE, NIS2, uKSC, DORA i nie tylko – obowiązki z zakresu obronności i bezpieczeństwa)
W czasie rozmów z przedstawicielami przedsiębiorców komunikacji elektronicznej jednym z częściej ostatnio poruszanych tematów jest Dyrektywa NIS2.
– O co chodzi z tą NIS2? Co zrobić, aby wypełnić opisane tam obowiązki?
– Jak uniknąć przewidzianych kar?
– Jak przygotować się do audytów realizacji obowiązków nałożonych Dyrektywą NIS2?
W materiale poniżej oraz w trakcie Ogólnopolskiej Konferencji Operatorów Komunikacji Elektronicznej, organizowanej przez PIKE oraz INET GROUP w dniach 26 – 28 maja 2025 r. w Sopocie, przedstawiciele SayF Sp. z o.o. omówią obowiązki przedsiębiorcy telekomunikacyjnego wynikające z Dyrektywy NIS2 oraz przepisów wydanych na jej podstawie. Omówią również wpływ NIS2 na realizację innych ustawowych obowiązków.
Rozwój cywilizacyjny spowodował, że życie człowieka w XXI wieku jest bardzo uzależnione od dostępu do informacji. Z kolei dostęp do niej uzależniony jest od sprawnej techniki telekomunikacyjnej lub informatycznej.
Mając powyższe na względzie, w celu zapewnienia właściwego poziomu ochrony informacji władze UE wydały Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).
Przepisy Dyrektyw UE skierowane są do rządów państw członkowskich i powinny być wdrożone do krajowego systemu prawnego i dopiero wtedy będą obowiązywały w tym kraju członkowskim. Do polskiego prawa przepisy te wdrażane są ustawą o zmianie Ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Termin na wdrożenie NIS2 minął 17 października 2024 r. Podstawowym aktem prawnym wdrażającym Dyrektywę NIS2 do krajowego obszaru jest aktualnie nowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa.
Na podstawie Dyrektywy NIS2 wydano kilka rozporządzeń, które nie wymagają transpozycji do krajowego systemu prawnego i należy stosować ich bezpośrednio. Takim rozporządzeniem jest np. znane przez wiele podmiotów rozporządzenie DORA, które obowiązuje od 17 stycznia 2025 r. Wielu telekomów zostało już „uszczęśliwionych” nowymi umowami lub aneksami do umów świadczenia usług na rzecz podmiotów finansowych. Sugerujemy, aby bardzo dokładnie zapoznać się z treścią takiej umowy lub aneksu przed ich podpisaniem.
Natomiast przedsiębiorcy telekomunikacyjni, którzy będą, między innymi, administratorami serwerów DNS lub będą świadczyć usługi w sieci innego podmiotu (w infrastrukturze innego podmiotu), podlegać będą obowiązkom określonym w Rozporządzeniu Wykonawczym Komisji (UE) 2024/2690 z dnia 17 października 2024 r., które obowiązuje od 7 listopada 2024 r.
Wdrożenie przepisów NIS2 bardzo poważnie zmieni podejście wielu podmiotów do zagadnień związanych z ochroną informacji.
Tytuł Dyrektywy NIS2 oraz potoczny przekaz sugerują, że przepisami tej Dyrektywy i przepisami wydanymi na jej podstawie objęte będą zagadnienia wyłącznie ograniczone do cyberprzestrzeni.
Pragniemy wyjaśnić, że ochroną w sposób i na zasadach określonych w przepisach wydanych na podstawie Dyrektywy NIS 2 objęte będą wszelkie informacje mające nawet najmniejsze znaczenie w przedsiębiorstwie, urzędzie, instytucji (organizacji).
Z treści NIS2, projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw wynika, że ochrona musi dotyczyć wielu obszarów i aspektów ochrony, przy czym nie ulega wątpliwości, że najważniejsze działanie będzie dotyczyć bezpieczeństwa informacji przetwarzanej w systemie teleinformatycznym (w systemie informacyjnym).
Przedsiębiorcy telekomunikacyjni powinni mieć na względzie to, że wejście w życie nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa będzie miało wpływ na realizację wszystkich obowiązków, których realizacja będzie wiązać się z przetwarzaniem informacji, w tym obowiązków z zakresu obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, ochrony danych osobowych, tajemnicy komunikacji elektronicznej, tajemnicy przedsiębiorstwa itp.
Przepisy wydane na podstawie Dyrektywy NIS2 wprowadzają bardzo istotne obowiązki lub powinności, w tym nakładają na osoby kierujące organizacją obowiązek podejmowania decyzji w zakresie przygotowania, wdrażania, stosowania i przeglądu systemu zarządzania bezpieczeństwem informacji w podmiocie, zapewniania zgodności działania z przepisami prawa oraz z wewnętrznymi regulacjami podmiotu.
Ponadto na podmiocie kluczowym lub ważnym spoczywa obowiązek, w szczególności:
– wyznaczenia osób funkcyjnych realizujących obowiązki z zakresu cyberbezpieczeństwa,
– poddawania się, na własny koszt, audytom realizacji wypełniania obowiązków wynikających z Dyrektywy NIS2, audyty obowiązkowe, cykliczne wobec podmiotów kluczowych oraz doraźnie wobec podmiotów ważnych, oraz raportowanie wyników audytu do organu nadzorczego w sprawach cyberbezpieczeństwa.
Z namiastką kontroli (audytów) realizacji obowiązków z zakresu cyberbezpieczeństwa przez usługobiorców usług ICT spotkali się przedsiębiorcy telekomunikacyjni świadczący usługi na rzecz instytucji finansowej. Instytucje finansowe oraz dostawcy usług ICT obowiązani są przestrzegać zasad określonych w rozporządzeniu DORA. Wielu telekomów zostało już „uszczęśliwionych” nowymi umowami lub aneksami do umów świadczenia usług na rzecz podmiotów finansowych.
Organy nadzorcze będą miały bardzo dużo informacji o wykonywaniu przez przedsiębiorców obowiązków z zakresu cyberbezpieczeństwa bez konieczności podejmowania jakichkolwiek działań.
Tylko te przytoczone wyżej argumenty wskazują, że obowiązki wynikające z NIS2 muszą być wykonywane począwszy od dnia wejścia w życie tych przepisów oraz w profesjonalny sposób.
Zapewne dla wielu przedsiębiorców są to tematy trudne, skomplikowane, a realizacja obowiązków z tym związanych jest nieuchronna. Nie da się wykonać tych obowiązków ad hoc, np. w związku ze zbliżającym się audytem, kontrolą upoważnionego organu lub wyciekiem danych.
Dlatego zachęcam przedstawicieli przedsiębiorców telekomunikacyjnych do uczestnictwa w szkoleniach, prelekcjach poświęconych bezpieczeństwu informacji, aby uzyskać jak najwięcej informacji i świadomie podejmować decyzje o sposobie realizacji obowiązków opisanych w tym materiale.
Zapraszam do odwiedzenia stanowiska SayF Sp. z o.o., gdzie specjaliści udzielą odpowiedzi na wiele nurtujących pytań.
Ponadto zapraszam na prelekcję na Scenę II Prawną, wtorek, 27 maja 2025 r. godz. 14.30–15.00.
Do zobaczenia.
Dariusz Fudala
Specjalista do spraw ochrony informacji,
Audytor wiodący systemu
zarządzania bezpieczeństwem
wg normy PN-EN 27001
