Przeglądana kategoria

cyberbezpieczeństwo

cyberbezpieczeństwo prawo IT

Dostawcy usług cyfrowych muszą dbać o cyberbezpieczeństwo

21 listopada 2017
cyberbezpieczeństwo

Główne założenia ustawy

Ostatnimi czasy na łamach portalu BiznesAlert przedstawiliśmy krótką analizę nowego projektu ustawy o krajowym systemie cyberbezpieczeństwa, implementującej europejską dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”), w kontekście przedsiębiorstw kluczowych dla gospodarek państwowych.

Jednakże, opisywany przez nas projekt nie ogranicza się wyłącznie do uregulowania statusu oraz nałożenia obowiązków i praw na operatorów kluczowych. Ustawa dotyka również następujących kwestii:

  • organizacji krajowego systemu cyberbezpieczeństwa,
  • zadań i obowiązków podmiotów wchodzących w skład ww. systemu (w tym operatorów kluczowych, dostawców usług cyfrowych, podmiotów publicznych),
  • sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy przez ww. jednostki,
  • zakresu oraz trybu stanowienia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Kim są dostawcy usług cyfrowych?

Niniejszym artykułem pragniemy przybliżyć obowiązki nałożone na kolejną kategorię podmiotów odpowiedzialnych za cyberbezpieczeństwo. Jak bowiem wynika z projektu ustawy, do zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych – oprócz usługodawców prowadzących działalność w sektorach priorytetowych dla gospodarki i społeczeństwa – będą również zobowiązani tzw. dostawcy usług cyfrowych.

Na gruncie projektowanej ustawy pod pojęciem dostawców usług cyfrowych określamy:

  • podmioty świadczące usługi cyfrowe, w tym internetowe platformy handlowe (Allegro, eBay, AliExpress), usługi przetwarzania w chmurze (Microsoft Azure, Dropbox), wyszukiwarki internetowe (Google, Yahoo, DuckDuckGo),
  • zatrudniające nie mniej niż 50 pracowników,
  • osiągające roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz operacji finansowych przekraczający równowartość w złotych 10 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat przekroczyły równowartości w złotych 10 milionów euro.

W jaki sposób usługodawcy mają zapewnić cyberbezpieczeństwo?

Usługodawcy cyfrowi zostali zobowiązani do wdrożenia odpowiedniego systemu zarządzania incydentami. System ten – przy pomocy proporcjonalnych do ryzyka środków technicznych i zabezpieczających – ma zapewnić cyberbezpieczeństwo świadczonych przez nich usług. Pomimo prozaicznej treści takiego przepisu, prawne zobligowanie dostawców cyfrowych do zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych zdaje się być w dzisiejszych czasach być potrzebne i konieczne. Wskazują na to chociażby szeroko opisywane przez prasę zagraniczną incydenty; np. wyciek danych osobowych około 77 mln konsumentów, korzystających z usług Sony Playstation Network.

Powyższe wydarzenia dowodzą jedynie jak bardzo elastycznie przedsiębiorstwa winny podchodzić do wdrożenia odpowiednich zabezpieczeń. Ustawodawca europejski i polski, zauważając ten problem, zobligował usługodawców cyfrowych do ciągłego uwzględniania najnowszego w tym przedmiocie stanu wiedzy. Rozwój techniczny w obszarze cyberbezpieczeństwa ma zapewnić powstanie środków zabezpieczających oraz minimalizujących wpływ incydentów na funkcjonowanie sieci i systemów informatycznych przedsiębiorców.

Dostawcy cyfrowi zostaną również zobligowani do identyfikacji incydentów, ich klasyfikacji oraz zgłaszania istotnych naruszeń do CIRST NASK. Tego rodzaju informacje usługodawcy powinni również zgłaszać operatorom usługi kluczowej, którzy świadczą swoje usługi za pośrednictwem podmiotów dostarczających platformy i aplikacje cyfrowe.

Prawo właściwe

Świadczenie usług cyfrowych na terytorium UE oraz EFTA będzie podlegać prawu polskiemu, w przypadku gdy główna siedziba dostawcy (utożsamiana z siedzibą zarządu przedsiębiorstwa) znajduje się w RP. Prawu polskiemu będzie również podlegać ten usługodawca, który świadczy usługi w kliku państwach i wyznacza przedstawiciela, działającego na terytorium RP. Natomiast, gdy serwer informatyczny będzie się znajdował w innym miejscu niż fizyczna siedziba dostawcy, organy RP będą dodatkowo zobligowane do współpracy i udzielania pomocy analogicznym instytucjom w państwie położenia przedmiotowego serwera.

