Nowa odsłona cyberbezpieczeństwa

Do klasyfikacji informacji ma służyć kryptografia oraz szyfrowanie.

Aktualizacja: 22.06.2021 11:02 Publikacja: 22.06.2021 02:00

Nowa odsłona cyberbezpieczeństwa

Foto: Fot./Adobestock

Początki dyrektywy NIS sięgają 2016 r., kiedy została przyjęta przez państwa członkowskie UE, stanowiąc pierwsze europejskie prawo cyberbezpieczeństwa (dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii). Dyrektywa jest nieznaczną harmonizacją, wyznaczając określone minimalne warunki, które należy spełniać. Nie ogranicza przy tym możliwości państw członkowskich regulowania problematyki cyberbezpieczeństwa administracji publicznej, opierając się w szczególności na współpracy zarówno międzynarodowej, jak i krajowej poprzez wprowadzenie obowiązku raportowania incydentów oraz odpowiedniego zarządzania ryzykiem dla operatorów usług kluczowych i dostawców usług cyfrowych.

Czytaj także: Hejt, groźby, cyberprzemoc, seksualne wykorzystywanie dzieci -zgłoś nielegalne treści w internecie

W grudniu 2020 r. Komisja Europejska zaprezentowała nową koncepcję cyberbezpieczeństwa, nowej kompleksowej regulacji, nazwanej dyrektywą NIS 2 (dalej: dyrektywa). Przepisy dyrektywy mają zupełnie zastąpić dyrektywę NIS, usuwając jej słabości i znaczące różnice w implementacji między poszczególnymi państwami członkowskimi UE.

Komisja Europejska nie zdecydowała się przy tym na regulację powyższego zagadnienia w rozporządzeniu. Pakiet proponowany przez KE składa się w szczególności ze strategii cyberbezpieczeństwa Unii Europejskiej, dyrektywy w sprawie odporności infrastruktury krytycznej, dyrektywy, oraz raportu o wpływie rekomendacji KE z 26 marca 2019 r. na cyberbezpieczeństwo sieci 5G.

Modyfikacja i udoskonalenie

Biorąc pod uwagę powyższe, ustawodawca UE zdecydował, że tym razem to sama dyrektywa określi krąg podmiotów, które będą podlegać jej regulacjom. W poszukiwaniu jednolitego kryterium zdecydowano, że opierać się będzie na kryterium wielkości podmiotu. Wyłączono więc mikro- i małych przedsiębiorców, ale z pewnymi wyjątkami. Wskazano też, że każdy średni i duży przedsiębiorca prowadzący działalność wymienioną w załączniku do propozycji dyrektywy, powinien być objęty jej regulacją. ENISA (unijna Ugencja ds. Cyberbezpieczeństwa) prowadzić będzie rejestr podmiotów objętych dyrektywą i, co ważne, do którego wspomniane podmioty powinny same się zgłosić.

Dyrektywa obejmuje szerszy krąg podmiotów, gdyż rozszerza sektory i rodzaje działalności na te, które nie podlegały dotychczas przepisom o cyberbezpieczeństwie (dyrektywa NIS).

Właściwe wydaje się rozszerzenie regulacji o cyberbezpieczeństwie na serwisy społecznościowe, oraz na dostawców publicznych sieci łączności elektronicznej i dostawców usług łączności elektronicznej, jeśli są one powszechnie dostępne. Dodatkowo dyrektywa obejmie swoją regulacją wyszukiwarki internetowe, dostawców usług cloud computing, oraz internetowych platform handlowych.

Nałożone zostały na wszystkie wyróżnione w dyrektywie podmioty zwiększone wymagania w zarządzaniu, obsłudze i ujawnieniu luk w zabezpieczeniach (w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci informatycznych). Ponadto mocny nacisk dyrektywa kładzie na testowanie poziomu cyberbezpieczeństwa i wykorzystywania szyfrowania (testowanie i audyt, służą ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa). Zarządzanie kryzysowe, w szczególności analiza i przeprowadzanie testów w celu utrzymania ciągłości działania systemu jest pożądana.

