NIS 2 vs NIS 1

NIS 2 a NIS 1: co faktycznie się zmieniło

Artykuł 41 Directive (EU) 2022/2555 uchylił dyrektywę NIS 1 ze skutkiem od 18 października 2024. Ta strona opisuje, co to oznacza w praktyce.

Simon OrzelSimon Orzel·

Przegląd

NIS 1 to Directive (EU) 2016/1148. Obejmowała siedem sektorów i dzieliła adresatów na 'operatorów usług kluczowych' (OES) i 'dostawców usług cyfrowych' (DSP). Państwa członkowskie wyznaczały OES indywidualnie.

NIS 2 to Directive (EU) 2022/2555. Obejmuje 15 sektorów w Załączniku I i 7 sektorów w Załączniku II, zastępuje podział OES/DSP 'podmiotami kluczowymi' i 'podmiotami ważnymi' oraz stosuje wyraźne kryterium wielkości (50 lub więcej pracowników albo roczny obrót powyżej 10 milionów euro).

Artykuł 41 NIS 2 uchylił dyrektywę NIS 1 ze skutkiem od 18 października 2024. Tam, gdzie prawo państwa członkowskiego nadal odsyła do starej dyrektywy, te odniesienia wskazują teraz NIS 2. Krajowe ustawy transponujące (takie jak niemiecki BSIG w wersji NIS 2) zastępują wcześniejszą architekturę IT-Sicherheitsgesetz 2.0.

Zakotwiczenia prawne
Trzy warstwy tekstu definiują migrację: dyrektywa UE, która uchyla NIS 1, rozporządzenie wykonawcze Komisji, które dodaje szczegóły dla infrastruktury cyfrowej, oraz ustawa krajowa, która transponuje dyrektywę.

Directive (EU) 2022/2555 Artykuł 41

Directive (EU) 2016/1148 is repealed with effect from 18 October 2024.

Data uchylenia jest również terminem transpozycji. Odniesienia do NIS 1 w innych aktach UE odczytuje się jako odniesienia do NIS 2.

Commission Implementing Regulation (EU) 2024/2690

This Regulation lays down the technical and the methodological requirements of the measures referred to in Article 21(2) of Directive (EU) 2022/2555 [...]

CIR określa środki z Artykułu 21(2) dla wąskiego zestawu typów podmiotów infrastruktury cyfrowej. Sam katalog z Artykułu 21 ma zastosowanie do wszystkich podmiotów NIS 2.

Niemcy: BSIG (wersja NIS 2)

Gesetz uber das Bundesamt fur Sicherheit in der Informationstechnik (BSI-Gesetz).

Niemcy transponują NIS 2 poprzez nowelizację BSIG. Wcześniejsza architektura IT-Sicherheitsgesetz 2.0 (tylko operatorzy KRITIS) jest zastąpiona szerszym zakresem, który obejmuje podmioty kluczowe i ważne.

Trzy zmiany strukturalne
Większość tego, co zmieniło się między NIS 1 a NIS 2, mieści się w trzech koszykach: kto jest objęty zakresem, co musi robić oraz jak działa egzekwowanie.
Zakres

Od 7 sektorów i wyznaczania OES do 15 plus 7 sektorów z regułą wielkości

NIS 1 obejmowała siedem sektorów i wymagała od państw członkowskich wyznaczania OES jeden po drugim. NIS 2 wymienia 15 sektorów w Załączniku I (kluczowe) i 7 sektorów w Załączniku II (ważne) i ma zastosowanie automatycznie do podmiotów tych sektorów, które spełniają kryterium wielkości (50 lub więcej pracowników albo ponad 10 milionów euro obrotu). Kilka typów podmiotów jest objętych zakresem niezależnie od wielkości.

Obowiązki

Od ogólnych środków z Artykułu 14 do Artykułu 21 z 10 obszarami środków plus Artykuł 20 i Artykuł 23

Artykuł 14 NIS 1 wymagał odpowiednich i proporcjonalnych środków w dość ogólnych słowach. Artykuł 21(2) NIS 2 wymienia 10 konkretnych obszarów środków (analiza ryzyka, obsługa incydentów, ciągłość działania, łańcuch dostaw, obsługa podatności, skuteczność, podstawowa higiena cybernetyczna i szkolenia, kryptografia, kontrola dostępu i zarządzanie aktywami, uwierzytelnianie wieloskładnikowe i bezpieczna komunikacja). Artykuł 20 dodaje wyraźne obowiązki organu zarządzającego, Artykuł 23 dodaje ustrukturyzowaną kaskadę zgłaszania, a Artykuł 27 dodaje rejestrację danych podmiotu u właściwego organu.