 

O obowiązkach przedsiębiorstw kluczowych na gruncie projektu ustawy o krajowym systemie cyberbezpieczeństwa pisała Aleksandra Modzelewska na portalu Biznes Alert w artykule pt.: „Cyberbezpieczeństwo przedsiębiorstw kluczowych„.

O dyrektywie NIS pisała na portalu Biznes Alert Ewelina Ocipińska w artykule pt.: „Czy implementacja dyrektywy NIS poprawi cyberbezpieczeństwo w UE?„. Artykuł został również opublikowany na blogu IP Procesowo.

cyberbezpieczeństwo ochrona danych osobowych

Nowe rozporządzenie o ochronie danych osobowych wprowadza zmianę modelu ochrony

14 lutego 2017

Głównym motywem zmiany modelu ochrony danych osobowych na terytorium Unii Europejskiej (Europejskiego Obszaru Gospodarczego) była z jednej strony chęć zwiększenia skuteczności ochrony danych osobowych jako prawa podstawowego przewidzianego m.in. w Karcie Praw Podstawowych (art. 8) oraz Traktacie o funkcjonowaniu UE (art. 16), z drugiej zaś konieczność dostosowania unijnych regulacji prawnych do potrzeb wynikających z ciągłego rozwoju nowych technologii oraz postępującej cyfryzacji.

Konieczność zmiany modelu ochrony danych osobowych

Mająca ponad 20 lat Dyrektywa 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (zwana dalej: Dyrektywą) jawiła się jako instrument przestarzały, nieprzystosowany do nowych zjawisk, takich jak komercjalizacja Internetu, intensyfikacja transgranicznego przepływu danych czy też nowych metod przetwarzania danych np. w ramach chmury obliczeniowej (ang. cloud computing). Co więcej, Dyrektywa nie zapewniała w sposób wystarczający bezpieczeństwa danych osobowych obywateli Unii (EOG) w przypadku transferu danych do tzw. „państw trzecich”, czyli państw niebędących członkami UE (EOG). Najlepszym tego przykładem była decyzja Komisji Europejskiej 2000/520/WE uznająca adekwatność zasad programu amerykańskiej „bezpiecznej przystani” (ang. Safe Harbour) wydana na podstawie art. 25 ust. 6 Dyrektywy. Powyższy instrument miał umożliwić swobodny przepływ danych pomiędzy Stanami Zjednoczonymi a Unią Europejską w sytuacji, gdy państwo będące docelowym odbiorcą danych (mowa tu o USA) nie zapewnia adekwatnego poziomu ochrony (?) danych osobowych w rozumieniu Dyrektywy. W omawianym przypadku niespełnienie kluczowej przesłanki warunkującej przekazanie danych poza terytorium UE wiązało się z brakiem federalnych regulacji prawnych dotyczących ochrony danych osobowych. Program „bezpiecznej przystani” miał być w swoim założeniu swoistym kompromisem umożliwiającym pogodzenie dwóch odmiennych porządków prawnych. Ostatecznie Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku z dnia 6 października 2015 r. w sprawie Maximillian Schrems przeciwko Data Protection Commissioner (C-362/14) orzekł o nieważności decyzji 2000/520/WE, a to za sprawą wielu nieprawidłowości ujawnionych w toku postępowania. Po pierwsze, omawiana decyzja uniemożliwiała krajowym organom nadzoru prowadzenie dochodzeń w sprawie skargi dotyczącej nieodpowiedniego stopnia ochrony, czego rezultatem może być zawieszenie dalszego przekazywania danych. Po drugie wykazano, że Komisja Europejska nie wykonała swojego podstawowego zobowiązania polegającego na ocenie, czy Stany Zjednoczone rzeczywiście poprzez swoje ustawodawstwo krajowe lub zobowiązania międzynarodowe zapewniają równoważny stopień ochrony praw podstawowych do gwarantowanego w ramach prawodawstwa Unii.

Jakie zmiany wprowadza Rozporządzenie?

