Dyrektywa NIS

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii

Dyrektywa NIS (Directive concerning measures for a high common level of security of network and information systems across the Union) została przyjęta 6 lipca 2016 r. Jest pierwszym prawem europejskim w zakresie cyberbezpieczeństwa, wprowadzającym transsektorowe regulacje.

Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku.

 

Tekst dyrektywy koncentruje się wokół trzech filarów:

- Instytucjach, jakie powinny powstać we wszystkich państwach członkowskich;

- Współpracy na poziomie europejskim;

- Zobowiązaniach w zakresie bezpieczeństwa sieci i informacji.

 

W zakresie filaru pierwszego każde państwo członkowskie jest zobligowane do ustanowienia organów właściwych ds. bezpieczeństwa sieci i informacji (National Competent Authorities). Kompetencje organu właściwego mogą być także przyznane już istniejącym instytucjom. Zadaniem organu właściwego jest monitorowanie wdrożenia przepisów Dyrektywy na poziomie krajowym, we wszystkich sektorach objętych regulacją. Do państw członkowskich należy decyzja, czy będzie za to odpowiadał jeden organ, czy kilka. Jest to istotne w przypadku państw, w których istnieją regulatorzy sektorowi. Wtedy to te instytucje mogą odpowiadać za wdrożenie przepisów dyrektywy we właściwych sobie sektorach. Organy właściwe ds. bezpieczeństwa sieci i informacji będą miały uprawnienia do: badania przypadków niewypełniania przez operatorów zobowiązań z zakresu bezpieczeństwa sieci i informacji; oceny wyników audytów bezpieczeństwa teleinformatycznego; wydawania wytycznych w zakresie bezpieczeństwa teleinformatycznego oraz wprowadzenia sankcji za nieprzestrzeganie przepisów. Ponadto każde państwo członkowskie musi ustanowić Pojedynczy Punkt Kontaktowy (PPK) – Single Point of Contact. Zadaniem Pojedynczego Punktu Kontaktowego jest wzmacnianie współpracy pomiędzy państwami członkowskimi. PPK będzie pełnił rolę brokera informacji w skali kraju (gromadzenie informacji o incydentach) i poprzez kontakt ze swoimi odpowiednikami z zagranicy wzmacniał wymianę informacji o znaczących, transnarodowych incydentach. Rola PPK może być także przypisana do już istniejącej instytucji. Kiedy państwo, w procesie implementacji, powoła tylko jeden organ właściwy, będzie on jednocześnie pełnił rolę PPK. Ostatnią wymaganą przez Dyrektywę instytucją jest CSIRT, obejmujący cały zakres podmiotowy regulacji. Państwa członkowskie mogą wskazać kilka CSIRT, mogą także wskazać jeden, na przykład w obrębie organu właściwego. Dyrektywa zachowuje dużą elastyczność jeśli chodzi o wewnętrzne struktury sytemu cyberbezpieczeństwa. Oznacza to, że kraje członkowskie mogą wyznaczyć jeden CSIRT narodowy dla całego kraju, bądź zbudować sieć CSIRT-ów sektorowych, obejmujących sektory rynkowe. Jednak w obu przypadkach, konieczne jest ustanowienie Pojedynczego Punktu Kontaktowego. Państwa ze słabiej rozwiniętymi zdolnościami w zakresie cyberbezpieczeństwa mogą zwrócić się o pomoc w rozwoju CSIRT do Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA).

 

Zakres podmiotowy Dyrektywy NIS ujęty został w dwa aneksy. Aneks II dotyczy tzw. operatorów usług kluczowych (operators of essential services), Aneks III natomiast reguluje dostawców usług cyfrowych (digital services providers). W odniesieniu do operatorów wskazanych w każdym z aneksów obowiązywać będą inne wymagania. Operatorzy usług kluczowych (Aneks II) to - zgodnie z Dyrektywą - podmioty sektora prywatnego lub publicznego, dostarczające kluczowe usługi (ang. essential services). Zgodnie z definicją są to usługi zależne od sieci teleinformatycznych, w przypadku których potencjalne incydenty bezpieczeństwa teleinformatycznego mogą mieć istotny wpływ na możliwość dostarczania tych usług.

