KSC&NIS2

Implementacja dyrektywy NIS2 w różnych kontekstach krajowych – Niemcy, Belgia i Czechy

Implementacja dyrektywy NIS2 w krajach europejskich przebiega w sposób zróżnicowany. Przyjrzymy się szczegółowo wybranym podejściom w takich krajach jak: Niemcy, Belgia i Czechy.

Implementacja dyrektywy NIS2 w Niemczech – scentralizowany model nadzoru

W Niemczech prace legislacyjne nad implementacją dyrektywy NIS2 są na zaawansowanym etapie. W połowie 2024 roku opracowano projekt ustawy „NIS2 Implementation and Cyber Security Strengthening Act”, który czeka na zatwierdzenie przez Bundestag. Planowany termin wdrożenia przypada na początek 2025 roku, co oznacza pewne opóźnienie względem unijnego terminu.

Niemcy przyjęły model scentralizowanego nadzoru nad cyberbezpieczeństwem, którego centralnym organem jest Federalny Urząd ds. Bezpieczeństwa Informacji (BSI). BSI odpowiada za nadzór nad podmiotami kluczowymi i ważnymi, zobowiązanymi ustawą do spełniania minimalnych wymagań w zakresie ochrony cybernetycznej. Dzięki jednolitemu systemowi nadzoru, Niemcy mogą koordynować działania i reagować na zagrożenia w sposób spójny na poziomie krajowym.

Kluczowe aspekty niemieckiego modelu:

  • Scentralizowany nadzór: Model scentralizowany pozwala na koordynację działań i ujednolicenie standardów bezpieczeństwa w różnych sektorach. Dzięki temu reagowanie na potencjalne incydenty jest szybsze i bardziej efektywne.
  • Obowiązki finansowe i certyfikacyjne: Niemieckie przepisy nakładają na instytucje federalne obowiązek przeznaczania minimum 20% wydatków IT na cyberbezpieczeństwo. W przyszłości obowiązek ten może objąć inne sektory. Dodatkowo, wprowadzono wymóg korzystania z certyfikowanych produktów i usług, co podnosi poziom bezpieczeństwa.
  • Sankcje i obowiązkowa rejestracja: Każdy podmiot objęty ustawą musi zarejestrować się w BSI w ciągu 3 miesięcy od wejścia w życie nowych przepisów. W przypadku niedopełnienia tego obowiązku, BSI ma prawo do samodzielnej rejestracji podmiotu oraz nakładania sankcji za uchybienia.

Implementacja dyrektywy NIS2 w Belgii – elastyczne podejście do krytycznych podmiotów i incydentów

W Belgii przepisy implementujące NIS2 zostały dostosowane do lokalnych potrzeb i mniejszej liczby podmiotów objętych regulacjami. Proces legislacyjny zakończył się w kwietniu 2024 roku wraz z przyjęciem królewskiego dekretu, który nadał kluczowe kompetencje Centrum Cyberbezpieczeństwa Belgii (CCB). Belgijski model wdrożenia NIS2 cechuje się elastycznym podejściem do zarządzania cyberbezpieczeństwem, dostosowanym do wielkości i struktury organizacyjnej kraju.

Charakterystyczne cechy belgijskiego podejścia:

  • Status prawny podmiotów kluczowych: Podmioty kluczowe i ważne w Belgii mają nadany status na mocy prawa, lecz krajowy organ ds. cyberbezpieczeństwa może uznać inne organizacje za kluczowe, jeśli pełnią one istotne funkcje społeczne lub gospodarcze, mimo że nie spełniają wszystkich wymogów NIS2.
  • Zgłaszanie incydentów: Belgijskie przepisy przewidują formułę dobrowolnego zgłaszania incydentów przez podmioty, które nie są bezpośrednio zobowiązane do tego prawem. Dzięki temu CCB może zbierać cenne dane o zagrożeniach i incydentach nawet od tych organizacji, które formalnie nie są objęte obowiązkami NIS2.
  • Plan reagowania na incydenty: Nowe przepisy przewidują wdrożenie planu reagowania na incydenty, który ma formę aktu wykonawczego wydawanego przez króla. Pozwala to na szybsze reagowanie i dostosowywanie działań w razie zagrożeń cybernetycznych.

Implementacja dyrektywy NIS2 w Czechach – zaawansowany projekt ustawy i powołanie Agencji Cyberbezpieczeństwa

W Czechach trwają zaawansowane prace nad ustawą implementującą NIS2. Projekt przewiduje stworzenie dedykowanej Agencji Cyberbezpieczeństwa odpowiedzialnej za koordynację działań w zakresie cyberbezpieczeństwa oraz nadzór nad kluczowymi sektorami. Czechy zdecydowały się na bardziej szczegółowe przepisy, które wychodzą poza minimalne wymogi dyrektywy NIS2.

