Logistyka a jakość

Aleksander Karandyszowski: „Projekt dyrektywy NIS II – nowe obowiązki na horyzoncie”

Wstęp

Dotychczasowe przepisy o cyberbezpieczeństwie mają na celu zwiększanie odporności podmiotów z branż kluczowych, takich jak transport, umożliwiając reagowanie na incydenty dotyczące cyberbezpieczeństwa.

Projekt nowej unijnej dyrektywy NIS II zakłada, w szczególności, że więcej przedsiębiorców z branży transportu morskiego i kolejowego będzie objętych obowiązkami z zakresu bezpieczeństwa sieci i systemów informatycznych, co będzie wiązało się dla nich z nowymi wyzwaniami i zwiększonymi kosztami. Ma to jednak pozwolić ograniczyć koszty wynikające z ataków hakerskich i awarii informatycznych paraliżujących prace istotnych branż.

DOTYCHCZASOWE PRZEPISY

Obecnie obowiązująca ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS I nakłada obowiązki na operatorów usług kluczowych, jeżeli usługi te są zależne od systemów informatycznych, a ewentualny incydent miałby istotny skutek zakłócający dla świadczenia takiej usługi.

Kim jest operator usługi kluczowej?

Za operatorów usług kluczowych uznawani są m.in. przewoźnicy kolejowi, armatorzy, a także podmioty zarządzające obiektami portowymi. Duża część podmiotów działających na rynku krajowym jest jednak wyłączona spod zastosowania ustawy, gdyż nie przekraczają progów istotności skutku zakłócającego, uzależnionych np. od ilości przeładowywanych lub przewożonych towarów lub udziału w rynku. Co istotne, operatorem usługi kluczowej może być tylko podmiot, w stosunku do którego właściwy organ wydał decyzję administracyjną o uznaniu za operatora usługi kluczowej.

Progi trudne do przekroczenia

W wypadku transportu kolejowego towarów ustawa ma zastosowanie jedynie do przewoźników kolejowych, których udział w rynku wynosi powyżej 25% liczony wg wykonanej pracy przewozowej lub przewiezionej masy towarów na podstawie danych publikowanych przez Prezesa Urzędu Transportu Kolejowego.

Armatorzy w transporcie morskim towarów z kolei, podlegają tej ustawie dopiero po przekroczeniu granicy przewozu w wysokości 1 miliona ton towarów rocznie, natomiast podmioty zarządzające obiektem portowym – gdy przekroczą próg obsługi 100.000 pasażerów i 3 milionów ton towarów. Polskie organy administracji stoją na stanowisku, że progi w zakresie obsługi pasażerów i przeładunku towarów powinny zostać spełnione łącznie, co znacząco ogranicza zastosowanie ustawy w branży portowej.

Obecne obowiązki operatorów

Na gruncie obecnie obowiązującej ustawy, operatorzy usług kluczowych mają obowiązek wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniając systematyczne szacowanie ryzyka, zarządzanie tym ryzykiem oraz stosowanie odpowiednich i proporcjonalnych do ryzyka środków technicznych i organizacyjnych zapewniających bezpieczeństwo fizyczne i środowiskowe. Oprócz obowiązków związanych z zapewnieniem bezpieczeństwa informatycznego, mają oni również obowiązek prowadzenia dokumentacji dotyczącej cyberbezpieczeństwa, opracowywania planów ciągłości działania oraz zarządzania i zgłaszania incydentów bezpieczeństwa informatycznego.

Ponadto operatorzy usług kluczowych mają obowiązek stworzyć wewnętrzne struktury dotyczące bezpieczeństwa cybernetycznego lub powierzyć te zadania zewnętrznym specjalistom, a raz na dwa lata powinni przejść zewnętrzny audyt bezpieczeństwa informatycznego.

PROJEKTOWANE ZMIANY – CO PRZYNIESIE NIS II?

Komisja Europejska uznała, że dotychczasowe regulacje nie przystają do przyspieszającej cyfryzacji rynku wewnętrznego i zwiększającej się liczby coraz bardziej wyrafinowanych cyberataków. Konieczne jest więc zwiększenie zakresu obowiązywania przepisów oraz wymogów stawianych podmiotom niezbędnym, a także podwyższenie kar, czemu ma służyć nowa dyrektywa – tzw. NIS II. Zmienia się również nazewnictwo – zamiast operatorów usług kluczowych dyrektywa używa pojęcia „podmioty niezbędne”.

Koniec progów

Komisja Europejska proponuje rezygnację z progów istotności skutku zakłócającego. Oznacza to usunięcie z przepisów rozwiązania pozwalającego uniknąć reżimu przepisów o cyberbezpieczeństwie znacznej części przedsiębiorców działających w sektorze transportu morskiego i kolejowego. Zamiast tego proponuje się jednolity obowiązek stosowania przepisów o cyberbezpieczeństwie przez podmioty niezbędne z wyłączeniem mikro i małych przedsiębiorców (a więc tych zatrudniających mniej niż 50 pracowników lub posiadających obrót roczny lub bilans poniżej 10 mln EUR).

