Dyrektywa NIS 2 i inne regulacje prawne w obszarze cyberbezpieczeństwa

W związku z cyfryzacją i elektronizacją, coraz więcej czynności i zadań realizowanych jest przez Internet. Jednocześnie wzrasta świadomość zarówno przedsiębiorców, jak i konsumentów, w obszarze cyberbezpieczeństwa, do czego przyczynia się z pewnością tworzenie unijnych (NIS 2 /DORA/ CRA) i krajowych ram prawnych w tym zakresie.

7 października 2024 roku opublikowana została nowa, druga wersja projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa (projekt UKSC), będący implementacją Dyrektywy NIS2. Zgodnie z zapowiedziami Ministerstwa Cyfryzacji przepisy dyrektywy NIS powinny zostać implementowane do polskiego porządku prawnego z początkiem 2025 r. Zgodnie z szacunkami Ministerstwa Cyfryzacji, nowelizacja ustawy o KSC dotyczyć będzie ponad 10 000 podmiotów w Polsce, w porównaniu do około 400 podmiotów (tzw. operatorów usług kluczowych), które podlegały ustawie o Krajowym Systemie Cyberbezpieczeństwa z 2018 roku.

Niezależnie do tego, już 17 stycznia 2025 r. zacznie obowiązywać rozporządzenie unijne DORA, ustanawiające nowe, szczegółowe regulacje w zakresie cyberbezpieczeństwa dla sektora finansowego. Nowe regulacje NIS2 oraz DORA to nie tylko nowy zakres podmiotów tworzących Krajowy System Cyberbezpieczeństwa, ale również bardziej restrykcyjne wymagania i obowiązki, a także odpowiedzialność finansowa przedsiębiorstwa oraz osobista członków zarządów za odpowiednie wdrożenie środków zarządzania ryzykiem. Wkrótce można się spodziewać także nowych regulacji z zakresu cyberbezpieczeństwa – nakładających obowiązki także na producentów, importerów i dystrybutorów produktów z elementami cyfrowymi (Cyber Resiliance Act).

Cel szkolenia

Celem szkolenia jest przedstawienie obecnych oraz przyszłych ram prawnych dotyczących obszaru cyberbezpieczeństwa, a także wskazanie optymalnej drogi do wdrożenia zgodności z tymi regulacjami.
Warsztat skupi się również na kwestiach regulacji tych zagadnień w umowach z dostawcami IT – nakreślone zostaną kluczowe postanowienia, które powinny zostać wprowadzone do umów, a także konsekwencje ich braku, zwłaszcza w obszarze odpowiedzialności i rozwiązywania umów. Ostatni blok zagadnień dotyczyć będzie odpowiedzialności karnej, administracyjnej i cywilnej w obszarze cyberbezpieczeństwa.

W ramach szkolenia przedstawione zostanie m.in.:

• jakie przepisy oraz soft law regulują zagadnienia z zakresu cyberbezpieczeństwa?
• kluczowe założenia nowych regulacji, które musi wdrożyć organizacja,
• identyfikacje i rejestracje podmiotów kluczowych i podmiotów ważnych wg. najnowszej wersji projektu UKSC,
• normy ISO oraz inne normy a wdrażanie środków zarządzania ryzykiem,
• jak konkretyzować w praktyce ogólne wymogi i dobierać właściwe środki techniczne?
• jak wykorzystać doświadczenia z wdrażania RODO przy NIS2?
• jak uniknąć potencjalnych sankcji prawnych?
• jakie są obowiązki wynikające z NIS2 UKSC i DORA dotyczące łańcucha dostaw?
• jak uregulować w umowie IT (np. wdrożenie, serwis) kwestie cyberbezpieczeństwa?
• kto i na jakich zasadach ponosi odpowiedzialność za naruszenie cyberbezpieczeństwa?

