7 minute read
IMPLEMENTACJA NIS W UE JAK TO ZROBILI INNI?
from IT Reseller_343
W Polsce toczy się ostatnio burzliwa dyskusja na temat nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Ten akt prawny implementował unijną dyrektywę NIS do polskiego porządku prawnego. Jak w takim razie unijne prawo zostało zaimplementowane przez inne państwa Unii Europejskiej?
Dyrektywa Network and Information Systems (NIS) została przyjęta w2016 roku ibyła pierwszym europejskim prawem wzakresie cyberbezpieczeństwa. Nałożyła na państwa członkowskie szereg obowiązków, między innymi wymagając od nich powołania konkretnych instytucji oraz wprowadzenia mechanizmów współpracy. Nowe prawo zobowiązało państwa członkowskie do zagwarantowania minimalnego poziomu krajowych zdolności wdziedzinie bezpieczeństwa teleinformatycznego. Tekst dokumentu koncentrował się na trzech głównych filarach: q Instytucjach, które powinny powstać we wszystkich państwach członkowskich; q Współpracy na poziomie europejskim; q Zobowiązaniach w zakresie bezpieczeństwa sieci iinformacji.
Advertisement
Dyrektywa jest aktem prawa unijnego, ijako taka zobowiązuje państwa członkowskie do wprowadzenie określonych regulacji prawnych, tak aby uzyskać zakładany cel, który jest identyczny dla wszystkich, ale środki inarzędzia są już wybierane osobno przez poszczególne państwa. Dokument został zaadresowany do dwóch kategorii organizacji: Operatorów usług kluczowych (operators of essential services) w następujących sektorach: energii, transportu, bankowości, infrastrukturze rynków finansowych, zdrowia, wody, infrastruktury informatycznej, Dostawców usług cyfrowych (digital services providers), czyli cyfrowych przedsiębiorstw, które są uznawane za ważne dla cyberbezpieczeństwa oraz tych określanych mianem cyfrowych rynków sprzedających swoje produkty wsieci.
Niemcy
Największe państwo Unii Europejskiej implementowało dyrektywę dość wcześnie, bo już 30 czerwca 2017 roku. Wdrożenie odbyło się poprzez nowelizację ustawy oFederalnym Urzędzie Bezpieczeństwa Informacyjnego, ustawy oenergii atomowej, ustawy oenergii oraz ustawy telekomunikacyjnej. Definicja dostawcy usług kluczowych została przedstawiona w ustawie o bezpieczeństwie informacyjnym oraz wyznaczono w niej wymagania dla nich związane zbezpieczeństwem iraportowaniem incydentów. Główne wymagania zawarte wdyrektywie NIS zostały wcześniej wdrożone do niemieckiego porządku prawnego przez ustawę o bezpieczeństwie IT w 2015 roku. Dlatego też zmiany wprowadzone wNiemczech przez dyrektywę NIS były relatywnie niewielkie. Niemiecki regulator wyznaczył kryteria do identyfikacji operatorów usług kluczowych wnastępujących obszarach: q Finanse iubezpieczenia, q Zdrowie, q Transport, q Energia, q IT itelekomunikacja, q Woda, q Żywność.
Jeżeli chodzi o mechanizm informowania o incydentach to wygląda on w następujący sposób. Operatorzy infrastruktury krytycznej muszą natychmiast poinformować Federalny Urząd Bezpieczeństwa Informacyjnego (FOIS) o zakłóceniach i poważnych zakłóceniach wdostępności, integralności, poufności oraz autentyczności systemów IT, które mogą doprowadzić do problemów zdziałaniem infrastruktury krytycznej. Operatorzy usług cyfrowych muszą też natychmiast informować FOIS o wszystkich incydentach, które mają znaczący wpływ na oferowane przez nich usługi. Jeżeli jednak dostawca nie ma wystarczającego dostępu do informacji, wtedy próbuje dokonać oceny wpływu takiego incydentu bezpieczeństwa. Niemcy przewidziały karty administracyjne wwysokości do 50 tys. euro dla operatorów usług kluczowych za zaniedbania wpoprawnym wdrożeniu środków technicznych ioperacyjnych, ukierunkowanych na zapobieganie zakłóceniom. Karany ma być również brak utworzenia punktu kontaktowego w odpowiednim czasie oraz niepoinformowanie o incydencie. Dostawcy usług cyfrowych mogą zaś zostać ukarani za brak wdrożenia odpowiednich środków technicznych i organizacyjnych w celu przeciwdziałania ryzyku bezpieczeństwa oraz za niewłaściwe poinformowanie otym odpowiednich struktur. Główną strukturą odpowiedzialną za bezpieczeństwo informacyjne na poziomie federalnym jest wspomniane już FOIS, które podlega niemieckiemu Ministerstwu Spraw Wewnętrznych. Niemcy planują w najbliższym czasie nowelizację ustawy o FOIS. Ma ona rozszerzyć zakres definiowania ope-
ratorów infrastruktury krytycznej włączając wto producentów idostawców sprzętu, tak, aby chronić cały łańcuch dostaw. Dodatkowo planuje się poszerzyć sektory infrastruktury krytycznej ochemiczny imotoryzacyjny. FOIS ma również zostać wzmocnione i otrzymać prerogatywy pozwalające na lepszą ochronę konsumentów oraz rozszerzenie ich systemu ostrzegania.
