Browsing Tag

dyrektywa nis

cyberbezpieczeństwo prawo IT

Dostawcy usług cyfrowych muszą dbać o cyberbezpieczeństwo

21 listopada 2017
cyberbezpieczeństwo

Główne założenia ustawy

Ostatnimi czasy na łamach portalu BiznesAlert przedstawiliśmy krótką analizę nowego projektu ustawy o krajowym systemie cyberbezpieczeństwa, implementującej europejską dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”), w kontekście przedsiębiorstw kluczowych dla gospodarek państwowych.

Jednakże, opisywany przez nas projekt nie ogranicza się wyłącznie do uregulowania statusu oraz nałożenia obowiązków i praw na operatorów kluczowych. Ustawa dotyka również następujących kwestii:

  • organizacji krajowego systemu cyberbezpieczeństwa,
  • zadań i obowiązków podmiotów wchodzących w skład ww. systemu (w tym operatorów kluczowych, dostawców usług cyfrowych, podmiotów publicznych),
  • sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy przez ww. jednostki,
  • zakresu oraz trybu stanowienia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Kim są dostawcy usług cyfrowych?

Niniejszym artykułem pragniemy przybliżyć obowiązki nałożone na kolejną kategorię podmiotów odpowiedzialnych za cyberbezpieczeństwo. Jak bowiem wynika z projektu ustawy, do zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych – oprócz usługodawców prowadzących działalność w sektorach priorytetowych dla gospodarki i społeczeństwa – będą również zobowiązani tzw. dostawcy usług cyfrowych.

Na gruncie projektowanej ustawy pod pojęciem dostawców usług cyfrowych określamy:

  • podmioty świadczące usługi cyfrowe, w tym internetowe platformy handlowe (Allegro, eBay, AliExpress), usługi przetwarzania w chmurze (Microsoft Azure, Dropbox), wyszukiwarki internetowe (Google, Yahoo, DuckDuckGo),
  • zatrudniające nie mniej niż 50 pracowników,
  • osiągające roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz operacji finansowych przekraczający równowartość w złotych 10 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat przekroczyły równowartości w złotych 10 milionów euro.

W jaki sposób usługodawcy mają zapewnić cyberbezpieczeństwo?

Usługodawcy cyfrowi zostali zobowiązani do wdrożenia odpowiedniego systemu zarządzania incydentami. System ten – przy pomocy proporcjonalnych do ryzyka środków technicznych i zabezpieczających – ma zapewnić cyberbezpieczeństwo świadczonych przez nich usług. Pomimo prozaicznej treści takiego przepisu, prawne zobligowanie dostawców cyfrowych do zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych zdaje się być w dzisiejszych czasach być potrzebne i konieczne. Wskazują na to chociażby szeroko opisywane przez prasę zagraniczną incydenty; np. wyciek danych osobowych około 77 mln konsumentów, korzystających z usług Sony Playstation Network.

Powyższe wydarzenia dowodzą jedynie jak bardzo elastycznie przedsiębiorstwa winny podchodzić do wdrożenia odpowiednich zabezpieczeń. Ustawodawca europejski i polski, zauważając ten problem, zobligował usługodawców cyfrowych do ciągłego uwzględniania najnowszego w tym przedmiocie stanu wiedzy. Rozwój techniczny w obszarze cyberbezpieczeństwa ma zapewnić powstanie środków zabezpieczających oraz minimalizujących wpływ incydentów na funkcjonowanie sieci i systemów informatycznych przedsiębiorców.

Dostawcy cyfrowi zostaną również zobligowani do identyfikacji incydentów, ich klasyfikacji oraz zgłaszania istotnych naruszeń do CIRST NASK. Tego rodzaju informacje usługodawcy powinni również zgłaszać operatorom usługi kluczowej, którzy świadczą swoje usługi za pośrednictwem podmiotów dostarczających platformy i aplikacje cyfrowe.

Prawo właściwe

Świadczenie usług cyfrowych na terytorium UE oraz EFTA będzie podlegać prawu polskiemu, w przypadku gdy główna siedziba dostawcy (utożsamiana z siedzibą zarządu przedsiębiorstwa) znajduje się w RP. Prawu polskiemu będzie również podlegać ten usługodawca, który świadczy usługi w kliku państwach i wyznacza przedstawiciela, działającego na terytorium RP. Natomiast, gdy serwer informatyczny będzie się znajdował w innym miejscu niż fizyczna siedziba dostawcy, organy RP będą dodatkowo zobligowane do współpracy i udzielania pomocy analogicznym instytucjom w państwie położenia przedmiotowego serwera.

 

O obowiązkach przedsiębiorstw kluczowych na gruncie projektu ustawy o krajowym systemie cyberbezpieczeństwa pisała Aleksandra Modzelewska na portalu Biznes Alert w artykule pt.: „Cyberbezpieczeństwo przedsiębiorstw kluczowych„.

O dyrektywie NIS pisała na portalu Biznes Alert Ewelina Ocipińska w artykule pt.: „Czy implementacja dyrektywy NIS poprawi cyberbezpieczeństwo w UE?„. Artykuł został również opublikowany na blogu IP Procesowo.

cyberbezpieczeństwo prawo IT

Czy implementacja dyrektywy NIS poprawi cyberbezpieczeństwo w UE?