Wraz z wejściem w życie Rozporządzenia doszło do istotnych zmian w unijnym modelu ochrony danych osobowych. Poniżej najważniejsze z nich.

Doprecyzowanie pojęcia „danych osobowych”

Rozporządzenie dokonało znaczącej redefinicji pojęcia „danych osobowych”. Podobnie jak miało to miejsce na gruncie Dyrektywy, dane osobowe to nadal informacje dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania. Niemniej jednak, ze względu na szybki rozwój nowych technologii, pojęcie „danych osobowych” należało rozszerzyć o kolejne kategorie danych, które chociażby w potencjalny sposób mogłyby identyfikować daną osobę tj.: dane lokalizacyjne, adresy IP, identyfikatory internetowe czy też dane dotyczące stanu zdrowia.

Privacy by design / Privacy by default

Ochrona danych w fazie projektowania (ang. privacy by design) oraz ochrona danych w opcji domyślnej (ang. privacy by default) stanowią przykłady nowych zagadnień, jakie wprowadza ogólne rozporządzenie o ochronie danych osobowych. Koncepcja privacy by design zakłada wdrażanie wymogów rozporządzenia już na etapie projektowania pewnych rozwiązań mogących wiązać się z różnego rodzaju zagrożeniami wynikającymi z przetwarzania danych (art. 25 ust. 1 Rozporządzenia). Z kolei privacy by default wprowadza wymóg wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych po to, aby procesowi przetwarzania podlegały wyłącznie dane osobowe niezbędne dla osiągnięcia konkretnego celu (art. 25 ust. 2 Rozporządzenia).

Prawo do bycia zapomnianym

Prawo do bycia zapomnianym (ang. right to be forgotten), zwane również prawem do usunięcia danych (ang. right to erasure), to zupełnie nowa instytucja na gruncie europejskiego prawa ochrony danych osobowych. Pierwszy raz na temat prawa do bycia zapomnianym wypowiedział się TSUE na kanwie sprawy Google Spain (C-131/12). Wymieniona sprawa dotyczyła możliwości przetwarzania danych przez wyszukiwarki internetowe poprzez ujawnienie informacji dotyczących określonych osób, w tym na stronach internetowych innych podmiotów, w postaci listy wyników wyszukiwania. Trybunał Sprawiedliwości Unii Europejskiej uznał, że działalność wykonywana przez operatorów wyszukiwarek internetowych może być zakwalifikowana jako przetwarzanie danych. Co więcej, Trybunał potwierdził istnienie prawa, które na gruncie Dyrektywy nie zostało wprost wyrażone – mowa tu oczywiście o prawie do bycia zapomnianym. Zdaniem TSUE osoby fizyczne muszą mieć zapewnioną możliwość zgłoszenia roszczenia w przedmiocie usunięcia danych ich dotyczących z listy wyszukiwania wyszukiwarki, w tym ze stron internetowych osób trzecich. W aktualnym stanie prawnym prawo do bycia zapomnianym zostało wyrażone expressis verbis w art. 17 Rozporządzenia. W myśl przytoczonego przepisu, administrator danych jest zobowiązany do niezwłocznego usunięcia danych, jeśli zachodzi jedna poniższych przesłanek:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

  • osoba, której dane dotyczą, cofnęła zgodę na ich przetwarzanie i nie ma innej podstawy prawnej przetwarzania – chodzi tutaj głownie o przypadki profilowania danych;

  • osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;

  • dane osobowe były przetwarzane niezgodnie z prawem;

  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE lub prawie państwa członkowskiego, któremu podlega administrator;

