Od dnia przyjęcia dyrektywy 2022/2555 (NIS 2) niedługo minie rok. Dyrektywa, chociaż stanowiąca ewolucję dobrze znanego już państwom członkowskim systemu, przez cały czas budzi wiele wątpliwości. Zawiera wiele skomplikowanych regulacji, a jej wdrożenie łączy się z przebudową obowiązującego prawa. We wrześniu opublikowano dwa dokumenty Komisji Europejskiej, w których określiła ona wytyczne do stosowania NIS 2. W kilku kwestiach Komisja posiada również możliwość przyjęcia aktów delegowanych lub wykonawczych doprecyzowujących tę regulację.
Wytyczne w sprawie stosowania art. 3 ust. 4 dyrektywy NIS 2 [1]
Zgodnie z delegacją zawartą w art. 3 ust. 6 dyrektywy NIS 2, Komisja z pomocą ENISA bez zbędnej zwłoki wyda wytyczne i wzory dokumentów związane z obowiązkami identyfikacyjnymi i rejestracyjnymi podmiotów kluczowych, ważnych oraz podmiotów świadczących usługi rejestracji domen.
Wytyczne określają wzór informacji wymaganych na potrzeby utworzenia przez państwa członkowskie wykazów podmiotów oraz w ograniczonym zakresie doprecyzowują rodzaje informacji, jakie mają zostać przez te podmioty przekazane (sektor/podsektor, nazwa, dane kontaktowe itd.).
Wytyczne w sprawie stosowania art. 4 ust. 1 i 2 dyrektywy NIS 2 [2]
Wytyczne te dotyczą związku między dyrektywą NIS 2 a obecnymi i przyszłymi sektorowymi aktami prawnymi UE, w których przewidziano środki zarządzania ryzykiem w cyberbezpieczeństwie lub wymogi w zakresie zgłaszania incydentów. W wytycznych przyjęto katalog aktów sektorowych, tym samym ustalają krąg podmiotów, które będą mogły zostać zwolnione z obowiązków wynikających z NIS 2. Katalog ten zawiera aktualnie tylko jedną pozycję – rozporządzenie DORA [3].
Wytyczne wskazują również sposób, w jaki należy ustalać, czy dany akt równoważy NIS 2, a zatem może być uznany za „sektorowy”. Najistotniejsze w tym aspekcie jest określenie w akcie sektorowym obowiązków w zakresie bezpieczeństwa sieci i systemów informatycznych. Ponadto jako podstawowe założenie przyjęto także równoważność obowiązków w zakresie zgłaszania incydentów z tymi wynikającymi z NIS 2 (art. 23 ust. 1-6).
Gdy wymogi określone w akcie sektorowym są co najmniej równoważne, nie stosuje się przepisów NIS 2, również tych dotyczących nadzoru i egzekwowania przepisów. Przyjmując jednak krajową strategię dotyczącą cyberbezpieczeństwa państwa członkowskie powinny uwzględnić również sektory, wobec których wydano akty sektorowe. W stosunku do nich będzie również aktualny wymóg przyjęcia krajowych ram zarządzania kryzysowego w cyberbezpieczeństwie oraz wyznaczenia dla nich organu ds. zarządzania kryzysowego w cyberbezpieczeństwie. Ponadto, powołując CSIRT, państwa członkowskie ustanawiają go także dla sektorów i podsektorów objętych takimi równoważnymi regulacjami.
Wobec tych sektorów nie znajdzie jednak zastosowania obowiązek rejestracji podmiotów kluczowych i ważnych oraz podmiotów świadczących usługi rejestracji nazw domen, a ponadto art. 20 dyrektywy NIS 2, która dotyczy obowiązków dla organów zarządzających w podmiotach kluczowych i ważnych. Nie będzie to jednak stało na przeszkodzie włączeniu jednostek z takich sektorów do wykazów podmiotów kluczowych i ważnych.
Akty delegowane i wykonawcze Komisji
Dyrektywa przewiduje ponadto wydanie przez Komisję w niektórych sprawach aktów delegowanych i wykonawczych. Akty delegowane to akty o charakterze nieustawodawczym o zasięgu ogólnym, a ich zadaniem jest uzupełnienie lub zmiana niektórych innych niż istotne elementów aktu ustawodawczego. Celem wydawania aktów wykonawczych z kolei jest zapewnienie jednolitych warunków wykonywania prawnie wiążących aktów unijnych [4].
W zakresie tych pierwszych należy wskazać art. 24 ust. 2 dyrektywy, zgodnie z którym Komisja jest uprawniona do wskazania w akcie delegowanym, jakie kategorie podmiotów kluczowych i ważnych będą musiały stosować certyfikowane produkty, usługi i procesy ICT. Do tej pory projekt tego aktu nie został jeszcze upubliczniony [5].