Przebudowano istniejący w dyrektywie NIS podział operatorów usług kluczowych i dostawców usług cyfrowych na kluczowe i istotne podmioty, oraz rozszerzono sektory i rodzaje usług, w których te podmioty działają (grupy podmiotów zostały określone w załączniku do propozycji dyrektywy).

Projektowana dyrektywa wprowadza wymóg sporządzenia analizy ryzyka oraz polityki bezpieczeństwa systemów informatycznych, co obowiązkowo musi być udokumentowane przez każdy podmiot wskazany w dyrektywie. Dokładniejsze informacje o sposobie raportowania incydentów, czyli zapobieganie, wykrywanie oraz szybkie reagowanie na nie prowadzi do budowy skutecznego i poprawnie funkcjonującego systemu. Kierownictwo firm będzie odpowiedzialne za działania zgodne z wynikami zarządzania ryzykiem w cyberbezpieczeństwie. Przepisy dyrektywy nakładają obowiązek wykorzystywania kryptografii oraz szyfrowania w celu klasyfikacji informacji (wyszczególnienie które z nich należy wysoce chronić).

Najważniejsze podmioty podlegają takim samym wymogom zarządzania ryzykiem i obowiązkom sprawozdawczym, co nie znaczy, że w dyrektywie zrezygnowano z podejścia opartego na ryzyku. Świadczy to jedynie o tym, że ustawa implementująca dyrektywę nie powinna rozróżniać obowiązków kluczowych i istotnych podmiotów, jak było w ustawie z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

W związku z opisanym podejściem opartym na ryzyku kraje członkowskie UE są zobowiązane, w związku z przepisami zawartymi w dyrektywie, podjąć stosowne, proporcjonalne środki techniczne i organizacyjne celem zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych, wykorzystywanych przy świadczeniu swoich usług. Przepisy projektowanej dyrektywy stanowią, że systemy nadzoru i sankcji pomiędzy podmiotami kluczowymi i istotnymi powinny być zróżnicowane, co przełoży się na wysokość kar za naruszenie jej przepisów.

Bez rozbieżności

Propozycje zmian jednoznacznie wskazują, że wyciągnięte zostały wnioski z niedoskonałej i niejednolitej implementacji dyrektywy NIS. Fakt, że Komisja Europejska nie uregulowała powyższych zagadnień w rozporządzeniu, świadczy o próbie wykluczenia rozbieżności w podejściu krajów członkowskich UE do przedmiotowego zagadnienia, przynajmniej w najistotniejszych kwestiach.

Pojawia się jednak pytanie, czy dyrektywa nie obejmuje zbyt szeroko podmiotów z sektorów uznanych za kluczowe i istotne. Właściwe by w związku z tym było dla wszystkich z przedstawionych w załącznikach obszarów wskazanie dodatkowych kryteriów, które określałyby obowiązki wskazanych podmiotów.

Przedstawiona dyrektywa jest dopiero projektem, a ostateczny jej kształt podlegać będzie jeszcze międzypaństwowym uzgodnieniom. Do jej wdrożenia niezbędne będzie, w dalszej perspektywie, wprowadzenie zmian do polskiego systemu cyberbezpieczeństwa, co z pewnością przełoży się na rezygnację z procedury wyznaczania podmiotów decyzją administracyjną.

Autor jest radcą prawnym LL.M. Kancelaria Adwokacka adw. Krzysztof Czeszejko-Sochacki

Konsumenci
Pozew grupowy oszukanych na pompy ciepła. Sąd wydał zabezpieczenie
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Prawo dla Ciebie
PiS wygrywa w Sądzie Najwyższym. Uchwała PKW o rozliczeniu kampanii uchylona
W sądzie i w urzędzie
Już za trzy tygodnie list polecony z urzędu przyjdzie on-line
Dane osobowe
Rekord wyłudzeń kredytów. Eksperci ostrzegają: będzie jeszcze więcej
Materiał Promocyjny
Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite
Prawnicy
Ewa Wrzosek musi odejść. Uderzyła publicznie w ministra Bodnara