W wyniku negocjacji ustalono, że regulacje obejmą następujące sektory:

- Energetyczny (m.in. energia elektryczna, ropa naftowa, gaz);

- Transportowy (lotniczy, kolejowy, morski);

- Bankowy (m.in. instytucje kredytowe);

- Finansowy (m.in. giełda);

- Zdrowia (m.in. podmioty świadczące opiekę zdrowotną, w tym szpitale);

- Zaopatrzenia w wodę;

- Infrastruktury cyfrowej (digital infrastructure; m.in. punkty wymiany ruchu internetowego, dostawcy usług systemu nazw domen oraz rejestry nazw domen najwyższego poziomu).

 

Warto przy tym zaznaczyć, że dostawcy usług kluczowych to pojęcie szersze niż operatorzy infrastruktury krytycznej. W pierwszym projekcie Dyrektywy przedstawionym przez Komisję, była mowa o regulowaniu operatorów infrastruktury krytycznej. W toku negocjacji tekst uległ jednak znaczącej zmianie. Proces identyfikacji operatorów przebiegać będzie w sześciu etapach. W pierwszej kolejności sprawdzane będzie, czy operatorzy prowadzą działalność wymienioną w Aneksie II – lista sektorów i podsektorów. W drugim kroku, przeprowadzona zostanie weryfikacja, czy operatorzy ci zostali objęci lex specialis. W trzecim etapie państwa członkowskie muszą zdecydować, czy operator dostarcza usługi kluczowe (essential services). W tym celu, każde państwo powinno najpierw stworzyć listę kluczowych dla siebie usług. Czwartym etapem jest określenie, czy dostarczanie usługi, zaklasyfikowanej jako kluczowa, jest uzależnione od systemów IT. Jeśli tak, to w piątym kroku brane są pod uwagę konkretne kryteria. Najpierw transsektorowe: liczba użytkowników zależnych od usługi, zależność innych sektorów od usługi świadczonej przez operatora, wpływ, jaki incydent może mieć na gospodarkę, działania społeczne oraz bezpieczeństwo publiczne, zasięg geograficzny, a także to, jak istotny jest dany operator dla zapewnienia właściwego poziomu świadczenia usługi w skali kraju. W drugiej kolejności natomiast, stosowane są kryteria sektorowe. Każde państwo określa je samodzielnie, ponieważ Dyrektywa podaje tylko przykłady, takie jak wielkość produkowanej energii lub udział tej produkcji w skali kraju (sektor energetyczny), czy liczba pacjentów obsługiwanych w ciągu roku przez dany podmiot (sektor zdrowia). Szóstym etapem identyfikacji jest sprawdzenie, czy dany operator dostarcza usługi także na obszarze innego państwa członkowskiego. Jeśli tak, Dyrektywa nakłada na państwa obowiązek konsultacji, jednak bez konieczności uwzględnienia ich wyniku. Należy dodać, że Dyrektywa przewiduje dodatkowe 6 miesięcy (poza wskazanymi 21 miesiącami na jej implementację) na identyfikację operatorów usług kluczowych.

 

W przypadku dostawców usług cyfrowych (Aneks III) obowiązywać będzie tzw. light touch approach, polegający na kontroli ex post, tzn. po zaistnieniu incydentu i tylko przez to państwo, na terenie którego dostawca usługi ma swoją siedzibę. Tym samym, podmioty z Aneksu III nie będą podlegały ani opisanemu wcześniej procesowi identyfikacji, ani raportowania, jak w przypadku operatorów usług kluczowych. Takie podejście spowodowane jest międzynarodowym wymiarem operatorów dostarczających usługi cyfrowe, a tym samym obawą przed fragmentaryzacją jednolitego rynku cyfrowego UE. W wyniku negocjacji ustalono, że regulacjami zostaną objęte serwisy zakupowe, wyszukiwarki internetowe oraz usługi chmury obliczeniowej. Dyrektywa nie dotyczy bezpośrednio usług administracji publicznej, o ile nie są to usługi kluczowe wymienione w Dyrektywie. Najważniejsze jest jednak to, że Dyrektywa NIS stanowi harmonizację minimalną i nie ogranicza możliwości państw członkowskich do regulowania problematyki bezpieczeństwa teleinformatycznego administracji publicznej, a także objęcia zakresem większej liczby podmiotów. Wszystko to zależy od państw członkowskich.

