Wymogi dotyczące zgodności
Wraz z wprowadzeniem dyrektywy UE 2022/2555, zwanej także w skrócie NIS 2, wzrosły wymogi dotyczące zgodności w przedsiębiorstwach. NIS 2 jest odpowiedzią na zagrożenie cyberatakami w UE. Dyrektywa reguluje cyberbezpieczeństwo i bezpieczeństwo informacji w przedsiębiorstwach i instytucjach. Cyberataki uważa się obecnie na całym świecie za jedno z największych zagrożeń dla działalności gospodarczej.
NIS 2 zastępuje dyrektywę UE 2016/1148 (NIS 1) i ma przyczynić się do poprawy cyberbezpieczeństwa w Unii Europejskiej oraz lepszej ochrony przedsiębiorstw. Wdrożenie dyrektywy NIS 2 stawia zatem również zwiększone wymagania dla zarządzania ryzykiem i zgodności w wielu firmach. Jeśli środki nie zostaną odpowiednio wdrożone, może to skutkować sankcjami – podkreśla kancelaria MTR Legal Rechtsanwälte.
UE przyjęła dyrektywę NIS 2 w 2023 roku i do 2025 roku państwa członkowskie muszą ją wdrożyć do prawa krajowego. Które firmy są objęte dyrektywą, zależy głównie od rodzaju ich działalności. Dyrektywa została rozszerzona na inne przedsiębiorstwa uznane za kluczowe (essential) i istotne (important). To prowadzi do znacznego wzrostu liczby przedsiębiorstw i instytucji, które mają spełniać obowiązki ustawowe w stosunku do Federalnego Urzędu ds. Bezpieczeństwa Technik Informacyjnych (BSI).
Krytyczna infrastruktura dotknięta
Do krytycznych infrastruktur, które już podlegały dyrektywie NIS 1, takich jak energetyka, transport, służba zdrowia, finanse, gospodarka wodna i infrastruktura cyfrowa, dyrektywa NIS 2 dotyka również innych sektorów. Należą do nich usługi elektroniczne dla ludności, inne usługi cyfrowe, takie jak platformy społecznościowe, zarządzanie ściekami i odpadami, usługi pocztowe i kurierskie, administracja publiczna czy producenci kluczowych produktów. Szacuje się, że w Niemczech wdrożenie dyrektywy NIS 2 będzie dotyczyło około 29 000 firm w różnych branżach. Przede wszystkim średnie i duże przedsiębiorstwa w krytycznych sektorach będą zobowiązane do podjęcia odpowiednich środków w zakresie cyberbezpieczeństwa i ustanowienia efektywnej zgodności. Będą one również zobowiązane do informowania odpowiednich organów o incydentach bezpieczeństwa z poważnymi zakłóceniami lub szkodami.
Dyrektywa NIS 2 zawiera również przepisy dotyczące nadzoru, egzekwowania i dobrowolnych przeglądów środowiskowych, aby wzmocnić wzajemne zaufanie oraz cyberbezpieczeństwo w całej Unii Europejskiej. Oznacza to również, że zarząd ponosi odpowiedzialność, jeśli nie są przestrzegane środki zarządzania ryzykiem cyberbezpieczeństwa.
Reakcja na ataki na cyberbezpieczeństwo
Z dyrektywą NIS 2 powstanie również sieć Zespołów Reagowania na Incydenty Komputerowego Bezpieczeństwa (CERT), która będzie wymieniać się informacjami o zagrożeniach bezpieczeństwa i odpowiednio reagować na incydenty. Ponadto zostanie utworzona europejska sieć organizacji w kontakcie dla kryzysów cybernetycznych. Ta sieć wspiera regularną wymianę informacji między państwami członkowskimi a instytucjami UE, aby móc reagować na incydenty i kryzysy dużej skali.
Jak dokładnie NIS 2 zostanie wdrożone do prawa krajowego w Niemczech, nie jest jeszcze przesądzone. Powodem opóźnienia wdrożenia są przedterminowe wybory do Bundestagu. Pewne jest jednak, że z wdrożeniem dla wielu średnich przedsiębiorstw cyberbezpieczeństwo stanie się tematem.
Firmy muszą wdrożyć środki bezpieczeństwa
Zostaną postawione przed wyzwaniem wdrożenia wymaganych środków bezpieczeństwa, aby chronić dane i krytyczną infrastrukturę przed potencjalnymi cyberatakami. Należy podjąć konieczne techniczne i organizacyjne środki zaradcze. W przypadku, gdy firma padnie ofiarą cyberataku, należy posiadać plany, by szybko ograniczyć szkody i przywrócić działanie systemów. Ponadto należy poinformować odpowiednie organy. Oprócz tego firmy muszą regularnie przeprowadzać testy, aby wykrywać i eliminować luki w zabezpieczeniach. Cyberbezpieczeństwo powinno również obejmować całą łańcuch dostaw, dlatego w tym obszarze również należy reagować na ryzyka.
Wdrożenie dyrektywy NIS 2 oznacza wyzwania związane z efektywną zgodnością w dotkniętych firmach, tym bardziej, że członkowie zarządów oraz organy kierownicze mogą ponosić osobistą odpowiedzialność, jeśli wymagane środki bezpieczeństwa nie zostaną wdrożone.
MTR Legal Rechtsanwälte wspiera firmy w wdrażaniu efektywnych systemów zgodności i zapewnia, że spełniane będą wymagania prawne. Jako kancelaria specjalizująca się w prawie gospodarczym, MTR Legal doradza w zgodność i innych tematach prawa gospodarczego.
Zapraszamy do kontaktu z nami!