Francja
Wdrożenie unijnego aktu prawnego wprzypadku Paryża wyglądało inaczej. Pełna implementacja dyrektywy NIS nastąpiła dopiero 1 października 2018 roku iodbyła się ona za pomocą szeregu aktów prawnych: dekretu oraz 3 decyzji ministra. Dekret dotyczył bezpieczeństwa sieci isystemów informatycznych operatorów usług cyfrowych. Decyzje ministra określały m.in. zasady bezpieczeństwa oraz koszty przeprowadzania audytów przez National Agency for the Security of Information Systems, która jest głównym ciałem odpowiedzialnym za cyberbezpieczeństwo. Jeżeli chodzi owyznaczenie sektorów, za które odpowiedzialni są operatorzy usług kluczowych to Francuzi wskazali : q Cywilną iwojskową działalność państwa, q Wymiar sprawiedliwości, q Żywność, q Elektronikę, przekazy audiowizualne, q Energię, q Przestrzeń ibadania, q Finanse, q Zarządzanie zasobami wodnymi, q Przemysł, q Zdrowie, q Transport.
Lista ta jest owiele szersza niż wprzypadku Niemiec, ale też bardziej ogólna. Francuzi zdefiniowali też dokładnie, jakie kryteria muszą spełnić podmioty, aby zostać uznanym za operatorów usług kluczowych: q Liczba użytkowników uzależnionych od danej usługi; q Zależność kluczowych sektorów od tej usługi; q Udział wrynku; q Konsekwencje,jakie potencjalny incydent bezpieczeństwa może mieć na gospodarkę, społeczeństwo ibezpieczeństwo publiczne; q Zasięg geograficzny, jaki może mieć potencjalny incydent; q Możliwość zaoferowania alternatywnych rozwiązań, jeżeli dana usługa zostanie wyłączona.
Operatorzy są wyznaczani przez premiera, jeżeli jednak podmiot pełni ważne usługi dla kilku państw członkowskich, to jego wyznaczenie poprzedzą konsultacje znimi. Muszą oni również mianować swoich przedstawicieli do National Agency for the Security of Information Systems (ANISSI), która jest francuskim punktem kontaktowym. Jeżeli chodzi o system raportowania francuscy operatorzy usług kluczowych muszą powiadomić ANSSI okażdym incydencie, który może wpoważny sposób wpłynąć na bezpieczeństwo sieci isystemów informacyjnych. Powiadomienie można wysłać pocztą albo poprzez środki elektroniczne. Formularz wypełniania takiego zgłoszenia dostępny jest wInterne-
cie. Również dostawcy usług cyfrowych muszą raportować na temat incydentów bezpieczeństwa wtaki sam sposobów jak operatorzy usług kluczowych. Operatorzy muszą również przesłać ANSSI listę sieci isystemów informacyjnych razem z ich opisem, charakterystyką technologiczną oraz środkami zapewnienia bezpieczeństwa. Francuzi przewidzieli kary dla operatorów usług kluczowych za niedostosowanie się do nowych przepisów. Dyrektorzy, którzy nie dostosują się do nowych regulacji bezpieczeństwa mogą zostać ukarani karą nawet 100 tys. euro. Osoby, które nie poinformują oincydencie będą musiały zapłacić karą w wysokości 75 tys., a ci którzy przeszkadzają w prowadzeniu śledztwa mogą zostać ukarani grzywną wwysokości 125 tys. Przewidziano również kary dla dostawców usług cyfrowych, różnią się tylko wysokością kwoty. Można odpowiednio zostać ukaranym w wysokości 75 tys. euro, 50 tys. i 100 tys. Główną rolę odgrywa tutaj agencja ANISSI, która może prowadzić śledztwa oraz wymagać od podmiotów spełnienia zasad bezpieczeństwa. Paryż na razie nie stworzył kompleksowych planów reformy prawa jak zostało to zrobione wprzypadku Niemiec.