 

Drugi filar Dyrektywy, to współpraca pomiędzy państwami członkowskimi. NIS wprowadza mechanizmy współpracy na dwóch poziomach: technicznym i polityczno – strategicznym. Współpraca techniczna ma być zapewniona poprzez europejską sieć CISRT (CSIRT network) oraz stworzenie mechanizmów wymiany informacji o incydentach transgranicznych pomiędzy CSIRT-ami wyznaczonymi dla operatorów usług kluczowych oraz dostawcami usług cyfrowych. Natomiast współpraca na poziomie polityczno-strategicznym ma być realizowana poprzez utworzenie Grupy Współpracy (Cooperation Group), która zajmie się wypracowaniem wspólnych koncepcji strategicznych oraz będzie przyjmowała m.in. roczne raporty od właściwych organów. Tekst Dyrektywy nie ustala dokładnych mechanizmów działania obu forów. Zarówno Sieć CSIRT, jak i Grupa Współpracy mają określić je same.

 

Trzeci filar Dyrektywy to zobowiązania w zakresie bezpieczeństwa sieci i informacji. Zobowiązania te są różne w zależności od Aneksu. Operatorzy usług kluczowych będą zobowiązani do dokonania oceny zagrożeń cybernetycznych, na jakie są narażeni, oraz do przyjęcia odpowiednich i proporcjonalnych środków, mających na celu zapewnienie bezpieczeństwa sieci i informacji. Podmioty te będą zobowiązane do zgłaszania właściwym organom wszelkich incydentów poważnie zagrażających ich sieciom i systemom informatycznym, mogących znacząco zakłócić ciągłość działania kluczowych usług (obowiązkowe raportowanie). Raportowaniu podlegały będą incydenty o "znaczącym wpływie na ciągłość działania operatorów", co de facto oznacza, że progi raportowania określą państwa członkowskie w procesie implementacji. Podmioty Aneksu III będą natomiast objęte wspomnianą już regulacją light touch approach. Dyrektywa nakłada także na państwa członkowskie obowiązek przyjęcia narodowej strategii bezpieczeństwa sieci i informacji, w której określone zostaną m.in.: narodowe cele i priorytety w dziedzinie cyberbezpieczeństwa, role i obowiązki organów administracji publicznej w procesie osiągania wyznaczonych celów, zasady współpracy sektora publicznego i prywatnego oraz krajowa analiza ryzyka i zadania w zakresie edukacji na rzecz cyberbezpieczeństwa. Przepisy Dyrektywy umożliwiają stworzenie zarówno scentralizowanego systemu na poziomie krajowym, jak i podzielenie kompetencji pomiędzy różne podmioty wymieniające informacje w oparciu o zbudowane mechanizmy współpracy. Ponadto Dyrektywa zobowiązuje wszystkie państwa członkowskie do zagwarantowania minimalnego poziomu krajowych zdolności w dziedzinie bezpieczeństwa teleinformatycznego. Dyrektywa NIS daje organom publicznym konkretne narzędzie do przeciwdziała i reakcji na incydenty w cyberprzestrzeni. Będzie to możliwe m.in. dzięki nałożonym obowiązkom raportowania, poprzez obowiązek przygotowania krajowych strategii NIS, skoordynowanie przepływu informacji, czy też zinstytucjonalizowanie współpracy CSIRT-ów.

  • Proces identyfikacji operatorów usług kluczowych