Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Bezpieczeństwo

Cyberbezpieczeństwo: dyrektywa NIS przyjęta, firmy w UE muszš spełnić nowe wymogi

123RF
Firmy działajšce w krytycznych branżach takich, jak: energia, transport, bankowoœć i ochrona zdrowia oraz usługi cyfrowe (wyszukiwarki, przechowywanie danych w chmurze), będš musiały spełnić nowe unijne standardy dotyczšce wytrzymałoœci ich systemów na ataki hakerów.

Parlament przyjšł w œrodę dyrektywę w sprawie bezpieczeństwa sieci i informacji (NIS), której zadaniem jest ustanowienie wspólnych standardów cyberbezpieczeństwa oraz poprawa współpracy między krajami Unii. Ma to pomóc przedsiębiorstwom skuteczniej stawiać czoła  hakerom, a także  zapobiegać atakom na infrastrukturę cyfrowš, której sieć pokrywa wiele krajów lub całš Unię.

- Incydenty naruszajšce  bezpieczeństwo komputerowe bardzo często majš charakter transgraniczny, a zatem dotyczš więcej niż jednego państwa członkowskiego UE. Fragmentaryczna ochrona bezpieczeństwa wszystkich nas wystawia na coraz większe zagrożenie, w całej Europie. Ta dyrektywa ustanawia wspólny poziom bezpieczeństwa sieci i informacji i wzmacnia współpracę między państwami członkowskimi UE, która pomoże zapobiegać w przyszłoœci cyberatakom na ważne, wzajemnie ze sobš powišzane europejskie systemy  - powiedział poseł sprawozdawca Andreas Schwab z Niemiec.

Zgodnie z dyrektywš państwa członkowskie majš przygotować listy "operatorów usług kluczowych". Chodzi o podmioty działajšce w kluczowych sektorach gospodarki, a także istotne dla  społeczeństwa i tych powodów wymagajšce szczególnej ochrony. To one będš musieli wypełnić obowišzki zwišzane z wymogami jednolitego poziomu bezpieczeństwa i zgłaszania incydentów. Będš to podmioty z takich sektorów jak energetyka, transport, ochrona zdrowia, bankowoœć i zaopatrzenie w wodę pitnš. Państwa członkowskie UE będš miały obowišzek zidentyfikować działajšce w tych dziedzinach podmioty kierujšc się okreœlonymi w dyrektywie kryteriami. Na liœcie znajdš się na przykład podmioty œwiadczšce usługi, które majš kluczowe znaczenie dla "utrzymania krytycznej działalnoœci społecznej lub gospodarczej", a incydenty w dziedzinie bezpieczeństwo sieci miałoby "istotny skutek zakłócajšcy dla œwiadczenia tej usługi".

Niektórzy usługodawcy internetowi, choć nieuznani za kluczowych (operatorzy platform handlowych, wyszukiwarek i usług w chmurze) też będš zobowišzani, choć w mniejszym stopniu, do zapewnienia bezpieczeństwa swojej infrastruktury i zgłaszania poważnych incydentów organom krajowym. Natomiast mikro- i małe przedsiębiorstwa cyfrowe będš zwolnione z tych obowišzków.

Każdy kraj UE będzie zobowišzany do przyjęcia krajowej strategii bezpieczeństwa sieci i informacji. Powstanš strategiczne "grupy współpracy" w celu wymiany informacji i wspierania państw członkowskich w budowaniu potencjału bezpieczeństwa sieci i systemów informatycznych. Państwa członkowskie będš musiały także utworzyć Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). W ramach Zespołów omawiane będš transgraniczne problemy bezpieczeństwa i sposoby skoordynowanej reakcji na nie. Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA) będzie odgrywać kluczowš rolę we wdrażaniu dyrektywy, w szczególnoœci w zakresie koordynowania współpracy między państwami w ramach sieci CSIRT.

Dyrektywa wkrótce zostanie opublikowana w Dzienniku Urzędowym UE i wejdzie w życie dwudziestego dnia po opublikowaniu. Poczšwszy od tego momentu państwa członkowskie będš miały 21 miesięcy na wdrożenie postanowień dyrektywy do prawa krajowego i dodatkowe szeœć miesięcy na opracowanie spisu operatorów usług kluczowych.

ródło: Parlament Europejski

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL