Powyższe kryteria można określić jako techniczne. W motywie (90) dyrektywy wskazano również tzw. czynniki pozatechniczne. Jest to w szczególności nadmierny wpływ państwa trzeciego na dostawców i usługodawców w postaci np. blokad technologicznych, zbytniej zależności od dostawcy czy ukrytych backdoorów.
Konsekwencje skoordynowanej oceny ryzyka łańcucha dostaw dla biznesu
Aby zrozumieć konsekwencje dla biznesu należy sięgnąć do art. 21 Dyrektywy NIS2, w którym zostały uregulowane szczegółowe obowiązki podmiotów kluczowych i ważnych. Zgodnie z ust. 3 tego przepisu państwa członkowskie, oceniając spełnienie obowiązków z Dyrektywy NIS2, muszą brać pod uwagę wyniki skoordynowanego szacowania ryzyka. Ta niewielka wzmianka może mieć duże konsekwencje dla biznesu. Jeżeli bowiem, dany podmiot zapewni compliance z Dyrektywą NIS2, co oznacza w pewnym uproszczeniu wypełnienie wymogów art. 21 Dyrektywy NIS2, to mimo wszystko jego działania mogą zostać uznane za niezgodne z tymi przepisami wyłącznie dlatego że nie uwzględnił wyników wspomnianej procedury. Może to się wiązać nawet z nałożeniem kar finansowych przewidzianych w Dyrektywie NIS2.
Dla biznesu będzie zatem kluczowe, aby monitorować na bieżąco postępujące prace w kierunku kolejnych skoordynowanych szacowań ryzyka. Może się bowiem okazać, że nawet dokładne wykonywanie wymogów Dyrektywy NIS2 nie wystarczy, jeśli w ramach naszego łańcucha dostaw znajdzie się podmiot uznany za szczególnie ryzykowny w ramach skoordynowanego szacowania ryzyka.
Krajowe szacowanie ryzyka
Ta procedura nie została nazwana w tekście dyrektywy. Stanowi ona zbiorcze określenie na szereg uprawnień państw członkowskich do rozszerzania zakresu podmiotowego Dyrektywy NIS2. Wspomniane uprawnienia znajdują się art. 2 ust. 2 lit. b, c, d i e Dyrektywy NIS2 i pozwalają one objąć zakresem dyrektywy:
Warto wyciągnąć z tego wyliczenia dwa wnioski. Po pierwsze, że zakres przewidziany w dyrektywie może ulec znacznej modyfikacji w procesie implementacji Dyrektywy NIS2 do krajowego porządku prawnego. Kontynuacją tego jest drugi wniosek, zgodnie z którym nawet po implementacji Dyrektywy NIS2, podmiot poprzednio nieobjęty żadnymi obowiązkami, może zostać objęty pełnym zakresem tych obowiązków, jeżeli wpisuje się w któryś z powyżej wyliczonych warunków.
Wewnętrzne szacowanie ryzyka
Wewnętrzne szacowanie ryzyka stanowi obowiązek podmiotów kluczowych oraz ważnych i jest to obowiązek z natury techniczny. W motywach i przepisach dyrektywy wskazano jednak kilka istotnych wskazówek co do jego wykonywania.
Bardzo ważne będzie zwrócenie uwagi na treść krajowych strategii cyberbezpieczeństwa. To one powinny być źródłem informacji o podejściu danego państwa członkowskiego do egzekwowania tego obowiązku. Warto również zwrócić uwagę na inne dokumenty, takie jak Narodowy Plan Ochrony Infrastruktury Krytycznej. Analiza szeroko rozumianej praktyki ochrony łańcucha dostaw w danym państwie członkowskim musi być możliwie holistyczna.
Warto również zwrócić uwagę na uprawnienia i cel funkcjonowania sieci CSIRT, która na wniosek podmiotu kluczowego lub ważnego może monitorować jego aktywa połączone z internetem.
Należy pamiętać również o treści motywu (85) dyrektywy, w którym podkreślona została szczególna rola dostawców usług przechowywania i przetwarzania danych, zarządzania w zakresie cyberbezpieczeństwa i edytorów oprogramowania. Wskazano również na konieczność oceny poziomu ryzyka i dojrzałości podmiotów trzecich stanowiących ogniwo łańcucha dostaw.
Dyrektywa NIS2 a nowelizacja UKSC w perspektywie łańcucha dostaw
Procedowany obecnie projekt nowelizacji Ustawy o krajowym systemie cyberbezpieczeństwa (UKSC, UD68) został przyjęty przez Stały Komitet Rady Ministrów pod koniec kwietnia bieżącego roku. Wiele rozwiązań przewidzianych w projekcie budzi pewne kontrowersje, w szczególności te dotyczące 5G. Z perspektywy łańcucha dostaw warto zwrócić uwagę na pojęcie dostawców wysokiego ryzyka (HRV- high risk vendors). O ile mechanizm kontroli przewidziany w Dyrektywie NIS2 działać będzie jedynie w wypadku kontroli (do tego momentu to na podmiotach objętych Dyrektywą NIS2 spoczywa obowiązek zarządzania ryzykiem), to w rozwiązaniu przewidzianym w projekcie nowelizacji UKSC, to właściwy minister określać będzie który podmiot uznany zostanie za dostawcę szczególnego ryzyka. Rozwiązanie to jest zatem wyraźnie sprzeczne z Dyrektywą NIS2.
Okiem ekspertów EY Law
Mechanizmy oceny ryzyka przewidziane w Dyrektywie NIS2 są rozbudowane i wielopoziomowe. Odpowiednie rozwiązania mogą być wykorzystywane zarówno na szczeblu międzynarodowym jak i krajowym. Nie bez znaczenia są też obowiązki nałożone na podmioty kluczowe i ważne. Dla biznesu ważne jest, aby mieć na uwadze proces implementacji, który jak widać na polskim przykładzie, może być dalece skomplikowany.
Warto monitorować kolejne zmiany w zakresie cyberbezpieczeństwa, zarówno na gruncie legislacji krajowej jak i unijnej. Jak bowiem widać po regulacji bezpieczeństwa łańcucha dostaw w Dyrektywie NIS2, interesujące nas zagadnienia mogą okazać się dużo szersze, niż wydawałoby się po pobieżnej lekturze tekstu dyrektywy czy rozporządzenia.
Podsumowanie
Głównym celem Dyrektywy NIS2, która została przyjęta 28 listopada 2022 roku (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.) jest podnoszenie ogólnego poziomu cyberbezpieczeństwa w UE. Jednym z najważniejszych elementów tej dyrektywy są normy dotyczące oceny bezpieczeństwa łańcucha dostaw (supply chain security). Czy praktyczna implementacja założeń Dyrektywy okaże się problematyczna?