Art. 21 ust. 5 dyrektywy daje z kolei podstawę Komisji do przyjęcia aktów wykonawczych, w których określić ma ona wymogi techniczne i metodykę dotyczącą środków zarządzania ryzykiem w cyberbezpieczeństwie w odniesieniu do niektórych rodzajów podmiotów. Ten obligatoryjny akt wykonawczy ma dotyczyć dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych oraz platform sieci społecznościowych i dostawców usług zaufania. Jako fakultatywne należy potraktować wskazanie przez KE w akcie wykonawczym wymagań technicznych i metodyk oraz wymagań sektorowych dotyczących tych środków w odniesieniu do podmiotów kluczowych i ważnych innych, niż wymienione wyżej.
Co ciekawe, Komisja może przyjąć również akty wykonawcze doprecyzowujące rodzaj informacji, format i procedurę zgłoszenia incydentu poważnego, innych zgłoszeń, dokonywanych na podstawie dyrektywy dobrowolnie, a także powiadomień odbiorców usług o środkach zaradczych lub innych środkach, które odbiorcy mogą zastosować w reakcji na poważne cyberzagrożenie.
Ponadto, Komisja doprecyzuje aktem wykonawczym w stosunku do podmiotów wymienionych wyżej (dostawcy usług DNS, rejestrów nazw TLD itd.) klasyfikację incydentu jako poważnego. Ma na to czas do 17 października 2024 r., a warto pamiętać, iż jest to również termin na wdrożenie dyrektywy.
Żaden projekt aktu wykonawczego do NIS 2 również nie został jeszcze udostępniony [6].
Warto również wskazać, iż dyrektywa w motywie [20] poleca Komisji [7] wydać wytyczne dotyczące wdrażania kryteriów mających zastosowanie do mikroprzedsiębiorców i małych przedsiębiorstw, do celów oceny, czy są one objęte zakresem zastosowania niniejszej dyrektywy. Z kolei w motywie [21] mowa jest o fakultatywnym wydaniu wytycznych do oceny propocjonalności środków do zastosowania na jej podstawie (m.in. do podmiotów o skomplikowanych modelach biznesowych lub środowiskach operacyjnych, w których podmiot może jednocześnie spełniać kryteria bycia podmiotem kluczowym i ważnym lub prowadzić działania, z których jedne są objęte zakresem dyrektywy, a inne są z niego wyłączone).
Tego rodzaju wytyczne byłyby oczywiście bardzo przydatne zarówno dla państw członkowskich, jak i dla przedsiębiorców. Może nie jest to wyrażone w dyrektywie wystarczająco precyzyjnie, ale wytyczne wyrażone w motywie [21] można poniekąd odnieść do aktów wykonawczych wydawanych na podstawie art. 21 ust. 5 dyrektywy, o których była mowa wyżej. Akty te mają odnosić się do wymagań technicznych i metodyki dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie dla niektórych kategorii podmiotów (takich, które mogły będą zostać uznane za najważniejsze niezależnie od wielkości). Jednak wytyczne, o których prawodawca unijny wspomina w motywie [20], wydają się nie mieć pokrycia w części normatywnej dyrektywy. Nie jest wobec tego jasne czy – i jeżeli tak to w jakiej formie – zostaną wydane.
Z pewnością wszystkie państwa członkowskie, a także przyszłe podmioty najważniejsze i ważne z niecierpliwością oczekują na przyjęcie wszelkich wytycznych, aktów delegowanych i wykonawczych, które nieco wyjaśniłyby zamiary Unii Europejskiej wyrażone ogólnikowo w dyrektywie NIS 2.
Podsumowanie
- Komisja we wrześniu tego roku opublikowała w formie komunikatu wytyczne dotyczące stosowania art. 3 ust. 4 oraz art. 4 ust. 1 i 2 dyrektywy NIS 2.
- Dyrektywa NIS 2 zakłada wydanie przez Komisję aktów delegowanych i wykonawczych, jednak żadne projekty takich regulacji nie zostały jeszcze upublicznione.
[1] Komunikat Komisji Europejskiej w sprawie Wytycznych dotyczących stosowania art. 3 ust. 4 dyrektywy (UE) 2022/2555 (NIS 2) (2023/C 324/02), https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52023XC0914%2801%29
[2] Komunikat Komisji Europejskiej w sprawie Wytycznych dotyczących stosowania art. 4 ust. 1 i 2 dyrektywy (UE) 2022/2555 (NIS 2), https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52023XC0918%2801%29&qid=1700657502528
[3] Rozporządzenie (UE) 2022/2554 (rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego).
[4] Więcej na ten temat tutaj: https://www.consilium.europa.eu/pl/council-eu/decision-making/implementing-and-delegated-acts/
[5] Międzyinstytucjonalny rejestr aktów delegowanych dostępny jest tutaj: https://webgate.ec.europa.eu/regdel/#/delegatedActs?lang=pl
[6] Na dzień 24 listopada 2023 r., rejestr projektów aktów wykonawczych dostępny jest tutaj: https://ec.europa.eu/transparency/comitology-register/screen/documents?lang=pl
[7] „Komisja powinna (…)” – przyp. aut.