Pojawiające się cyberzagrożenia będą pociągać za sobą straty, związane z utratą reputacji, własności intelektualnej, a nawet z ograniczeniem zdolności świadczenia usług. Będą one narażać liczną grupę przedsiębiorców z sektora ITna odpowiedzialność karną lub finansową. Celem zapobiegania powyższym skutkom europejski prawodawca w odpowiedzi na wzrost cyberzagrożenia uchwalił dyrektywę NIS, która to weszła w życie w sierpniu 2016 r. Od tego momentu państwa członkowskie mają 21 miesięcy na implementację jej postanowień do przepisów prawa krajowego oraz 6 miesięcy na określenie dostawców kluczowych usług. Zmiany wniesione przez dyrektywę NIS staną się uzupełnieniem uchwalonej wcześniej regulacji o nazwie GDPR - o której pisaliśmy już wcześniej -dotyczącej przetwarzania oraz bezpośredniej ochrony danych osobowych.
Cel dyrektywy
Celem dyrektywy NIS jest z pewnością promowanie kultury zarządzania ryzykiem rozumianej jako zabezpieczenie infrastruktury internetowej na poziomie krajów UE przeciwko naruszeniom i atakom cyberprzestępczym. Europejskie standardy zabezpieczeń powinny umocnić współpracę pomiędzy krajami członkowskimi i ułatwić w ten sposób przedsiębiorcom wzajemną ochronę i zapobiegać niechcianym naruszeniom. Również współpraca pomiędzy przedsiębiorcami, a państwowymi organizacjami powinna zostać zintensyfikowana.
Zakres regulacji
Dyrektywa NIS przewiduje nie tylko regulacje dla operatorów usług kluczowych. Dyrektywa NIS zawiera również przepisy dotyczące dostawców usług cyfrowych. W dodatku załącznik numer 3 dyrektywy NIS wskazuje jakie rodzaje usług cyfrowych mają być objęte przepisami dyrektywy. Ponadto nie ma rozróżnienia pomiędzy instytucjami prywatnymi i publicznymi. W praktyce oznacza to, że instytucje publiczne, które świadczą określone usługi w chmurze są postrzegane jako dostawcy usług cyfrowych zgodnie z artykułem 4 ust. 6 dyrektywy NIS.
Operatorzy usług kluczowych
Nowe przepisy unijne wyznaczają wiążące określenia zabezpieczeń oraz obowiązki sprawozdawcze dla operatorów usług kluczowych. Wybór operatorów usług kluczowych zależy tylko od państwa członkowskiego i będzie dokonany albo razem z implementacją Dyrektywy NIS, albo bezpośrednio po niej. Ich identyfikacja będzie zatem dużym wyzwaniem dla państw członkowskich. Przepisy Dyrektywy obejmują m.in. sektor bankowy, energetyczny, transport, ochronę zdrowia.
Wybrane podmioty będą miały głównie dwa obowiązki. Pierwszy nakazuje wprowadzenie środków zależnych od poziomu ryzyka. Drugi to konieczność raportowania incydentów. Progi kryteriów do zgłoszenia incydentów będą musiały wyznaczyć samodzielnie państwa członkowskie na podstawie:
- liczby̨ użytkowników, których dotyczy zakłócenie usługi kluczowej,
- czasu trwania incydentu,
- zasięgu geograficznego związanego z obszarem, którego dotyczy incydent.
Innym przykładowym kryterium jest ustalenie faktu czy dana usługa dotknięta incydentem jest znacząca dla utrzymania działań społecznych czy gospodarczych i czy taki incydent może spowodować zakłócenia w jej dalszym wdrożeniu.
Dostawcy usług cyfrowych
Dyrektywa dotyczy trzech rodzajów dostawców usług cyfrowych: platform handlowych, wyszukiwarek internetowych i usług przetwarzania danych w chmurze. Ponieważ są to operatorzy międzynarodowi zadecydowano, że w przeciwieństwie do przypadku operatorów usług kluczowych będą wyznaczeni przez Unię Europejską. Identycznie jednak jak w przypadku operatorów usług kluczowych, będą musieli zapewnić poziom bezpieczeństwa zależnie od zidentyfikowanego ryzyka. Również na nich nałożone są obowiązki sprawozdawcze i będą musieli oni powiadomić o incydencie właściwy organ lub CSIRT. Oczekuje się również od dostawców przestrzegania międzynarodowych standardów, monitorowania i testowania środków bezpieczeństwa oraz zarządzania ciągłością działania (BCM).
