Komisja Europejska opublikowała rozporządzenie wykonawcze dot. dostawców usług cyfrowych
30 stycznia 2018 r. Komisja Europejska opublikowała Rozporządzenie Wykonawcze 2018/151 [1]. Dokument dotyczy trzeciego aneksu Dyrektywy NIS, czyli dostawców usług cyfrowych (Digital Service Providers). Rozporządzenie doprecyzowuje elementy bezpieczeństwa sieci i systemów informatycznych, które mają zostać uwzględnione przez dostawców usług cyfrowych przy oferowaniu usług [2]. Dokument obowiązuje od 10 maja 2018 roku.
W rozporządzeniu wykonawczym Komisja Europejska doprecyzowała zwrot „bezpieczeństwo systemów i obiektów”, które pojawia się w artykule 16 Dyrektywy NIS. Określenie to obejmuje następujące elementy:
- Systematyczne zarządzanie sieciami i systemami informatycznymi, tj. mapowanie systemów informatycznych oraz ustanowienie zestawu polityk zarządzania bezpieczeństwem informacji (analizy ryzyka, zasobów ludzkich, bezpieczeństwa operacji, architektury bezpieczeństwa, zabezpieczenia danych, zarządzenie cyklem życia systemu, szyfrowanie).
- Bezpieczeństwo fizyczne i środowiskowe, tj. zestaw środków chroniący przed awariami systemu spowodowanymi przez błędy ludzkie czy zjawiska naturalne.
- Bezpieczeństwo dostaw, tj. zbiór polityk zapewniających dostępność krytycznych dostaw wykorzystywanych do świadczenia usług.
- Kontrole dostępu do sieci i systemów informatycznych, tj. środki gwarantujące dostęp fizyczny i logiczny do sieci i systemów.
W przypadku wystąpienia incydentu dostawca usług cyfrowych powinien zapewnić utrzymanie procesów wykrywania zagrożeń, system zgłaszania incydentów, reagowanie zgodnie z procedurami, a także ocenę powagi incydentu wraz z pełną dokumentacją.
W miarę możliwości organizacja powinna utrzymać realizację usługi lub też przywrócić ją po ustąpieniu zakłócenia. Zarządzanie ciągłością działania obejmuje ustanowienie i wdrożenie odpowiednich planów awaryjnych, a także ocenę zdolności przywracania gotowości do pracy. Sprawność systemu należy monitorować, a także ulepszać na podstawie przeprowadzonych testów i audytów.
Ocena incydentu i kwalifikacja jako istotny
Wpływ każdego incydentu oceniany jest na podstawie konkretnych czynników:
- Liczba użytkowników dotkniętych incydentem, z którymi zawarto umowę na świadczenie usługi, lub też którzy korzystali z danej usługi.
- Czas trwania od wystąpienia zakłócenia do przywrócenia stanu normalnego.
- Zasięg geograficzny incydentu.
- Zasięg incydentu, czyli ilość aspektów, które zostały osłabione z powodu wystąpienia incydentu (np. poufność danych, integralność, dostępność)
- Zasięg wpływu na działalność gospodarczą i społeczną – konieczność oszacowania strat materialnych i niematerialnych, na przykład w obszarze zdrowia, bezpieczeństwa, uszkodzenia mienia.
Wymienione czynniki pozwalają stwierdzić, czy wpływ danego incydentu kwalifikuje się jako istotny. Ma on miejsce, gdy pojawi się przynajmniej jeden z elementów:
- usługa świadczona przez dostawcę była niedostępna przez ponad 5 mln użytkownikogodzin [3],
- ponad 100 tys. użytkowników w Unii ucierpiało z powodu utraty integralności, autentyczności lub poufności danych,
- incydent spowodował ryzyko wystąpienia ofiar śmiertelnych lub zagrożenie dla bezpieczeństwa publicznego,
- przynajmniej jeden użytkownik Unii poniósł stratę materialną przekraczającą 1 mln euro.
Przypisy:
[1] Dyrektywa zakładała przyjęcie rozporządzenia ze względu na międzynarodowy charakter DSP. Ma to zapobiegać fragmentaryzacji Jednolitego Rynku Cyfrowego.
[2] Usługi, o których mowa w załączniku III do dyrektywy (UE) 2016/1148, tj. internetowa platforma handlowa, wyszukiwarka internetowa i usługa przetwarzania w chmurze.
[3] Pojęcie „użytkownikogodziny” odnosi się do liczby dotkniętych incydentem użytkowników w Unii przez okres sześćdziesięciu minut.