Zmiany w branży kolejowej

Oznacza to, że w branży kolejowej nowymi przepisami zostaliby objęci zarówno operatorzy obiektów infrastruktury usługowej jak i wszystkie przedsiębiorstwa kolejowe, niezależnie od ich udziału w rynku – chyba że posiadają status mikro lub małego przedsiębiorcy.

NIS II w zakresie przewozu kolejowego powołuje się na definicje dyrektywy 2012/43/UE w sprawie utworzenia jednolitego obszaru kolejowego, co oznacza że za przedsiębiorstwo kolejowe uznaje się każde przedsiębiorstwo posiadające licencję na przewozy kolejowe, którego działalność podstawowa polega na świadczeniu usług w transporcie towarowym lub pasażerskim koleją, z zastrzeżeniem, że przedsiębiorstwo to zapewnia pojazdy trakcyjne. Definicja obejmuje także przedsiębiorstwa, które tylko dostarczają pojazdy trakcyjne.

Z kolei za operatora obiektu infrastruktury usługowej uważa się każdy podmiot odpowiedzialny za zarządzanie co najmniej jednym obiektem infrastruktury usługowej lub świadczący przedsiębiorstwom kolejowym usługi związane z zarządzaną infrastrukturą kolejową.

Zmiany w branży morskiej

Armatorzy, podmioty zarządzające infrastrukturą portową oraz jednostki wykonujące prace i operujące sprzętem znajdującym się w portach nie będą mogli dłużej powołać się na nieprzekroczenie progów ilościowych dokonywanych przeładunków oraz przewozów.

Szeroka definicja obiektu portowego, jako miejsca gdzie podejmowane są  działania w płaszczyźnie statek-port, przez co rozumie się wzajemne oddziaływania zachodzące, gdy statek znajduje się pod bezpośrednim, bliskim wpływem działań związanych z przemieszczaniem osób lub towarów tudzież świadczeniem usług portowych na rzecz statku lub przez statek, a także rozszerzenie katalogu podmiotów kluczowych na jednostki wykonujące prace i operujące sprzętem znajdującym się w portach mogą oznaczać, że w praktyce każdy podmiot działający na terenie portów i świadczący usługi związane z przeładunkami będzie objęty zakresem nowej regulacji – chyba że posiada status mikro lub małego przedsiębiorcy.

Więcej obowiązków

W myśl dyrektywy NIS II podmioty niezbędne będą musiały, obok dotychczasowych obowiązków operatorów usług kluczowych wskazanych wyżej, zapewnić m.in. bezpieczeństwo łańcucha dostaw i stosowanie kryptografii oraz szyfrowania. Co istotne, podmioty niezbędne będą musiały dokonać samodzielnej rejestracji jako podmioty objęte obowiązkami w zakresie cyberbezpieczeństwa, a następnie zgłaszać wszelkie znaczące incydenty bezpieczeństwa w terminie 24 godzin od wykrycia.

Sankcje

Podmioty naruszające przepisy o cyberbezpieczeństwie będą mogły zostać ukarane karami pieniężnymi do 10 mln EUR. Katalog kar przewiduje także odebranie licencji, zezwoleń lub certyfikacji, gdy są one potrzebne do prowadzenia działalności danego rodzaju, a także zakazy pełnienia funkcji zarządczych dla członków organów takich podmiotów.

Etap prac

Projekt dyrektywy NIS II jest obecnie na etapie prac legislacyjnych, ale nie należy spodziewać się istotnych zmian jego treści w ich końcowym kształcie i zakresie. Rozważana jest również możliwość wprowadzenia powyższych przepisów w formie rozporządzenia, co sprawiłoby że nie byłoby konieczne oczekiwanie na implementację dyrektywy przez kraje członkowskie UE. Mając na uwadze obecny etap prac można przewidywać, że przepisy te – czy to jako dyrektywa, czy też jako rozporządzenie – wejdą w życie w ciągu następnych 24-36 miesięcy.

Koszty wdrożenia

Komisja Europejska szacuje, że konieczność wypełnienia wymogów dyrektywy NIS II może zwiększyć wydatki przedsiębiorstw na bezpieczeństwo informatyczne o 22% w pierwszym roku obowiązywania nowych przepisów. Wczesne rozpoczęcie zatem przez podmioty istotne prac nad dostosowaniem systemu bezpieczeństwa informatycznego do wymogów NIS II pozwoli rozłożyć te koszty na kilka lat, a także ograniczy ryzyko chaosu, który może towarzyszyć modernizacjom systemów i procedur tuż przed rozpoczęciem obowiązywania nowych przepisów.

Aleksander Karandyszowski, radca prawny
Czyżyk Mickiewicz i Wspólnicy sp.p.
Szczecin – Gdynia – Gdańsk