  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

Ograniczenie profilowania

Zgodnie z motywem 71 Rozporządzenia profilowanie to jedna z form przetwarzania danych polegająca na ocenie niektórych aspektów danych życia osobistego w ramach automatycznego przetwarzania danych. Profilowanie jest narzędziem często wykorzystywanym przez firmy z branży marketingowej oraz e-commerce, ponieważ pozwala analizować oraz prognozować chociażby takie czynniki jak efekty pracy, sytuację ekonomiczną, stan zdrowia czy osobiste preferencje danej osoby. Według ustawodawcy unijnego podejmowanie konkretnych decyzji wobec podmiotów, których dane dotyczą, w oparciu o dane zabrane w toku profilowania może mieć miejsce jedynie w ściśle określonych sytuacjach. Mianowicie, profilowanie jest dozwolone na gruncie prawa UE albo prawa państwa członkowskiego, któremu podlega administrator danych. Ponadto profilowanie można wykorzystywać 1) w celu monitorowania i zapobiegania oszustwom uchylania się od podatków, 2) gdy profilowanie jest konieczne do zapewnienia bezpieczeństwa i niezawodności usług świadczonych przez administratora danych albo 3) gdy jest to niezbędne do zawarcia lub wykonania umowy zawartej pomiędzy osobą, której dane dotyczą, a administratorem danych. Zgoda podmiotu danych jest również jedną z przesłanek legalizujących profilowanie. Jeśli czynności profilowania są dokonywane w innych przypadkach niż te wymienione powyżej, osobie fizycznej przysługuje prawo do zgłoszenia sprzeciwu (art. 21 Rozporządzenia).

Mechanizm One-stop-shop

Pewnym ułatwieniem zarówno dla administratorów danych jak i podmiotów danych jest wprowadzenie tzw. one-stop-shop („mechanizm kompleksowej współpracy”), który dotyczy przedsiębiorców (administratorów) podejmujących działalność transgraniczną. Koncepcja one-stop-shop w swoim zamyśle polega na tym, że kompetencje nadzorcze administratora danych działającego na terytorium więcej niż jednego państwa członkowskiego zostaną przyznane organowi nadzorczemu (regulatorowi) właściwemu ze względu na miejsce dominującej działalności administratora. Dzięki temu wszelkie rozstrzygnięcia nadzorcze będą respektowane w pozostałych krajach UE. Niewątpliwie takie rozwiązanie w istotnym sposób przyczyni się do zmniejszenia obciążeń o charakterze administracyjnym. Co więcej, omawiany mechanizm będzie istotnym ułatwieniem dla podmiotów danych, ponieważ skargi w sprawie nieprawidłowego przetwarzania danych ich dotyczących, będzie można zgłosić w dowolnym państwie członkowskim z obowiązkiem ich przekazania właściwemu organowi nadzorczemu.

Obowiązek wyznaczenia inspektora ochrony danych

Oprócz przyznania nowych praw podmiotom danych, Rozporządzenie nakłada również dodatkowe obowiązki na administratorów danych. Dotychczasowy administrator bezpieczeństwa informacji (ABI) zmieni nazwę na inspektora ochrony danych. Co ważne, grupa przedsiębiorstw (jak w Rozporządzeniu określana jest grupa kapitałowa) może wyznaczyć jednego inspektora ochrony danych, pod warunkiem, że każda z jednostek organizacyjnych będzie mogła z nim łatwo nawiązać kontakt. Rozporządzenie ustanawia obowiązek powołania inspektora ochrony danych osobowych w następujących przypadkach:

  • przetwarzanie danych przez organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości);

  • główna działalność administratora/podmiotu przetwarzającego polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób na dużą skalę;

  • główna działalność administratora/podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę wrażliwych danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Warto w tym miejscu nadmienić, że w poprzednim stanie prawnym wyznaczenie administratora bezpieczeństwa danych miało charakter fakultatywny.

Wśród głównych zadań inspektora ochrony danych wskazanych w Rozporządzeniu można wymienić m.in.: czuwanie nad przestrzeganiem przepisów Rozporządzenia przez organy administratora danych oraz pracowników administratora, kontaktowaniem się z organem nadzoru (np.: polskim GIODO) w celu zgłoszenia naruszeń wynikających z nieprzestrzegania Rozporządzenia, czy też wydawanie zaleceń dotyczących ochrony danych osobowych. W porównaniu do wcześniejszych regulacji, rozszerzono katalog kompetencji przysługujących inspektorowi ochrony danych przy jednoczesnym zwiększeniu ciążących na nim obowiązków.

Europejska Rada Ochrony Danych

Na mocy Rozporządzenia ustanowiono nowy organ UE – Europejską Radę Ochrony Danych (dalej: „EROD”), która zastąpi Grupę Roboczą powołaną na mocy art. 29 Dyrektywy. Podobnie jak Grupa Robocza, EROD ma być ciałem doradczym Komisji Europejskiej w zakresie ochrony danych osobowych. W świetle art. 70 Rozporządzenia do głównych zadań EROD należy zapewnienie spójnego stosowania Rozporządzenia m.in. poprzez monitorowanie jego stosowania, doradzanie Komisji Europejskiej w sprawach związanych z ochroną danych osobowych czy wydawanie wytycznych, zaleceń oraz określanie najlepszych praktyk.