Egzekwowanie

Od uznania państwa członkowskiego do ogólnounijnych minimalnych pułapów kar

NIS 1 pozostawiała kary w dużej mierze prawu krajowemu i powodowała szerokie zróżnicowanie między państwami członkowskimi. Artykuł 34 NIS 2 ustanawia ogólnounijne minimalne pułapy: dla podmiotów kluczowych co najmniej 10 milionów euro lub 2 procent całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa; dla podmiotów ważnych co najmniej 7 milionów euro lub 1,4 procent. Artykuł 32 i Artykuł 33 dają również organom nadzorczym dłuższą listę uprawnień.

Co przechodzi dalej, a co nie
Niektóre elementy programu NIS 1 pozostają użyteczne na gruncie NIS 2. Inne trzeba zbudować od nowa, ponieważ struktura prawna jest inna.

Środki techniczne w dużej mierze przechodzą dalej

Podmiot, który już wdrożył środki z Artykułu 14 NIS 1, rozpozna dużą część Artykułu 21(2) NIS 2: obsługa incydentów, ciągłość działania, łańcuch dostaw, podstawowa higiena cybernetyczna i szkolenia są obecne w obu tekstach. Etykiety i głębokość się zmieniły, leżąca u podstaw idea nie.

Ład i zgłaszanie są nowe

Artykuł 20 czyni organ zarządzający odpowiedzialnym za zatwierdzanie środków zarządzania ryzykiem cyberbezpieczeństwa, nadzorowanie ich wdrażania oraz odbywanie szkoleń. Artykuł 23 wprowadza trzystopniową kaskadę (wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin, raport końcowy w ciągu jednego miesiąca). Żadna z tych konstrukcji nie istniała w NIS 1 na tym poziomie szczegółowości.

Spojrzenie krajowe
NIS 2 to dyrektywa, więc tym, z czym podmiot faktycznie ma do czynienia, jest krajowa ustawa transponująca. Trzy punkty odniesienia pomagają zorientować się w migracji.
DE

Bundesamt fur Sicherheit in der Informationstechnik (BSI)

BSI jest właściwym organem na podstawie BSIG. Dla migracji prowadzi rejestr podmiotów, publikuje Handreichungen w sprawie szkolenia organu zarządzającego i innych obowiązków oraz nadzoruje podmioty kluczowe i ważne. Operatorzy KRITIS nadal istnieją jako podzbiór z dodatkowymi obowiązkami.

EU

European Union Agency for Cybersecurity (ENISA)

ENISA publikuje Technical Implementation Guidance dla środków z Artykułu 21(2) i prowadzi europejską bazę danych podatności na podstawie Artykułu 12. Jej teksty są niewiążące, ale organy nadzorcze cytują je jako praktyczny punkt odniesienia.

DE

BSIG zastępuje architekturę IT-Sicherheitsgesetz 2.0

Niemcy transponują NIS 2 poprzez nowelizację BSIG. Wcześniejszy model IT-Sicherheitsgesetz 2.0 koncentrował się na operatorach KRITIS. Wersja NIS 2 BSIG rozszerza zakres na podmioty kluczowe i ważne oraz dodaje obowiązki zarządcze z Artykułu 20, zgłaszanie z Artykułu 23 i rejestrację z Artykułu 27.

Częste pułapki
Trzy założenia powtarzają się wielokrotnie w migracji z NIS 1 do NIS 2 i prowadzą do błędnego wniosku.

  • Nasza dokumentacja NIS 1 przechodzi dalej do NIS 2.

    Środki techniczne w dużej mierze przechodzą dalej, ale ramy prawne nie. NIS 2 wprowadza obowiązki organu zarządzającego (Artykuł 20), trzystopniową kaskadę zgłaszania (Artykuł 23), rejestrację podmiotu (Artykuł 27) oraz ustrukturyzowany katalog Artykułu 21(2). Stara dokumentacja NIS 1 zazwyczaj ma luki w ładzie, harmonogramach zgłaszania i sekcji łańcucha dostaw. Traktuj dokumenty NIS 1 jako punkt wyjścia, a nie jako ukończone akta.

