NIS2 w kontekście ubezpieczenia ryzyk cyber
Przyjęta przez Parlament Europejski w 2022 roku Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (Dyrektywa NIS-2) zastępuje i rozszerza dotychczas obowiązującą dyrektywę NIS. Główny cel wprowadzonych przepisów, o którym wspomina się w preambule Dyrektywy, to zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w przypadku wystąpienia incydentów.
Przepisy weszły w życie 16 stycznia 2023 r. Natomiast do 17 października 2024 r. państwa członkowskie miały czas na wdrożenie regulacji do krajowych przepisów. W polskim systemie prawnym w tym kontekście dojdzie do nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Szacuje się, że przepisy mogą dotyczyć nawet kilkunastu tysięcy polskich podmiotów.
Nowa dyrektywa obliguje podmioty objęte jej reżimem do wprowadzania odpowiednich polityk i działań w celu wzmacniania zdolności w przedmiocie bezpieczeństwa cyber. NIS 2 stawia wymogi związane z poprawą cyberbezpieczeństwa poprzez wdrożenie odpowiednich środków celem zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. Przepisy wprost za środki te uznają m.in. bezpieczeństwo łańcucha dostaw, ciągłość działania, szkolenia w zakresie cyberbezpieczeństwa czy stosowanie uwierzytelniania wieloskładnikowego. Prawodawcy zwracają także uwagę na reagowanie na incydenty i mechanizmy raportowania zdarzeń, w tym na standaryzację notyfikacji na obszarze Unii.
Dyrektywa NIS2,w porównaniu do poprzednich regulacji, poszerza liczbę podmiotów objętych przepisami – w niektórych przypadkach zakresem przepisów zostają objęte podmioty niezależnie od skali działalności. Podmioty dzieli się także na dwie grupy: „kluczowe” i „ważne”. Obowiązki w zakresie zgodności z przepisami dotyczą obu grup, ale na podmioty kluczowe zostaną nałożone bardziej rygorystyczne zasady (np. w ramach wysokości ewentualnych kar). Dyrektywa do kluczowych sektorów zalicza m.in.: energię, transport, bankowość i instytucje finansowe, opiekę medyczną czy administrację publiczną. Do ważnych sektorów objętych dyrektywą należą np.: usługi kurierskie, żywność, usługi cyfrowe, produkcja chemikaliów, żywności czy wyrobów medycznych. Dyrektywa przewiduje również sankcje w postaci kar administracyjnych za naruszenia przepisów. W przypadku braku spełnienia wymogów NIS2, na przedsiębiorstwo może zostać nałożona kara w maksymalnej wysokości co najmniej 10 mln euro lub 2% całkowitego rocznego światowego obrotu (podmioty kluczowe) lub w maksymalnej wysokości co najmniej 7 mln euro lub co najmniej 1,4% rocznego światowego obrotu (podmioty ważne). W obu przypadkach zastosowanie będzie mieć wyższa kwota.
Odnosząc nowe przepisy do rynku ubezpieczeń ryzyk cyber należy podkreślić, że ubezpieczyciele już od dłuższego czasu stawiają przed podmiotami zainteresowanymi ochroną szereg niezbędnych wymogów warunkujących uzyskanie oferty ubezpieczenia. Wśród nich znajdują się także takie, którymi posługują się przepisy NIS2. Są to np. odpowiednie procedury zarządzania kopiami zapasowymi (w tym zdolności przywrócenia normalnego funkcjonowania po wystąpieniu incydentu), stosowanie polityk w zakresie szkoleń w przedmiocie cyberbezpieczeństwa, cyberhigieny, szyfrowania czy też stosowanie uwierzytelniania wieloskładnikowego.
Dostosowywanie działalności do nowych przepisów służy przede wszystkim wzmocnieniu bezpieczeństwa w obszarze cyber, poprawie obowiązujących polityk i procedur, minimalizowania ryzyka wystąpienia incydentu, a także odpowiedniej reakcji na zdarzenie. Pośrednim skutkiem może być zwiększenie szansy na uzyskanie propozycji ubezpieczenia ryzyk cyber. Posiadanie polisy jest jednym ze sposobów zarządzania ryzykiem cybernetycznym w organizacji, jednakże ubezpieczenie co do zasady ma na celu świadczenie ochrony w przypadku wystąpienia incydentu. Polisa ubezpieczeniowa nie zastąpi więc odpowiedniego podejścia w obszarze cyberbezpieczeństwa, które ma minimalizować zagrożenie w tym zakresie. Podmioty zainteresowane ochroną w pierwszej kolejności muszą zatem wykazać, że właściwie zarządzają ryzykiem. Podjęcie stosownych działań co do zasady będzie mogło zwiększać prawdopodobieństwo uzyskania oferty ubezpieczenia.
Wymogi zakładów ubezpieczeń w zakresie np. wieloskładnikowego uwierzytelniania, kopii zapasowych czy szkoleń dotyczą zasadniczo każdego wnioskującego o polisę, niezależnie od profilu czy skali działalności. Można więc zalecać, że nawet podmioty nie objęte wprost nowymi przepisami powinny podjąć niezbędne działania prowadzące do zwiększania odporności cyber, być może mając za wskazówki rozwiązania, którymi posługuje się Dyrektywa NIS2. Pozwoli to na zwiększenie bezpieczeństwa ich organizacji, klientów czy partnerów biznesowych, ponieważ incydent może wywołać konsekwencje odczuwalne przez szeroki katalog podmiotów. Implementacja właściwych rozwiązań może też wpłynąć na możliwość zawarcia umowy ubezpieczenia ryzyk cyber.