17 października 2016

Gwałtowny rozwój technologii informacyjnych sprzyja zwiększeniu efektywności komunikacji, powstawaniu innowacji oraz ułatwieniu świadczenia usług, ale także rodzi ogromne niebezpieczeństwa związane z atakami na sieci informatyczne. Skalę problemu ilustruje „2016 Security Report” przygotowany przez Check Point Software Technologies Ltd, zgodnie z którym w przeciętnym przedsiębiorstwie co 4 sekundy ściągane jest nieznane złośliwe oprogramowanie, co 32 minuty dane wrażliwe wysyłane są poza serwery przedsiębiorstwa, a straty przedsiębiorstw związane z utratą danych wzrosły w ostatnich 3 latach o 400 %. W samym 2015 roku wykryto prawie 144 miliony (!) rodzajów nowego złośliwego oprogramowania. Nie ulega zatem wątpliwości, że niezbędne jest skonstruowanie narzędzi zapewniających globalne cyberbezpieczeństwo.

Z tego względu w dniu 06.07.2016 r. Parlament Europejski przyjął dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”). Dyrektywa NIS została przyjęta jako odpowiedź na zagrożenia związane z cyberbezpieczeństwem na terytorium Unii Europejskiej – wcześniej bowiem kwestia ta nie została w odpowiedni sposób uregulowana. Wprawdzie przyjmowane były takie dokumenty, jak np. dyrektywa dotycząca ataków na systemy informatyczne (2013/40/UE) czy dyrektywa w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (2008/114/WE), jednak nie ujednolicały one w odpowiednim stopniu przepisów oraz strategii państw członkowskich w zakresie cyberbezpieczeństwa. Wdrożenie Dyrektywy NIS ma natomiast stanowić „całościowe podejście na poziomie Unii, obejmujące wymogi dotyczące budowania i planowania wspólnych minimalnych zdolności, wymianę informacji, współpracę oraz wspólne wymogi w zakresie bezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych”.

Zakres podmiotowy Dyrektywy NIS obejmuje dostawców usług cyfrowych (takich jak wyszukiwarki, usługi oferowane w chmurze) oraz operatorów tzw. usług kluczowych, czyli operatorów z sektorów: energetyki (energia elektryczna, ropa naftowa, gaz), transportu (lotniczego, kolejowego, wodnego, drogowego), bankowości, rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną i jej dystrybucję. Dyrektywa NIS rozkłada prawa i obowiązki związane z cyberbezpieczeństwem pomiędzy podmioty prywatne i publiczne. Akt ten ma na celu osiągnięcie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w UE, poprzez m.in. usprawnienie przekazu informacji o pojawiających się zagrożeniach pomiędzy państwami UE oraz podmiotami sektora krytycznego oraz ujednolicenie standardów ochrony.

Cele dyrektywy mają zostać osiągnięte poprzez:

  • ustanowienie obowiązków dla państw członkowskich dotyczących przyjęcia krajowej strategii cyberbezpieczeństwa;
  • utworzenie sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT);
  • stworzenie grupy współpracy zapewniającej strategiczną współpracę oraz wymianę informacji;
  • ustanowienie wymogów dotyczących bezpieczeństwa sieci i informacji oraz zgłaszania incydentów;
  • ustanowienie obowiązków dotyczących wyznaczania przez państwa członkowskie organów krajowych, punktów kontaktowych oraz CSIRT, którym powierzone zostaną zadania związane z cyberbezpieczeństwem.

Szczególną rolę we wdrażaniu dyrektywy będzie odgrywać Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA), której zadaniem jest koordynowanie współpracy pomiędzy państwami członkowskimi w zakresie cyberbezpieczeństwa.

Co najistotniejsze, na mocy postanowień Dyrektywy NIS państwa członkowskie obowiązane są zapewnić, aby operatorzy usług kluczowych, a także dostawcy usług cyfrowych (a zatem także podmioty prywatne), zgłaszali właściwemu organowi krajowemu lub CSIRT incydenty związane z bezpieczeństwem ich sieci informatycznych. Wyznaczone organy krajowe powinny dysponować odpowiednimi narzędziami pozwalającymi na weryfikację, czy podmioty te rzeczywiście wywiązują się ze swoich obowiązków. Łatwo bowiem wyobrazić sobie sytuację, w której np. banki niechętnie będą zgłaszały ataki na swoje sieci informatyczne, obawiając się utraty dobrej reputacji.

Dyrektywa NIS weszła w życie w sierpniu 2016 r. Od tego momentu państwa członkowskie mają 21 miesięcy na implementację jej postanowień do przepisów prawa krajowego oraz 6 miesięcy na określenie dostawców kluczowych usług. Ministerstwo Cyfryzacji RP obecnie pracuje nad projektem ustawy o krajowym systemie bezpieczeństwa oraz nad projektem strategii cyberbezpieczeństwa dla RP. Chociaż pozytywnie należy ocenić próbę kompleksowego uregulowania kwestii cyberbezpieczeństwa wśród krajów Unii Europejskie, w obecnej chwili trudno jest przewidzieć, czy wdrożenie dyrektywy w ustawodawstwo państw członkowskich rzeczywiście będzie efektywne i wpłynie na wzrost cyberbezpieczeństwa oraz, przede wszystkim, czy podmioty prywatne będą należycie wypełniać obowiązki z niej wynikające. Chociaż nie ulega wątpliwości, że kroki podejmowane przez UE są słuszne i niezbędne, to jednak wydaje się, że skala wyzwań związanych z cyberbezpieczeństwem oraz stały wzrost zagrożeń przewyższają możliwości legislacyjne zarówno w skali krajowej, jak i na poziomie międzynarodowym.

Artykuł został wcześniej opublikowany na: http://biznesalert.pl/ocipinska-implementacja-dyrektywy-nis-poprawi-cyberbezpieczenstwo-ue/.