IMPLEMENTACJA NIS W UE
JAK TO ZROBILI INNI? W Polsce toczy się ostatnio burzliwa dyskusja na temat nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Ten akt prawny implementował unijną dyrektywę NIS do polskiego porządku prawnego. Jak w takim razie unijne prawo zostało zaimplementowane przez inne państwa Unii Europejskiej?
D
yrektywa Network and Information Systems (NIS) została przyjęta w 2016 roku i była pierwszym europejskim prawem w zakresie cyberbezpieczeństwa. Nałożyła na państwa członkowskie szereg obowiązków, między innymi wymagając od nich powołania konkretnych instytucji oraz wprowadzenia mechanizmów współpracy. Nowe prawo zobowiązało państwa członkowskie do zagwarantowania minimalnego poziomu krajowych zdolności w dziedzinie bezpieczeństwa teleinformatycznego. Tekst dokumentu koncentrował się na trzech głównych filarach: q Instytucjach, które powinny powstać we wszystkich państwach członkowskich; q Współpracy na poziomie europejskim; q Zobowiązaniach w zakresie bezpieczeństwa sieci i informacji. Dyrektywa jest aktem prawa unijnego, i jako taka zobowiązuje państwa członkowskie do wprowadzenie określonych regulacji prawnych, tak aby uzyskać zakładany cel, który jest identyczny dla wszystkich, ale środki i narzędzia są już wybierane osobno przez poszczególne państwa. Dokument został zaadresowany do dwóch kategorii organizacji: Operatorów usług kluczowych (operators of essential services) w następujących sektorach: energii, transportu, bankowości, infrastrukturze rynków finansowych, zdrowia, wody, infrastruktury informatycznej, Dostawców usług cyfrowych (digital services providers), czyli cyfrowych przedsiębiorstw, które są uznawane za
48
| 343/2022 ITReseller
ważne dla cyberbezpieczeństwa oraz tych określanych mianem cyfrowych rynków sprzedających swoje produkty w sieci.
Niemcy Największe państwo Unii Europejskiej implementowało dyrektywę dość wcześnie, bo już 30 czerwca 2017 roku. Wdrożenie odbyło się poprzez nowelizację ustawy o Federalnym Urzędzie Bezpieczeństwa Informacyjnego, ustawy o energii atomowej, ustawy o energii oraz ustawy telekomunikacyjnej. Definicja dostawcy usług kluczowych została przedstawiona w ustawie o bezpieczeństwie informacyjnym oraz wyznaczono w niej wymagania dla nich związane z bezpieczeństwem i raportowaniem incydentów. Główne wymagania zawarte w dyrektywie NIS zostały wcześniej wdrożone do niemieckiego porządku prawnego przez ustawę o bezpieczeństwie IT w 2015 roku. Dlatego też zmiany wprowadzone w Niemczech przez dyrektywę NIS były relatywnie niewielkie. Niemiecki regulator wyznaczył kryteria do identyfikacji operatorów usług kluczowych w następujących obszarach: q Finanse i ubezpieczenia, q Zdrowie, q Transport, q Energia, q IT i telekomunikacja, q Woda, q Żywność. Jeżeli chodzi o mechanizm informowania o incydentach to wygląda on w następujący sposób. Operatorzy in-
frastruktury krytycznej muszą natychmiast poinformować Federalny Urząd Bezpieczeństwa Informacyjnego (FOIS) o zakłóceniach i poważnych zakłóceniach w dostępności, integralności, poufności oraz autentyczności systemów IT, które mogą doprowadzić do problemów z działaniem infrastruktury krytycznej. Operatorzy usług cyfrowych muszą też natychmiast informować FOIS o wszystkich incydentach, które mają znaczący wpływ na oferowane przez nich usługi. Jeżeli jednak dostawca nie ma wystarczającego dostępu do informacji, wtedy próbuje dokonać oceny wpływu takiego incydentu bezpieczeństwa. Niemcy przewidziały karty administracyjne w wysokości do 50 tys. euro dla operatorów usług kluczowych za zaniedbania w poprawnym wdrożeniu środków technicznych i operacyjnych, ukierunkowanych na zapobieganie zakłóceniom. Karany ma być również brak utworzenia punktu kontaktowego w odpowiednim czasie oraz niepoinformowanie o incydencie. Dostawcy usług cyfrowych mogą zaś zostać ukarani za brak wdrożenia odpowiednich środków technicznych i organizacyjnych w celu przeciwdziałania ryzyku bezpieczeństwa oraz za niewłaściwe poinformowanie o tym odpowiednich struktur. Główną strukturą odpowiedzialną za bezpieczeństwo informacyjne na poziomie federalnym jest wspomniane już FOIS, które podlega niemieckiemu Ministerstwu Spraw Wewnętrznych. Niemcy planują w najbliższym czasie nowelizację ustawy o FOIS. Ma ona rozszerzyć zakres definiowania ope-
