Ustawa mająca na celu wdrożenie unijnej dyrektywy NIS2 i wzmocnienie cyberbezpieczeństwa, znajduje się aktualnie na zaawansowanym etapie prac legislacyjnych i ma wejść w życie już w marcu 2025 r. Wprowadza ona ogólnounijne wymogi w zakresie cyberbezpieczeństwa zawarte w unijnej dyrektywie NIS2 do niemieckiego porządku prawnego.
Kogo dotyczy regulacja?
Przedsiębiorstwa dotknięte przez NIS2 w Niemczech składają się z trzech grup: istniejący operatorzy obiektów krytycznych oraz podmioty kluczowe i podmioty ważne.
Definicję podmiotów kluczowych spełniają przedsiębiorstwa prowadzące działalność gospodarczą m.in. w sektorach energii, transportu, finansów i infrastruktury cyfrowej, gdy zatrudniają 250 lub więcej pracowników lub osiągają obroty powyżej 50 mln EUR i o bilansie powyżej 43 mln EUR. Z kolei ważne podmioty to przedsiębiorstwa z sektora żywności, chemii, gospodarki odpadami oraz dostawców usług cyfrowych, gdy przedsiębiorstwa te zatrudniają 50 lub więcej pracowników lub osiągają obroty powyżej 10 mln EUR i o bilansie powyżej 10 mln EUR.
Obowiązki ciążące na kluczowych i ważnych podmiotach
Zgodnie z § 30 ust. 1 projektu ustawy podmioty kluczowe i podmioty ważne są zobowiązane do podjęcia odpowiednich, proporcjonalnych i skutecznych środków technicznych i organizacyjnych, w celu uniknięcia zakłóceń dostępności, integralności i poufności systemów informatycznych, komponentów i procesów, które wykorzystują do świadczenia swoich usług, oraz w celu zminimalizowania skutków incydentów związanych z bezpieczeństwem.
Przy ocenie proporcjonalności środków należy wziąć pod uwagę zakres narażenia na ryzyko, wielkość organizacji, koszty wdrożenia oraz prawdopodobieństwo wystąpienia i dotkliwość incydentów bezpieczeństwa, a także ich skutki społeczne i gospodarcze.
Środki muszą być zgodne z aktualnym stanem wiedzy, uwzględniać odpowiednie normy europejskie i międzynarodowe oraz opierać się na podejściu uwzględniającym różne zagrożenia.
Środki muszą obejmować co najmniej następujące elementy:
- koncepcje, związane z analizą ryzyka i bezpieczeństwem technologii informacyjnej,
- zarządzanie incydentami bezpieczeństwa,
- ciągłość działania, obejmującą zarządzanie kopiami zapasowymi i odzyskiwanie danych po awarii oraz zarządzanie kryzysowe,
- bezpieczeństwo łańcucha dostaw, w tym związane z bezpieczeństwem aspekty relacji między poszczególnymi organizacjami a ich bezpośrednimi dostawcami lub usługodawcami,
- środki bezpieczeństwa w nabywaniu, rozwijaniu i utrzymywaniu systemów, komponentów i procesów informatycznych, w tym zarządzanie podatnościami i ich ujawnianie,
- koncepcje i procedury oceny skuteczności środków zarządzania ryzykiem w obszarze bezpieczeństwa technologii informacyjnej,
- podstawowe procedury higieny cybernetycznej i szkolenia w zakresie bezpieczeństwa technologii informacyjnej,
- koncepcje i procedury stosowania kryptografii i szyfrowania,
- koncepcje bezpieczeństwa personelu, kontroli dostępu i zarządzania zasobami,
- stosowanie uwierzytelniania wieloskładnikowego lub rozwiązań uwierzytelniania ciągłego, bezpiecznej komunikacji głosowej, wideo i tekstowej oraz w stosownych przypadkach, bezpiecznych systemów komunikacji awaryjnej w organizacji.
Obowiązki informacyjne
Na podstawie § 32 ust. 1 projektu ustawy podmioty kluczowe i podmioty ważne są zobowiązane m.in do zgłaszania następujących informacji do wspólnego centrum sprawozdawczego utworzonego przez Urząd Federalny (Bundesamt) i Federalny Urząd Ochrony Ludności i Pomocy w przypadku Katastrof (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe):
- niezwłocznie, ale najpóźniej w ciągu 24 godzin od powzięcia wiadomości o istotnym zdarzeniu naruszającym bezpieczeństwo, wczesne wstępne zgłoszenie stwierdzające, czy istnieje podejrzenie, że istotne zdarzenie naruszające bezpieczeństwo jest wynikiem niezgodnego z prawem zachowania lub gdy zdarzenie mogłoby mieć skutki międzynarodowe.
- niezwłocznie, ale nie później niż w ciągu 72 godzin od powzięcia informacji o istotnym incydencie związanym z bezpieczeństwem, powiadomienie o tym incydencie, potwierdzające lub aktualizujące informacje, o których mowa w pkt 1, oraz zawierające wstępną ocenę istotnego incydentu związanego z bezpieczeństwem, w tym jego powagi i wpływu, a także, w stosownych przypadkach, wskaźniki naruszenia bezpieczeństwa.
Ponadto zgodnie z § 33 ust. 1 projektu ustawy podmioty kluczowe i podmioty ważne są zobowiązane do przekazania informacji takich jak nazwa przedsiębiorstwa, jego adres, dane kontaktowe oraz właściwy rodzaj sektora działalności gospodarczej. Informacje te są przekazywane do Urzędu Federalnego za pośrednictwem systemu rejestracji utworzonego wspólnie przez Urząd Federalny i Federalny Urząd Ochrony Ludności i Pomocy w przypadku Katastrof nie później niż trzy miesiące po tym, jak po raz pierwszy lub ponownie zakwalifikują się jako podmioty kluczowe bądź podmioty ważne.
Odpowiedzialność
Rekomendujemy wnikliwe zapoznanie się z wprowadzanymi regulacjami w zakresie cyberbezpieczeństwa, gdyż za naruszenia nowej ustawy przewidziana została kara grzywny w wysokości aż do 10 milionów euro.
Wskazania wymaga również fakt, iż odpowiedzialność ponoszą nie tylko przedsiębiorcy, ale również zarządy kluczowych bądź ważnych podmiotów, które na podstawie § 38 projektu ustawy są zobowiązane do wdrożenia środków zarządzania ryzykiem oraz do monitorowania ich wdrożenia. Organy, które naruszą powyższe obowiązki, ponoszą odpowiedzialność wobec spółki za wszelkie zawinione szkody zgodnie z przepisami prawa spółek mającymi zastosowanie do formy prawnej ważnego podmiotu.
Grau Rechtsanwälte PartGmbB doradza i wspiera przedsiębiorstwa w zakresie prawa dystrybucji, prawa pracy i ochrony danych jako zewnętrzny inspektor ochrony danych osobowych.
W przypadku dalszych pytań prosimy o kontakt z naszą kancelarią pod numerem +49 (0) 40 180 364 020 lub office@graulaw.eu.
