Zgłaszanie incydentów cyberbezpieczeństwa w świetle dyrektywy NIS2 i projektu nowelizacji ustawy o KSC

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (Dyrektywa NIS2) wprowadza szczegółowe mechanizmy raportowania incydentów dotyczących cyberbezpieczeństwa, które mają zagwarantować jednolite standardy reagowania w całej Unii Europejskiej oraz skuteczniejsze zarządzanie kryzysowe na poziomie krajowym.

Nowe podejście do incydentów

Podstawowym celem dyrektywy NIS2 jest zapewnienie wysokiego, wspólnego poziomu cyberbezpieczeństwa w państwach członkowskich. Jednym z narzędzi do osiągnięcia tego celu jest obowiązek zgłaszania tzw. incydentów. Implementacja tej dyrektywy w Polsce ma zostać dokonana poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Zgodnie z projektem ustawy nowelizującej, wyróżnione zostały dwa główne rodzaje incydentów, z uwagi na doniosłość ich skutków – incydent oraz incydent poważny. Za incydent uznaje zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych (art. 1 pkt 2 lit. d) ustawy nowelizującej KSC),  a za incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy lub podmiot ważny, straty finansowe dla tego podmiotu lub wpływa na inne osoby fizyczne, osoby prawne, jednostki organizacyjnej nieposiadające osobowości prawnej przez wywołanie poważnej szkody materialnej lub niematerialnej (art. 1 pkt 2 lit. e) ustawy nowelizującej KSC).

Etapy zgłoszenia incydentu

W art. 23 dyrektywy NIS2 określony został trzystopniowy system raportowania incydentów poważnych:

• Wczesne ostrzeżenie

Po wykryciu poważnego incydentu podmiot zobowiązany – podmiot kluczowy lub podmiot ważny – musi w pierwszej kolejności przekazać wczesne ostrzeżenie. Ma na to maksymalnie 24 godziny. W tym wstępnym raporcie należy wskazać podstawowe informacje o incydencie, jego charakterze, potencjalnym źródle oraz możliwych skutkach, w tym ewentualnym wpływie na inne państwa członkowskie.

• Zgłoszenie incydentu

Następnie, w ciągu 72 godzin, należy złożyć zgłoszenie incydentu. Ten raport ma charakter bardziej szczegółowy, obejmuje wstępną ocenę dotkliwości i skutków incydentu, a także ewentualne wskaźniki naruszenia integralności systemów. Obowiązek ten został skonstruowany tak, by organy krajowe i europejskie mogły szybko podejmować decyzje o ewentualnej koordynacji działań i wymianie informacji między państwami.

• Raport końcowy

Ostatnim etapem jest raport końcowy, który powinien zostać złożony nie później niż miesiąc po zgłoszeniu wstępnym. Dokument ten musi zawierać pełny opis incydentu, w tym jego przyczyny, zastosowane środki zaradcze oraz ocenę długoterminowych skutków. Jeżeli incydent nie zostanie zakończony w momencie składania raportu końcowego, podmiot zobowiązany przedstawia sprawozdanie okresowe, a pełny raport, w ciągu miesiąca od usunięcia skutków incydentu.

Adresaci zgłoszeń i obowiązki organów

Zgłoszenia będą kierowane do krajowych lub sektorowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), a w niektórych przypadkach do innych organów właściwych wskazanych w ustawie. Po otrzymaniu zgłoszenia CSIRT będzie zobowiązany do udzielenia odpowiedzi, w tym do przekazania wstępnych informacji zwrotnych i ewentualnych rekomendacji dotyczących działań ograniczających ryzyko. Jeżeli incydent nosi znamiona czynu zabronionego, odpowiednie informacje zostaną przekazane organom ścigania.

Szczególną rolę odgrywają incydenty o charakterze transgranicznym. W takim przypadku informacje o zdarzeniu muszą zostać przekazane także innym państwom członkowskim, których ono dotyczy, a także Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Dzięki temu Unia Europejska może skuteczniej reagować na zagrożenia przekraczające granice jednego państwa.

Zgodnie z art. 23 ust. 2 dyrektywy NIS 2, w przypadku wystąpienia poważnego cyberzagrożenia podmioty kluczowe i ważne mają obowiązek o tym poinformować użytkowników swoich usług, których to zagrożenie może dotyczyć. Informacja powinna obejmować zarówno opis samego zagrożenia (o ile jej ujawnienie nie zwiększy ryzyka dla bezpieczeństwa systemów), jak i wskazanie możliwych środków zapobiegawczych, które odbiorcy mogą podjąć. Dodatkowo, jeżeli dojdzie do poważnego incydentu mającego negatywny wpływ na świadczenie usług, podmioty są zobowiązane do bezzwłocznego przekazania takiej informacji użytkownikom.

Sankcje

Oprócz reagowania na incydenty, objęci zakresem nowelizacji ustawy o KSC przedsiębiorcy zobowiązani są także do dokumentowania i raportowania ich zgodnie z precyzyjnymi wymogami. Wiąże się to z koniecznością dostosowania procedur wewnętrznych, wdrożenia narzędzi do szybkiej analizy zdarzeń i wyznaczenia zespołów odpowiedzialnych za kontakt z organami nadzorującymi.

Nieprzestrzeganie obowiązków raportowych może skutkować poważnymi sankcjami finansowymi. Dyrektywa NIS2 przewiduje bowiem surowe kary dla organizacji, które nie zgłoszą incydentu na czas lub zrobią to w sposób niewystarczający.

Naruszenie obowiązków przewidzianych w dyrektywie NIS2, w szczególności w zgłaszaniu incydentów (art. 23 Dyrektywy NIS2), wiąże się z ryzykiem nałożenia poważnych sankcji administracyjnych.

W przypadku podmiotów kluczowych maksymalna kara może wynieść co najmniej 10 mln euro lub 2% całkowitego rocznego obrotu przedsiębiorstwa na poziomie globalnym, w zależności od tego, która kwota jest wyższa (art. 34 ust. 4 Dyrektywy NIS2).

Dla podmiotów ważnych przewidziano kary sięgające co najmniej 7 mln euro lub 1,4% globalnego obrotu rocznego (art. 34 ust. 5 Dyrektywy NIS2).

Raportowanie incydentów jako obowiązek

Dyrektywa NIS2 i projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa kreują nową rzeczywistość prawną dla sektora ICT i wszystkich podmiotów kluczowych oraz ważnych. Raportowanie incydentów nie będzie już kwestią dobrej praktyki, lecz twardym obowiązkiem, którego zaniechanie wiąże się z ryzykiem sankcji.