Nowe przepisy bezsprzecznie wzmacniają rolę firm komercyjnych, które są dostawcami technologii ochronnej. Motywacją do korzystania z zaawansowanych systemów zabezpieczeń będzie nie tylko nakaz ujawniania informacji o zdarzeniach naruszeń bezpieczeństwa, lecz także konieczność udowodnienia, że zrobiło się wszystko, aby do takich incydentów nie dopuścić. W praktyce oznacza to, iż na bieżąco będą wdrażane narzędzia, których zadaniem będzie zminimalizowanie ryzyka wystąpienia incydentów.
Dostawcy usług cyfrowych będą zobowiązani do zapewnienia poziomu bezpieczeństwa współmiernego do poziomu ryzyka zagrażającego bezpieczeństwu świadczonych przez nich usług – jako że jest on mniejszy, niż w przypadku operatorów usług kluczowych, wymogi bezpieczeństwa wobec dostawców usług cyfrowych są węższe. Przewiduje się wobec nich łagodne działania nadzorcze o charakterze ex post.
Wyłączenie od stosowania przepisów
Ponadto należy wskazać, że w zakresie dostawców usług cyfrowych na uwagę zasługuje również pkt 11 artykułu 16 Dyrektywy NIS. Wskazuje on, że rozdział V odnoszący się do dostawców usług cyfrowych, nie ma zastosowania do mikro przedsiębiorców oraz małych przedsiębiorców, czyli podmiotów zatrudniających odpowiednio mniej niż 10 oraz mniej niż 50 osób, a także, których obroty roczne i/lub roczna suma bilansowa nie przekracza odpowiednio 2 mln EUR oraz 10 mln EUR.
Współpraca na poziomie EU
Dyrektywa stworzyła tzw. strategiczna grupę współpracy w celu wymiany informacji, Każdy kraj członkowski jest zobowiązany do opracowania własnej, krajowej strategii NIS. Dyrektywa ta wzmocni współpracę dostawców z sektora Security IT z Europolem, Interpolem czy innymi jednostkami służącymi ściganiu przestępców oraz aktywnemu neutralizowaniu zagrożeń. Kluczowe będzie tu dzieleniu się informacjami o obserwacjach dotyczących cyberzagrożeń w skali światowej z CERT-ami narodowymi czyli Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego – w taki sposób, żeby wyposażać je w odpowiednią wiedzę z różnych źródeł. Ponadto, państwa członkowskie utworzyć mają pojedyncze punkty kontaktowe (pełniące rolę łącznikową w celu zapewnienia transgranicznej współpracy organów), które będą wypełniać zadania związane z bezpieczeństwem sieci i systemów informatycznych.
Zakończenie
Poprzez wprowadzenie jednolitych środków zarządzania ryzykiem oraz systematycznego zgłaszania incydentów. Dyrektywa ma przyczynić się do tego, iż branże zależne od sektora IT staną się bardziej niezawodne i stabilne. Oczywiście nawet najbardziej rozbudowana kooperacja i wysiłki mające na celu ochronę firmy mogą okazać się nieskuteczne. Jedną z możliwości minimalizacji negatywnych skutków może być zakup polisy ubezpieczeniowej od cyberzagrożeń, póki co jest to niestety rozwiązanie w Polsce rzadko stosowane.
Aktualnie w Ministerstwie Cyfryzacji trwają zaawansowane prace nad projektem strategii cyberbezpieczeństwa dla RP oraz nad ustawą o krajowym systemie cyberbezpieczeństwa, która stworzyć ma kompleksowy system bezpieczeństwa teleinformatycznego, określić kompetencje i uprawnienia Ministra Cyfryzacji jako organizatora systemu cyberbezpieczeństwa. Chociaż pozytywnie należy ocenić próbę kompleksowego uregulowania kwestii cyberbezpieczeństwa na poziomie krajów Unii Europejskie, w obecnej chwili trudno jest przewidzieć, czy implementacja dyrektywy w ustawodawstwo państw członkowskich rzeczywiście przyniesie oczekiwany efekt.