Co istotne, Rada będzie rozstrzygać spory o właściwość pomiędzy organami nadzorczymi a także spory w sytuacjach, w których zgłoszono sprzeciw do projektu decyzji organu wiodącego.

Kary za naruszenie Rozporządzenia

W Rozporządzeniu przewidziano wysokie („w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”) kary pieniężne dla podmiotów, które nie będą się stosować do regulacji Rozporządzenia. Kary pieniężne dla przedsiębiorstwa, w zależności od naruszenia, stosowane będą w wysokości do 2% lub do 4% (w przypadku cięższego naruszenia) całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego danego przedsiębiorcy.

Wejście w życie i stosowanie Rozporządzenia

Jak wspomniano na początku niniejszego artykułu, Rozporządzenie weszło w życie 17 maja 2016 r., a jego przepisy będą obowiązywać od 25 maja 2018 r. (w tym dniu uchylona zostanie Dyrektywa 95/46). Przedsiębiorcy powinni zatem do tego czasu przystosować swoje wewnętrzne procedury tak, aby spełniały one wymogi Rozporządzenia. Należy bowiem nadmienić, że posłużenie się w ramach reformy unijnego prawa ochrony danych osobowych aktem prawnym, jakim jest rozporządzenie, ma swoje istotne konsekwencje. Zgodnie z art. 288 TFUE rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. W przeciwieństwie do dyrektywy rozporządzenie nie wymaga implementacji (transpozycji) do krajowych porządków prawnych. Dzięki temu dojdzie do ujednolicenia stosowania prawa na całym terytorium Unii Europejskiej (EOG) – zlikwidowana zostanie „mozaika” ustawodawstw państw członkowskich w zakresie ochrony danych osobowych, które w wielu przypadkach bardzo różniły się między sobą, ponieważ Dyrektywa, jako akt harmonizacji minimalnej, zobowiązuje jedynie do wdrożenia odpowiednich środków wyznaczających dolny pułap ochrony, zaś w pozostałym zakresie pozostawia państwom członkowskim margines swobody, jeśli chodzi o bardziej restrykcyjne uregulowania (motyw 8 i 9 Dyrektywy).

Współautorami wpisu są Ewelina Ocipińska i Hubert Kutkiewicz

cyberbezpieczeństwo prawo IT

Czy implementacja dyrektywy NIS poprawi cyberbezpieczeństwo w UE?

17 października 2016

Gwałtowny rozwój technologii informacyjnych sprzyja zwiększeniu efektywności komunikacji, powstawaniu innowacji oraz ułatwieniu świadczenia usług, ale także rodzi ogromne niebezpieczeństwa związane z atakami na sieci informatyczne. Skalę problemu ilustruje „2016 Security Report” przygotowany przez Check Point Software Technologies Ltd, zgodnie z którym w przeciętnym przedsiębiorstwie co 4 sekundy ściągane jest nieznane złośliwe oprogramowanie, co 32 minuty dane wrażliwe wysyłane są poza serwery przedsiębiorstwa, a straty przedsiębiorstw związane z utratą danych wzrosły w ostatnich 3 latach o 400 %. W samym 2015 roku wykryto prawie 144 miliony (!) rodzajów nowego złośliwego oprogramowania. Nie ulega zatem wątpliwości, że niezbędne jest skonstruowanie narzędzi zapewniających globalne cyberbezpieczeństwo.

Z tego względu w dniu 06.07.2016 r. Parlament Europejski przyjął dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”). Dyrektywa NIS została przyjęta jako odpowiedź na zagrożenia związane z cyberbezpieczeństwem na terytorium Unii Europejskiej – wcześniej bowiem kwestia ta nie została w odpowiedni sposób uregulowana. Wprawdzie przyjmowane były takie dokumenty, jak np. dyrektywa dotycząca ataków na systemy informatyczne (2013/40/UE) czy dyrektywa w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (2008/114/WE), jednak nie ujednolicały one w odpowiednim stopniu przepisów oraz strategii państw członkowskich w zakresie cyberbezpieczeństwa. Wdrożenie Dyrektywy NIS ma natomiast stanowić „całościowe podejście na poziomie Unii, obejmujące wymogi dotyczące budowania i planowania wspólnych minimalnych zdolności, wymianę informacji, współpracę oraz wspólne wymogi w zakresie bezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych”.

