Czas już upłynął
Polska stanowi jedno z 24 państw członkowskich, które do chwili obecnej nie wprowadziły do swoich przepisów tak zwanej dyrektywy NIS2. Dotyczy ona poprawy cyberbezpieczeństwa w Unii Europejskiej. Termin jej implementacji upłynął 17 października.
Dyrektywa dotyczy podmiotów działających w kluczowych sektorach, takich jak usługi komunikacji elektronicznej, zarządzanie usługami ICT, usługi cyfrowe, gospodarka odpadami i ściekami, przestrzeń kosmiczna, opieka zdrowotna, energetyka, transport, produkcja produktów o znaczeniu krytycznym, usługi pocztowe i kurierskie oraz administracja publiczna.
Komisja Europejska, podkreślając konieczność zwiększenia odporności na incydenty cybernetyczne w całej Unii, wysłała w czwartek formalne zawiadomienia do rządów państw, które nie wdrożyły wymaganych przepisów. Kraje te mają dwa miesiące na udzielenie odpowiedzi. Jeśli Komisja uzna podjęte działania za niewystarczające, może wydać uzasadnioną opinię, a w kolejnej fazie skierować sprawę do Trybunału Sprawiedliwości UE.
Kto odpowiada za brak wdrożenia?
W tym wypadku oczywiście pozostaje szukanie winnych, którzy powinni wprowadzić wspomnianą dyrektywę, ale tego nie zrobili. Okazuje się jednak, ze sytuacja nie prezentuje się tak prosto.
W Polsce za wdrożenie NIS2 odpowiada Ministerstwo Cyfryzacji. Pracuje ono nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa z 2018 roku, zaś zmiany, jakie mają zostać wprowadzone, obejmują między innymi procedurę klasyfikowania dostawców sprzętu i oprogramowania jako dostawców wysokiego ryzyka, co ma zapobiegać przekazywaniu danych innym państwom.
Jednakże projekt spotkał się z oporem ze strony małych i średnich operatorów telekomunikacyjnych, którzy obawiają się utraty dostępu do sprzętu. Operatorzy twierdzą, że nowelizacja nie opiera się na technicznych kryteriach bezpieczeństwa urządzeń, lecz na kryterium państwa pochodzenia dostawcy. W praktyce może to prowadzić do wykluczenia firm spoza UE i NATO, w tym głównie chińskich przedsiębiorstw.
Jest jeszcze dyrektywa CER…
W tym samym czasie Komisja Europejska rozpoczęła postępowanie przeciwko Polsce również z powodu niewdrożenia dyrektywy CER, która dotyczy odporności podmiotów krytycznych. Termin implementacji tej dyrektywy, który również upłynął 17 października, kładzie nacisk nie tylko na ochronę infrastruktury krytycznej, ale także na zwiększenie odporności podmiotów ją obsługujących.
Dyrektywa rozszerza zakres sektorów objętych przepisami z dwóch do jedenastu, w tym takich jak energetyka, transport, zdrowie, woda, bankowość i infrastruktura cyfrowa. Podobnie jak w przypadku dyrektywy NIS2, 24 państwa członkowskie mają dwa miesiące na udzielenie odpowiedzi Komisji Europejskiej.