Główne założenia czeskiego modelu:

  • Nowa Agencja Cyberbezpieczeństwa: Agencja będzie odpowiedzialna za identyfikację podmiotów kluczowych oraz monitorowanie ich zgodności z przepisami NIS2. Struktura ta, wzorowana na BSI w Niemczech i ANSSI we Francji, umożliwi skuteczną koordynację działań i szybką reakcję na incydenty.
  • Podział na poziomy cyberbezpieczeństwa: Czeski model zakłada podział na wysoki lub niski reżim cyberbezpieczeństwa, w zależności od rodzaju działalności. Na przykład, podmioty świadczące usługi kluczowe będą musiały stosować bardziej restrykcyjne środki ochrony.
  • Odpowiedzialność kadry zarządzającej: kierownictwo ma obowiązek informowania pracowników o zagrożeniach oraz zapewnienia zasobów niezbędnych do realizacji zadań związanych z cyberbezpieczeństwem. Przewiduje się tworzenie stanowisk związanych bezpośrednio z cyberbezpieczeństwem, takich jak menedżer czy architekt ds. cyberbezpieczeństwa.
  • Środki zaradcze i wyłączenia informacyjne: Agencja Cyberbezpieczeństwa będzie mogła stosować środki zaradcze, w tym ostrzeżenia i inne działania zapobiegawcze. Przepisy przewidują także możliwość ogłoszenia stanu cyberzagrożenia oraz wyłączenie informacji publicznych, jeśli ich ujawnienie mogłoby obniżyć efektywność działań.
Implementacja dyrektywy NIS2

Analiza wspólnych wyzwań i indywidualnych rozwiązań w implementacji NIS2

Każde z państw członkowskich UE stosuje inne podejście do implementacji dyrektywy NIS2. Można jednak zauważyć pewne wspólne wyzwania oraz unikalne rozwiązania:

  1. Nadzór nad podmiotami kluczowymi i ważnymi: Niemcy wybrały model scentralizowany, Belgia elastyczny, a Czechy skomplikowany system klasyfikacji, który dostosowuje wymogi do specyfiki rynku.
  2. Odpowiedzialność zarządzających: We wszystkich krajach, na kadrę zarządzającą podmiotów kluczowych i ważnych nałożono zwiększoną odpowiedzialność za cyberbezpieczeństwo. Do ich obowiązków należy wdrażanie odpowiednich procedur i szkoleń.
  3. Samoidentyfikacja podmiotów: W Belgii i Czechach podmioty kluczowe muszą same zgłaszać się do odpowiednich rejestrów, co zwiększa ich odpowiedzialność za przestrzeganie przepisów. W Niemczech natomiast zastosowano bardziej rygorystyczne zasady, wymagające rejestracji podmiotów w BSI.
  4. Środki zaradcze i ostrzeżenia: Każde z państw przewiduje wprowadzenie działań zapobiegawczych i ostrzeżeń. Przykładem są ostrzeżenia BSI w Niemczech czy systemy reagowania NUKIB w Czechach, które zapewniają odpowiednie środki prewencyjne w przypadku incydentów.

Podsumowanie

Doświadczenia z wdrożeniem pierwszej dyrektywy NIS wskazały konieczność ujednolicenia zasad cyberbezpieczeństwa na poziomie unijnym i dostosowania ich do nowych, coraz bardziej złożonych cyberzagrożeń. Dyrektywa NIS2 miała zatem za zadanie wprowadzenie spójniejszych i bardziej rygorystycznych wymogów, obejmujących szeroki zakres sektorów i podmiotów. Jednakże w praktyce kraje członkowskie wdrażają dyrektywę w sposób zróżnicowany, dostosowując je do swoich potrzeb i wymogów prawnych. Niemcy stosują podejście scentralizowane i rygorystyczne, Belgia elastyczne, a Czechy wprowadzają dedykowaną agencję oraz warstwowy system nadzoru.

Właśnie te różnice w implementacji dyrektywy NIS2 pokazują, że kraje członkowskie korzystają z autonomii w tworzeniu własnych zasad ochrony w zakresie cyberbezpieczeństwa uwzględniając swoje realia i specyfikę.

Źródła:

  • Ocena Skutków Regulacji (OSR) dla projektu ustawy o zmianie ustawy o KSC z 3 października 2024 r.
  • Informacje na stronie Federalnego Urzędu ds. Bezpieczeństwa Informacji (BSI) – Niemcy dotyczące implementacji NIS2
  • Informacje na stronie Centrum Cyberbezpieczeństwa Belgii (CCB) dotyczące wdrożenia NIS2
  • Informacje na stronie Narodowego Urzędu ds. Cyberbezpieczeństwa i Informacji (NUKIB) – Czechy

Podziel się artykułem