W 2023 r. weszła w życie Dyrektywa NIS2 ustanawiająca standardy bezpieczeństwa informatycznego. Nowe przepisy powinny być stosowane we wszystkich krajach Unii Europejskiej od 18 października 2024 r.
Dyrektywa NIS2 (Dyrektywa Unii Europejskiej w sprawie bezpieczeństwa sieci i systemów informacyjnych) to regulacja, która ma na celu zwiększenie bezpieczeństwa cybernetycznego w Europie. Jest ona rozszerzeniem wcześniejszej dyrektywy NIS (Network and Information Security) i dotyczy zwiększenia obowiązków w zakresie ochrony systemów informacyjnych oraz zarządzania ryzykiem cybernetycznym.
Jedną z istotnych zmian w porównaniu z dotychczasową regulacją jest poszerzenie katalogu sektorów objętych działaniem dyrektywy poprzez podział na sektory kluczowe i ważne.
Za podmioty kluczowe uznaje się podmioty z sektorów, takich jak: energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna.
Z kolei podmioty ważne to firmy działające w sektorze usług pocztowych i kurierskich, gospodarowania odpadami, produkcji, wytwarzania i dystrybucji chemikaliów oraz żywności, badań naukowych oraz dostawcy usług cyfrowych.
W kontekście ubezpieczeń od ryzyk cybernetycznych dyrektywa NIS2 może mieć kilka istotnych powiązań:
1. Obowiązki raportowania: Przedsiębiorstwa objęte dyrektywą NIS2 będą zobowiązane do zgłaszania incydentów związanych z bezpieczeństwem cyfrowym. Ubezpieczenie od ryzyk cybernetycznych może obejmować pokrycie kosztów związanych z takim raportowaniem oraz działań naprawczych.
2. Zarządzanie ryzykiem: Dyrektywa NIS2 nakłada obowiązek na organizacje, by wdrażały odpowiednie środki bezpieczeństwa oraz zarządzania ryzykiem cybernetycznym. Polisa może pomóc w całościowym zabezpieczeniu organizacji przed skutkami finansowymi incydentów cybernetycznych, na wypadek gdyby posiadane systemy i procedury zawiodły.
3. Odpowiedzialność prawna: W przypadku incydentów bezpieczeństwa organizacje mogą ponosić odpowiedzialność cywilną. Polisy ubezpieczeniowe mogą obejmować ochronę przed roszczeniami wynikającymi z tych incydentów.
4. Podnoszenie świadomości: Z perspektywy ubezpieczycieli dyrektywa NIS2 może skłonić przedsiębiorstwa do większej dbałości o bezpieczeństwo cyfrowe, co w rezultacie może wpłynąć na warunki ubezpieczenia i stawki.
W praktyce organizacje, które chcą zabezpieczyć się przed ryzykiem cybernetycznym, powinny rozważyć zarówno zgodność z dyrektywą NIS2, jak i odpowiednią polisę ubezpieczeniową, która może stanowić istotne wsparcie w przypadku incydentów związanych z bezpieczeństwem cybernetycznym.
Maciej Strużek
prawnik, broker ubezpieczeniowy Equinum Broker