1. Obecne ramy prawne w obszarze cyberbezpieczeństwa.
   • Regulacje unijne, w tym:
     • dyrektywa NIS,
     • RODO,
     • Akt o cyberbezpieczeństwie.
   • Regulacje krajowe, w tym:
     • ustawa o krajowym systemie cyberbezpieczeństwa.
   • Soft law, wytyczne i normy.
2. Przyszłe ramy prawne w obszarze cyberbezpieczeństwa.
   • Regulacje unijne, w tym:
     • NIS 2 i CER,
     • DORA,
     • CRA.
   • Regulacje krajowe, w tym:
     • Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 3 października 2024 r.
3. Nowy zakres podmiotowy krajowego systemu cyberbezpieczeństwa.
   
   • Kogo dotyczą nowe regulacje NIS2 i krajowego systemu cyberbezpieczeństwa?
   • Relacja dyrektywy NIS2 do innych regulacji z zakresu cyberbezpieczeństwa.
   • Kim są pomioty ważne i kluczowe w rozumieniu dyrektywy NIS2?
   • Identyfikacja i rejestracja podmiotów kluczowych i podmiotów ważnych wg. projektu UKSC.
4. Środki zarządzania ryzykiem jako podstawa zapewnienia cyberbezpieczeństwa w organizacji.
   
   • Podstawowe środki zarządzania ryzykiem w cyberbezpieczeństwie zgodnie z NIS.
   • Ogólne zasady stosowania środków zarządzania ryzykiem.
   • Jak oceniać czy stosowane środki są „odpowiednie”?
   • Normy ISO oraz inne normy a wdrażanie środków zarządzania ryzykiem.
   • Jak konkretyzować w praktyce ogólne wymogi i dobierać właściwe środki techniczne?
5. Cyberbezpieczeństwo łańcucha dostaw.
   • Incydenty w łańcuchu dostaw – znaczenie cyberbezpieczeństwa.
   • Obowiązki wynikające z NIS2, DORA oraz UKSC dotyczące łańcucha dostaw.
   • Dobre praktyki w zakresie cyberbezpieczeństwa łańcucha dostaw – regulacje wewnętrzne i kontraktowe.
   • Kiedy, jak i jakich dostawców weryfikować w zakresie cyberbezpieczeństwa, aby wypełnić wymagania wynikające z NIS2?
   • Bezpieczeństwo łańcucha dostaw a Prawo zamówień publicznych.
6. Cyberbezpieczeństwo w umowach.
   
   • Rodzaje umów w zakresie cyberbezpieczeństwa:
     • NDA,
     • umowy outsourcingu,
     • umowy na pentesty,
     • umowy IT: wdrożenia, serwis, licencje ze wsparciem technicznym.
   • Jakie kwestie warto wziąć pod uwagę na różnym etapie współpracy z dostawcą:
     • przygotowanie i negocjacje umowy,
     • realizacja umowy.
   • Zasady odpowiedzialności wynikające z przepisów i możliwość ich modyfikacji w umowie.
7. Odpowiedzialność za naruszenie cyberbezpieczeństwa.
   
   • Rodzaje odpowiedzialności za naruszenie cyberbezpieczeństwa:
     • odpowiedzialność administracyjna,
     • odpowiedzialność karna,
     • odpowiedzialność pracownicza,
     • odpowiedzialność cywilna.
   • Krajowy system cyberbezpieczeństwa:
     • uprawnienia organu właściwego ds. cyberbezpieczeństwa,
     • nadzór i kontrola,
     • wysokość i podstawy do nałożenia kar,
     • na kogo może zostać nałożona kara?
   • Inne podstawy odpowiedzialności administracyjnej – RODO i regulacje sektorowe.
   • Odpowiedzialność karna:
     • przestępstwa przeciwko ochronie informacji,
     • tryb ścigania i aspekty dowodowe.
   • Odpowiedzialność pracownicza:
     • sposób regulacji odpowiedzialności w umowie i regulacjach wewnętrznych,
     • zakres odpowiedzialności i tryb jej egzekwowania.
   • Odpowiedzialność cywilna:
     • za co odpowiada dostawca IT?
     • roszczenia odszkodowawcze i kary umowne,
     • znaczenie norm i przepisów branżowych,
     • case studies – wyłączenie odpowiedzialności,
     • cyberpolisy.