Niderlandy
Analizując sposoby wprowadzenia dyrektywy NIS do porządku prawnego państw członkowskich warto zająć się też innymi państwami niż dwa największe należące do UE. Jednym znich są Niderlandy, które słyną zwysokiego poziomu cyfryzacji i cyberbezpieczeństwa. Dyrektywa została wdrożona 9 listopada 2018 poprzez ustawę onazwie Network and Information Security Act. Podobnie jak wprzypadku Niemiec iFrancji wyodrębniono szereg obszarów, za które odpowiedzialni są operatorzy usług kluczowych. Wśród nich znalazły się: q Energia, q Transport, q Bankowość, q Rynki finansowe, q Dostawy wody pitnej, q Infrastruktura cyfrowa. Ciekawą kwestią jest fakt, że nie zaliczono do tych obszarów sektora medycznego, który przez holenderski rząd został uznany, jako nienarażony na wysokie ryzyko. Trzeba też podkreślić, że wHolandii jest on zdecentralizowany. Operatorzy usług krytycznych muszą natychmiast powiadomić National Cyber Security Center na temat incydentów, które mogą mieć poważne konsekwencje dla ciągłości działania kluczowych serwisów, przełamania zabezpieczeń sieci i systemów informacyjnych, co może mieć poważne konsekwencje dla ciągłości działania usług krytycznych. Dostarczyciele usług cyfrowych muszą raportować okażdym incydencie, który może mieć wpływ na ciągłość działania kluczowych usług. Informują jednak oni Ministerstwo Spraw Gospodarczych iPolityki Klimatycznej oraz Holenderską Agencję Radiokomunikacyjną. Holendrzy przewidzieli również owiele większe kary za naruszenia niż Francja iNiemcy. Maksymalna kara przewidziana to 5 milionów euro za wykryte naruszenie wimplementacji dyrektywy przez operatorów usług kluczowych i dostawców usług cyfrowych. Maksymalna kara w wysokości miliona euro może zostać nałożona za odmowę współpracy zNational Cyber Security Centre iinnymi organami władzy.
Estonia
Analiza porównująca wdrożenie dyrektywy NIS byłaby niekompletna bez uwzględnienia Estonii, która uważana jest za lidera cyfryzacji wUnii Europejskiej. Dyrektywa została zaimplementowana poprzez ustawę ocyberbezpieczeństwie. Estonia wyodrębniła następujące sektory usług kluczowych: q Koleje, q Lotnictwo, q Porty, q Firmy komunikacje dostarczające usługi światłowodowe dla więcej niż 10 tysięcy użytkowników końcowych, q Właścicieli szpitali centralnych iregionalnych, q Dostarczycieli komunikacji okrytycznym znaczeniu, morskiej komunikacji radiowej ooperacji, q Lekarze rodzinni, q Administratorzy wybranych domen, q Estoński Nadawca Publiczny.
Estońskie prawo mówi, że tylko ci dostawcy usług operujących w wyżej wymienionych sektorach mogą zostać uznani za operatorów usług kluczowych. Usługi kluczowe zostały zdefiniowane w Emergency Act i są to usługi, które mają wpływ na funkcjonowanie społeczeństwa i których przerwa w działaniu może stanowić zagrożenie dla zdrowia i życia ludzi lub wpłynąć na działanie innych usług kluczowych. Emergency Act wymienił 14 kategorii usług kluczowych, ale lista ta nie została upubliczniona. Dostawcy usług cyfrowych muszą w przeciągu 24 godzin od czasu wykrycia incydentu poinformować odpowiedni organ – the Information System Authority (ISA) oincydencie cyberbezpieczeństwa, który ma znaczący wpływ na bezpieczeństwo systemu lub ciągłość świadczenia usług. Dodatkowo dostawcy muszą poinformować wrozsądnym okresie czasu osoby, który zostały poszkodowane wwyniku incydentów lub jeżeli nie ma takiej możliwości poinformować opinię publiczną. Estończycy przewidzieli jednak niewielkie kary (do 20 tys euro) za zaniedbania wimplementacji dyrektywy.
Przykłady tych czterech państw pokazują, że każde znich inaczej wprowadziło dyrektywę NIS do swojego porządku prawnego. Widzimy wiele podobieństw między nimi ijest to oczywiste, wkońcu mówimy o dokumencie Unii Europejskiej, ale też występują znaczne różnice, jak np. w wysokości kar czy sposobie raportowania incydentów. Niewątpliwe doświadczenia z implementacji tego dokumentu zostaną wykorzystane przy pracach nad dyrektywą NIS2. n
u Skomentuj, polub lub udostępnij!
Artykuł dostępny w wersji cyfrowej na www.itreseller.pl
