NIS2 – zasady raportowania i kary prawno-finansowe

Dyrektywa NIS2 nakłada na przedsiębiorców szereg nowych obowiązków łącznie z raportowaniem incydentów, a nieprzestrzeganie przepisów wiąże się z sankcjami w postaci kar finansowych i prawnych. Przyjrzymy się bliższej każdemu z tych obszarów.

Dla przypomnienia zapraszamy też do poprzednich artykułów z serii o nowelizacji dyrektywy: NIS2 - terminy, podmioty i obowiązkii Jak wdrożyć NIS2?

Pierwsze kroki po wykryciu poważnego incydentu

W pierwszej kolejności w przypadku zidentyfikowania wystąpienia poważnego incydentu należy przekazać odpowiedniemu CSIRT (ang. Computer Security Incident Response Team) lub właściwemu organowi wczesnego ostrzeżenia informacje o wystąpieniu poważnego incydentu. W Polsce przykładami takich organizacji są CSIRT NASK, CSIRT GOV oraz CSIRT MON.

Zgłoszenie musi wpłynąć w ciągu 24 godzin od wykrycia naruszenia. Taki czas reakcji ma na celu umożliwienie wskazanym organom podjęcie natychmiastowych działań w celu minimalizacji szkód.

Wstępne zgłoszenie zawiera podstawowe informacje na temat incydentu, takie jak:

• określenie czy incydent został spowodowany przez działania bezprawne, złośliwe lub niedbałe,
• wstępna ocena potencjalnych skutków dla dostarczania usług cyfrowych lub ochrony danych osobowych.

Pogłębiona analiza zdarzenia

W ciągu kolejnych 48 godzin podmiot zgłaszający jest zobowiązany do dostarczenia bardziej szczegółowych informacji na temat incydentu. Obejmują pogłębioną analizę zdarzenia, aby zidentyfikować jego przyczyny, zakres, poziom wpływu i potencjalne konsekwencje. Jeśli są dostępne informacje o kompromitacji infrastruktury, także należy je dodać.

Złożenie sprawozdania końcowego

Sprawozdanie końcowe ma na celu dostarczenie wyczerpujących informacji na temat incydentu. Służy do przeprowadzenia analizy zdarzenia i wyciągnięcia wniosków na przyszłość, aby do podobnego incydentu już nie doszło. Raport końcowy trzeba sporządzić nie później niż miesiąc po zgłoszeniu incydentu, a powinien zawierać:

• szczegółowy opis zdarzenia, a w tym określenie jego poziom wpływu na organizację
• rodzaj zagrożenia lub główną przyczynę, która prawdopodobnie wywołała incydent,
• zastosowane środki zaradcze,
• w stosownych przypadkach, transgraniczny wpływ incydentu.

Organizacje są zobowiązane do złożenia sprawozdania końcowego nie później niż miesiąc po zgłoszeniu incydentu. Natomiast, jeśli w tym czasie sytuacji nie rozwiązano i wciąż odczuwalne są jej skutki, podmioty kluczowe i ważne muszą złożyć sprawozdanie z postępu prac. Następnie po całkowitym obsłużeniu i zamknięciu incydentu przysługuje im miesiąc na złożenie sprawozdania końcowego.

Co więcej, CSIRT lub właściwy organ może nakazać podmiotowi kluczowemu lub ważnemu sporządzenie i złożenie raportu okresowego w każdym czasie.

Konsekwencje niezastosowania się do dyrektywy NIS2

Za niestosowanie się do przepisów, NIS2 przewiduje sankcje prawne i finansowe. Czynności administracyjne obejmują nakazy zgodności i wdrożenia zaleceń z audytu bezpieczeństwa oraz konieczność powiadamiania klientów podmiotu o potencjalnych zagrożeniach. Co więcej, w przypadku kar finansowych nie przewidziano jednolitych kwot dla podmiotów kluczowych i ważnych.

W przypadków podmiotów kluczowych za nieprzestrzeganie zasad dyrektywy kara to co najmniej 10 000 000 EUR lub 2% całkowitego globalnego rocznego obrotu z poprzedniego roku.

Z kolei dla podmiotów ważnych przewidziano grzywnę na poziomie co najmniej 7 000 000 EUR lub co najmniej 1,4% całkowitego globalnego obrotu z poprzedniego roku.

Jednak, podczas wykonywania czynności egzekucyjnych właściwe organy powinny brać pod uwagę okoliczności wystąpienia incydentu takie jak natura, waga i czas trwania naruszenia. Należy też przeanalizować wyrządzone szkody lub poniesione straty oraz celowy lub niedbały charakter naruszenia.