Dyrektywa NIS, czyli pierwsze europejskie prawo w zakresie cyberbezpieczeństwa

Dyrektywa NIS [1] została przyjęta 6 lipca 2016 r. Jest pierwszym europejskim prawem w zakresie cyberbezpieczeństwa. Dyrektywa nakłada na państwa członkowskie szereg obowiązków, obliguje je do powołania konkretnych instytucji oraz wprowadzenia mechanizmów współpracy. W Polsce jej zapisy realizuje ustawa o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 roku.

Dyrektywa zobowiązuje wszystkie państwa członkowskie do zagwarantowania minimalnego poziomu krajowych zdolności w dziedzinie bezpieczeństwa teleinformatycznego. Jej przepisy umożliwiają stworzenie zarówno scentralizowanego systemu na poziomie krajowym, jak i podzielenie kompetencji między różne podmioty.

Dyrektywa NIS nie dotyczy bezpośrednio usług administracji publicznej, o ile nie są to usługi kluczowe wymienione w dyrektywie. Dokument stanowi jednak harmonizację minimalną, a zatem wyznacza pewne minimalne warunki, które należy spełniać. Nie ogranicza przy tym możliwości państw członkowskich do regulowania problematyki cyberbezpieczeństwa administracji publicznej [2].

Tekst dyrektywy koncentruje się na trzech filarach:

  1. Instytucjach, które powinny powstać we wszystkich państwach członkowskich.
  2. Współpracy na poziomie europejskim.
  3. Zobowiązaniach w zakresie bezpieczeństwa sieci i informacji.

Pierwszy filar dyrektywy – instytucje

Każde państwo członkowskie zostało zobligowane do ustanowienia organów właściwych ds. bezpieczeństwa sieci i informacji (National Competent Authorities). Funkcję tą mogą pełnić już istniejące instytucje. Zadaniem organu właściwego jest monitorowanie wdrożenia przepisów dyrektywy na poziomie krajowym we wszystkich sektorach objętych regulacją. Państwa mogą wyznaczyć jeden lub kilka organów. Jest to istotne zwłaszcza, jeśli istnieją regulatorzy sektorowi, wtedy to oni mogą odpowiadać za wdrożenie dyrektywy we właściwych sobie sektorach.

Organy właściwe ds. bezpieczeństwa sieci i informacji będą miały uprawnienia do:

  • badania przypadków niewypełniania przez operatorów usług kluczowych zobowiązań z zakresu bezpieczeństwa sieci i informacji;
  • oceny wyników audytów bezpieczeństwa teleinformatycznego;
  • wydawania wytycznych w zakresie bezpieczeństwa teleinformatycznego;
  • wprowadzenia sankcji za nieprzestrzeganie przepisów.

Ponadto każde państwo członkowskie musi ustanowić Pojedynczy Punkt Kontaktowy (PPK,  Single Point of Contact). Jego zadaniem jest wzmacnianie współpracy między państwami członkowskimi. Będzie również gromadził informacje o incydentach w skali kraju, a także wymieniał się informacjami o znaczących, międzynarodowych incydentach ze swoimi odpowiednikami z zagranicy. Rola PPK może być także przypisana do już istniejącej instytucji. Kiedy państwo powoła tylko jeden organ właściwy, będzie on jednocześnie pełnił rolę PPK.

Ostatnią instytucją w dyrektywie jest CSIRT, czyli Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego. Kraje członkowskie mogą wyznaczyć jeden CSIRT narodowy dla całego kraju, bądź zbudować sieć CSIRT-ów sektorowych, obejmujących sektory rynkowe. Państwa ze słabiej rozwiniętymi zdolnościami cyberbezpieczeństwa, mogły zwrócić się o pomoc w rozwoju CSIRT do Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA).

Drugi filar dyrektywy – współpraca

Dyrektywa NIS wprowadza mechanizmy współpracy na dwóch poziomach:

  • technicznym – ma być zapewniona poprzez europejską sieć CISRT (CSIRT network) oraz stworzenie mechanizmów wymiany informacji o incydentach transgranicznych pomiędzy CSIRT-ami wyznaczonymi dla operatorów usług kluczowych oraz dostawcami usług cyfrowych.
  • polityczno-strategicznym – ma być realizowana poprzez utworzenie Grupy Współpracy (Cooperation Group), która zajmie się wypracowaniem wspólnych koncepcji strategicznych oraz będzie przyjmowała m.in. roczne raporty od właściwych organów.

Dyrektywa nie ustaliła dokładnych mechanizmów działania obu forów. Zarówno Sieć CSIRT, jak i Grupa Współpracy mają określić je same.

Trzeci filar dyrektywy – zobowiązania

Zobowiązania w zakresie bezpieczeństwa sieci i informacji są różne w zależności od aneksu. Operatorzy usług kluczowych (aneks II) są zobowiązani do oceny ryzyka cyberzagrożeń oraz do przyjęcia odpowiednich środków, zapewniających bezpieczeństwo sieci i informacji.

Muszą też zgłaszać właściwym organom wszelkie incydenty poważnie zagrażające ich sieciom i systemom informatycznym. Obowiązkowemu raportowaniu podlegają incydenty o „znaczącym wpływie na ciągłość działania operatorów”, co de facto oznacza, że progi raportowania określą państwa członkowskie w procesie implementacji przepisów dyrektywy.