  • To ten sam regulator, więc to ten sam reżim.

    W kilku państwach członkowskich nadzorca NIS 1 nadzoruje również NIS 2 (w Niemczech BSI). Instytucja pozostała ta sama; jej ustawowe uprawnienia i katalog nadzorowanych podmiotów nie. Artykuły 32 i 33 NIS 2 dają organom nadzorczym dłuższą listę uprawnień inspekcyjnych, audytowych i egzekucyjnych, a Artykuł 34 ustanawia ogólnounijne minimalne pułapy kar, które nie istniały na gruncie NIS 1.

  • Nic istotnego się nie zmieniło.

    Zakres (15 plus 7 sektorów z regułą wielkości), ład (obowiązki zarządcze z Artykułu 20), zgłaszanie (kaskada z Artykułu 23), rejestracja (Artykuł 27) i kary (pułapy z Artykułu 34) wszystkie się zmieniły. To samo brzmienie 'odpowiednie i proporcjonalne' pojawia się w obu dyrektywach, ale katalog wokół niego jest znacznie bardziej szczegółowy w NIS 2.

Spojrzenie praktyka

W praktyce migracja rzadko jest czystym restartem. Większość podmiotów ponownie wykorzystuje części swojego rejestru ryzyka NIS 1, podręcznika incydentów i listy dostawców, a następnie dodaje nowe elementy: decyzję organu zarządzającego w sprawie środków z Artykułu 21(2), przepływ pracy zgłaszania z Artykułu 23 ze znacznikami czasu 24 godzin, 72 godzin i jednego miesiąca, wpis rejestracyjny z Artykułu 27 oraz sekcję łańcucha dostaw zgodną z Artykułem 21(2)(d).

Najczęstszą widoczną zmianą jest zgłaszanie. Pojedyncze powiadomienie 'bez zbędnej zwłoki' z NIS 1 staje się trzema odrębnymi dokumentami w NIS 2, każdy z własnym terminem i własnym odbiorcą wewnątrz podmiotu. Praktycy zazwyczaj najpierw przebudowują przepływ pracy incydentów, ponieważ to tam nowe reguły czasowe szybko dają o sobie znać.

Jak ta platforma obsługuje migrację

Rejestr obowiązków jest zbudowany wokół artykułów NIS 2. Środki z Artykułu 21(2) są śledzone jako poszczególne wymagania, harmonogramy zgłaszania z Artykułu 23 są śledzone jako trzystopniowy przepływ pracy incydentów, rejestracja z Artykułu 27 jest śledzona jako odrębny zapis, a decyzja organu zarządzającego z Artykułu 20 jest śledzona jako zatwierdzenie.

Jeśli podmiot ma już dowody z NIS 1, można je dołączyć do odpowiadającego wymagania NIS 2. Platforma nie zakłada przejścia dalej; każde wymaganie jest przeglądane i oznaczane jako spełnione, częściowo spełnione lub otwarte, z datą i osobą odpowiedzialną.

Źródła
  • Directive (EU) 2022/2555, Article 41 (repeal of Directive (EU) 2016/1148), Articles 20, 21, 23, 27, 32, 33, 34, Annex I and Annex II (EUR-Lex).
  • Directive (EU) 2016/1148, Article 14 (security requirements for OES) and Article 16 (security requirements for DSP) (EUR-Lex).
  • Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024, recitals and Annex (EUR-Lex).
  • Bundesamt fur Sicherheit in der Informationstechnik (BSI), NIS 2 information pages and BSIG references (bsi.bund.de).
  • ENISA, Technical Implementation Guidance on Article 21(2) NIS 2 (enisa.europa.eu).
Sprawdź, czy NIS 2 ma zastosowanie do twojego podmiotu
Sprawdzenie objęcia obowiązkiem korzysta z sektorów Załącznika I i Załącznika II oraz kryterium wielkości z Artykułu 2 NIS 2.
Rozpocznij sprawdzenie objęcia obowiązkiem