Komisja Europejska opublikowała wytyczne, które wyjaśniają, jak stosować art. 4 NIS2 – czyli kiedy NIS2 ma zastosowanie wprost, a kiedy „zastępują ją” wymogi cyberbezpieczeństwa z innych, sektorowych aktów prawnych UE. Dokument pomaga organizacjom i instytucjom zrozumieć zasady równoważności obowiązków (risk management i raportowanie incydentów) oraz konsekwencje nadzoru i egzekwowania przepisów.
Wytyczne wyjaśniają związek NIS2 z obecnymi i przyszłymi sektorowymi aktami prawnymi UE, które wprowadzają środki zarządzania ryzykiem w cyberbezpieczeństwie lub obowiązki zgłaszania incydentów.
Jeśli sektorowy akt prawny UE wymaga od podmiotów środków zarządzania ryzykiem lub raportowania incydentów, a te wymogi są co najmniej równoważne „pod względem skutku” do NIS2, to odpowiednie przepisy NIS2 (w tym o nadzorze i egzekwowaniu) nie mają zastosowania do tych podmiotów.
Wymogi sektorowe są uznawane za równoważne, jeśli są co najmniej równoważne do środków z art. 21 ust. 1–2 NIS2 (mogą być też bardziej szczegółowe).
Obowiązek wdrożenia odpowiednich i proporcjonalnych środków (opartych na analizie ryzyka) dotyczy wszystkich działalności i usług podmiotu, a nie wyłącznie wybranych zasobów IT czy pojedynczych usług krytycznych.
Wytyczne przypominają, że bezpieczeństwo obejmuje odporność na zdarzenia naruszające dostępność, autentyczność, integralność i poufność, a „sieci i systemy informatyczne” obejmują również sprzęt, firmware i oprogramowanie wykorzystywane w działalności.
Środki zarządzania ryzykiem mają chronić nie tylko przed cyberatakami, ale także przed zdarzeniami typu sabotaż, kradzież, pożar, powódź, awaria łączności lub zasilania oraz nieuprawniony dostęp fizyczny (bo to również może prowadzić do incydentów).
NIS2 przewiduje wieloetapowe raportowanie: wczesne ostrzeżenie w 24h, zgłoszenie incydentu w 72h, a następnie raport końcowy (co do zasady) w terminie do miesiąca – z możliwością raportów pośrednich.
Jeśli wymogi sektorowe są równoważne, to nie stosuje się nie tylko obowiązków NIS2 dot. risk management/raportowania, ale też przepisów o nadzorze i egzekwowaniu z rozdziału VII NIS2.
W dodatku wskazano m.in. DORA jako sektorowy akt prawny dla podmiotów finansowych – w takim układzie to DORA „zastępuje” NIS2 w zakresie wskazanych obowiązków.
