Dostawcy usług cyfrowych – rozporządzenie Wykonawcze Komisji do dyrektywy NIS

Komisja Europejska opublikowała rozporządzenie wykonawcze dot. dostawców usług cyfrowych

30 stycznia 2018 r. Komisja Europejska opublikowała Rozporządzenie Wykonawcze 2018/151 [1]. Dokument dotyczy trzeciego aneksu Dyrektywy NIS, czyli dostawców usług cyfrowych (Digital Service Providers). Rozporządzenie doprecyzowuje elementy bezpieczeństwa sieci i systemów informatycznych, które mają zostać uwzględnione przez dostawców usług cyfrowych przy oferowaniu usług [2]. Dokument obowiązuje od 10 maja 2018 roku.

W rozporządzeniu wykonawczym Komisja Europejska doprecyzowała zwrot „bezpieczeństwo systemów i obiektów”, które pojawia się w artykule 16 Dyrektywy NIS. Określenie to obejmuje następujące elementy:

  • Systematyczne zarządzanie sieciami i systemami informatycznymi, tj. mapowanie systemów informatycznych oraz ustanowienie zestawu polityk zarządzania bezpieczeństwem informacji (analizy ryzyka, zasobów ludzkich, bezpieczeństwa operacji, architektury bezpieczeństwa, zabezpieczenia danych, zarządzenie cyklem życia systemu, szyfrowanie).
  • Bezpieczeństwo fizyczne i środowiskowe, tj. zestaw środków chroniący przed awariami systemu spowodowanymi przez błędy ludzkie czy zjawiska naturalne.
  • Bezpieczeństwo dostaw, tj. zbiór polityk zapewniających dostępność krytycznych dostaw wykorzystywanych do świadczenia usług.
  • Kontrole dostępu do sieci i systemów informatycznych, tj. środki gwarantujące dostęp fizyczny i logiczny do sieci i systemów.

W przypadku wystąpienia incydentu dostawca usług cyfrowych powinien zapewnić utrzymanie procesów wykrywania zagrożeń, system zgłaszania incydentów, reagowanie zgodnie z procedurami, a także ocenę powagi incydentu wraz z pełną dokumentacją.

W miarę możliwości organizacja powinna utrzymać realizację usługi lub też przywrócić ją po ustąpieniu zakłócenia. Zarządzanie ciągłością działania obejmuje ustanowienie i wdrożenie odpowiednich planów awaryjnych, a także ocenę zdolności przywracania gotowości do pracy. Sprawność systemu należy monitorować, a także ulepszać na podstawie przeprowadzonych testów i audytów.

Ocena incydentu i kwalifikacja jako istotny

Wpływ każdego incydentu oceniany jest na podstawie konkretnych czynników:

  1. Liczba użytkowników dotkniętych incydentem, z którymi zawarto umowę na świadczenie usługi, lub też którzy korzystali z danej usługi.
  2. Czas trwania od wystąpienia zakłócenia do przywrócenia stanu normalnego.
  3. Zasięg geograficzny incydentu. 
  4. Zasięg incydentu, czyli ilość aspektów, które zostały osłabione z powodu wystąpienia incydentu (np. poufność danych, integralność, dostępność)
  5. Zasięg wpływu na działalność gospodarczą i społeczną – konieczność oszacowania strat materialnych i niematerialnych, na przykład w obszarze zdrowia, bezpieczeństwa, uszkodzenia mienia.

Wymienione czynniki pozwalają stwierdzić, czy wpływ danego incydentu kwalifikuje się jako istotny. Ma on miejsce, gdy pojawi się przynajmniej jeden z elementów:

  • usługa świadczona przez dostawcę była niedostępna przez ponad 5 mln użytkownikogodzin [3],
  • ponad 100 tys. użytkowników w Unii ucierpiało z powodu utraty integralności, autentyczności lub poufności danych,
  • incydent spowodował ryzyko wystąpienia ofiar śmiertelnych lub zagrożenie dla bezpieczeństwa publicznego,
  • przynajmniej jeden użytkownik Unii poniósł stratę materialną przekraczającą 1 mln euro.

Przypisy:

[1] Dyrektywa zakładała przyjęcie rozporządzenia ze względu na międzynarodowy charakter DSP. Ma to zapobiegać fragmentaryzacji Jednolitego Rynku Cyfrowego.

[2] Usługi, o których mowa w załączniku III do dyrektywy (UE) 2016/1148, tj. internetowa platforma handlowa, wyszukiwarka internetowa i usługa przetwarzania w chmurze.

[3] Pojęcie „użytkownikogodziny” odnosi się do liczby dotkniętych incydentem użytkowników w Unii przez okres sześćdziesięciu minut.


TAGI Prawo, Unia Europejska,