Dostawcy usług cyfrowych (aneks III) są objęci regulacją light touch approach. Polega ona na kontroli ex post, tzn. po zaistnieniu incydentu i tylko przez państwo, na terenie którego dostawca usługi ma swoją siedzibę.

Dyrektywa nakłada także na państwa członkowskie obowiązek przyjęcia narodowej strategii bezpieczeństwa sieci i informacji, w której określone zostaną m.in.: narodowe cele i priorytety cyberbezpieczeństwa, role i obowiązki organów administracji publicznej, zasady współpracy sektora publicznego i prywatnego, krajowa analiza ryzyka oraz zadania w zakresie edukacji.

Dyrektywa NIS daje organom publicznym konkretne narzędzia do przeciwdziała i reakcji na incydenty w cyberprzestrzeni. Są to m.in. obowiązkowe raportowanie, przygotowanie krajowej strategii NIS, skoordynowanie przepływu informacji czy też zinstytucjonalizowanie współpracy CSIRT-ów. 

Dyrektywa NIS – zakres podmiotowy

Zakres podmiotowy Dyrektywy NIS ujęty został w dwa aneksy:

  • Aneks II dotyczy tzw. operatorów usług kluczowych (operators of essential services),
  • Aneks III reguluje dostawców usług cyfrowych (digital services providers).

Podmioty wskazane w każdym z aneksów, obowiązywać będą inne wymagania.

Operatorzy usług kluczowych (aneks II) to podmioty sektora prywatnego lub publicznego, dostarczające kluczowe usługi (essential services). Są to usługi zależne od sieci teleinformatycznych, w przypadku których potencjalne incydenty bezpieczeństwa teleinformatycznego mogą mieć istotny wpływ na możliwość świadczenia tych usług.

Regulacje obejmują następujące sektory:

  • Energetyczny (m.in. energia elektryczna, ropa naftowa, gaz);
  • Transportowy (lotniczy, kolejowy, morski);
  • Bankowy (m.in. instytucje kredytowe);
  • Finansowy (m.in. giełda);
  • Zdrowia (m.in. podmioty świadczące opiekę zdrowotną, w tym szpitale);
  • Zaopatrzenia w wodę;
  • Infrastruktury cyfrowej (m.in. punkty wymiany ruchu internetowego, dostawcy usług systemu nazw domen oraz rejestry nazw domen najwyższego poziomu).

Dyrektywa NIS – operatorzy usług kluczowych

Operatorzy usług kluczowych to pojęcie szersze niż operatorzy infrastruktury krytycznej. W pierwszym projekcie dyrektywy była mowa o regulowaniu operatorów infrastruktury krytycznej. W toku negocjacji tekst uległ jednak znaczącej zmianie.

Proces identyfikacji operatorów przebiega w sześciu etapach:

  1. Sprawdzenie, czy operatorzy prowadzą działalność wymienioną w aneksie II (lista sektorów i podsektorów).
  2. Sprawdzenie, czy operatorzy ci zostali objęci lex specialis.
  3. Decyzja, czy operator dostarcza usługi kluczowe (essential services). W tym celu każde państwo powinno najpierw stworzyć listę kluczowych dla siebie usług.
  4. Określenie, czy dostarczanie usługi zaklasyfikowanej jako kluczowa, jest uzależnione od systemów IT.
  5. Uwzględnienie konkretnych kryteriów:
    1. Najpierw transsektorowe: liczba użytkowników zależnych od usługi; zależność innych sektorów od usługi; wpływ, jaki incydent może mieć na gospodarkę, działania społeczne oraz bezpieczeństwo publiczne; zasięg geograficzny; jak istotny jest dany operator dla zapewnienia właściwego poziomu świadczenia usługi w skali kraju.
    1. Później sektorowe: każde państwo określa je samodzielnie, ponieważ dyrektywa podaje tylko przykłady, takie jak ilość produkowanej energii lub udział tej produkcji w skali kraju (sektor energetyczny) czy liczba pacjentów obsługiwanych w ciągu roku przez dany podmiot (sektor zdrowia).
  6. Sprawdzenie, czy dany operator dostarcza usługi także na obszarze innego państwa członkowskiego. Jeśli tak, dyrektywa nakłada na państwa obowiązek konsultacji, jednak bez konieczności uwzględnienia ich wyniku.

Dyrektywa przewiduje dodatkowe 6 miesięcy (poza wskazanymi 21 miesiącami na jej implementację) na identyfikację operatorów usług kluczowych.

Dyrektywa NIS – dostawcy usług cyfrowych

Dostawców usług cyfrowych (aneks III) obowiązywać będzie tzw. light touch approach, czyli kontrola po zaistnieniu incydentu i tylko przez państwo, na terenie którego dostawca usługi ma siedzibę. Podmioty te nie będą podlegać ani identyfikacji ani obowiązkowemu raportowaniu.

Takie podejście spowodowane jest międzynarodowym charakterem dostawców usług cyfrowych, a tym samym obawą przed fragmentaryzacją jednolitego rynku cyfrowego UE. W wyniku negocjacji ustalono, że regulacjami zostaną objęte serwisy zakupowe, wyszukiwarki internetowe oraz usługi chmury obliczeniowej.


Przypisy:

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Directive concerning measures for a high common level of security of network and information systems across the Union)

[2] Polska ustawa o krajowym systemie cyberbezpieczeństwa objęła również administrację publiczną.


TAGI Prawo, Unia Europejska,