Zakres podmiotowy Dyrektywy NIS obejmuje dostawców usług cyfrowych (takich jak wyszukiwarki, usługi oferowane w chmurze) oraz operatorów tzw. usług kluczowych, czyli operatorów z sektorów: energetyki (energia elektryczna, ropa naftowa, gaz), transportu (lotniczego, kolejowego, wodnego, drogowego), bankowości, rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną i jej dystrybucję. Dyrektywa NIS rozkłada prawa i obowiązki związane z cyberbezpieczeństwem pomiędzy podmioty prywatne i publiczne. Akt ten ma na celu osiągnięcie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w UE, poprzez m.in. usprawnienie przekazu informacji o pojawiających się zagrożeniach pomiędzy państwami UE oraz podmiotami sektora krytycznego oraz ujednolicenie standardów ochrony.

Cele dyrektywy mają zostać osiągnięte poprzez:

  • ustanowienie obowiązków dla państw członkowskich dotyczących przyjęcia krajowej strategii cyberbezpieczeństwa;
  • utworzenie sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT);
  • stworzenie grupy współpracy zapewniającej strategiczną współpracę oraz wymianę informacji;
  • ustanowienie wymogów dotyczących bezpieczeństwa sieci i informacji oraz zgłaszania incydentów;
  • ustanowienie obowiązków dotyczących wyznaczania przez państwa członkowskie organów krajowych, punktów kontaktowych oraz CSIRT, którym powierzone zostaną zadania związane z cyberbezpieczeństwem.

Szczególną rolę we wdrażaniu dyrektywy będzie odgrywać Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA), której zadaniem jest koordynowanie współpracy pomiędzy państwami członkowskimi w zakresie cyberbezpieczeństwa.

Co najistotniejsze, na mocy postanowień Dyrektywy NIS państwa członkowskie obowiązane są zapewnić, aby operatorzy usług kluczowych, a także dostawcy usług cyfrowych (a zatem także podmioty prywatne), zgłaszali właściwemu organowi krajowemu lub CSIRT incydenty związane z bezpieczeństwem ich sieci informatycznych. Wyznaczone organy krajowe powinny dysponować odpowiednimi narzędziami pozwalającymi na weryfikację, czy podmioty te rzeczywiście wywiązują się ze swoich obowiązków. Łatwo bowiem wyobrazić sobie sytuację, w której np. banki niechętnie będą zgłaszały ataki na swoje sieci informatyczne, obawiając się utraty dobrej reputacji.

Dyrektywa NIS weszła w życie w sierpniu 2016 r. Od tego momentu państwa członkowskie mają 21 miesięcy na implementację jej postanowień do przepisów prawa krajowego oraz 6 miesięcy na określenie dostawców kluczowych usług. Ministerstwo Cyfryzacji RP obecnie pracuje nad projektem ustawy o krajowym systemie bezpieczeństwa oraz nad projektem strategii cyberbezpieczeństwa dla RP. Chociaż pozytywnie należy ocenić próbę kompleksowego uregulowania kwestii cyberbezpieczeństwa wśród krajów Unii Europejskie, w obecnej chwili trudno jest przewidzieć, czy wdrożenie dyrektywy w ustawodawstwo państw członkowskich rzeczywiście będzie efektywne i wpłynie na wzrost cyberbezpieczeństwa oraz, przede wszystkim, czy podmioty prywatne będą należycie wypełniać obowiązki z niej wynikające. Chociaż nie ulega wątpliwości, że kroki podejmowane przez UE są słuszne i niezbędne, to jednak wydaje się, że skala wyzwań związanych z cyberbezpieczeństwem oraz stały wzrost zagrożeń przewyższają możliwości legislacyjne zarówno w skali krajowej, jak i na poziomie międzynarodowym.

Artykuł został wcześniej opublikowany na: http://biznesalert.pl/ocipinska-implementacja-dyrektywy-nis-poprawi-cyberbezpieczenstwo-ue/.