PRZEGLĄD DYREKTYW NIS – CO OZNACZA I DLACZEGO JEST ISTOTNY?

Dyrektywa NIS[1] to pierwsze europejskie prawo w zakresie cyberbezpieczeństwa. Projekt Dyrektywy został przedstawiony w 2013 roku, razem z pierwszą strategią Cyberbezpieczeństwa UE otwarta, bezpieczna i chroniona cyberprzestrzeń. Negocjacje trwały trzy lata. Biorąc pod uwagę złożoność europejskiej legislacji oraz fakt, że jest to prawo horyzontalne, obejmujące wiele różnych sektorów, a także silne powiązanie Dyrektywy z bezpieczeństwem narodowym, a więc prerogatywą państw członkowskich, był to dość szybki proces. Przyjęcie Dyrektywy NIS, 6 lipca 2018 roku, zapoczątkowało proces budowy i wzmacniania europejskiego ekosystemu cyberbezpieczeństwa. W Polsce, zapisy Dyrektywy NIS implementuje Ustawa o krajowym systemie cyberbezpieczeństwa z 28 sierpnia 2018 roku. W związku ze zmieniającym się charakterem zagrożeń teleinformatycznych oraz wyzwaniami związanymi z rozwojem nowoczesnych technologii, Komisja Europejska rozpoczęła proces przeglądu Dyrektywy. Publiczne konsultacje w tym zakresie potrwają do 2 października br. Przegląd oceni funkcjonowanie dyrektywy. Pod uwagę są brane takie parametry jak skuteczność, wydajność, spójność, przydatność i wartość dodaną NIS, a w szczególności wpływ na zwiększenie poziomu cyberbezpieczeństwa w państwach członkowskich. Konsultacje mają na celu zebranie opinii interesariuszy w tym zakresie.

W ramach dotychczasowych działań przeglądowych KE zidentyfikowała następujące problemy, związane ze wdrażaniem Dyrektyw NIS:

  • Duże różnice w implementacji dyrektywy i identyfikacji operatorów usług kluczowych (OUK). Ponieważ Dyrektywa jest harmonizacją minimalną, każde państwo członkowskie ma dużą dowolność w implementacji jej zapisów. W efekcie mamy różne progi identyfikacji operatorów usług kluczowych oraz różne progi raportowania incydentów teleinformatycznych. Skutkuje to dużą fragmentyzacją rynku, a operatorzy świadczący usługi w kilku państwach członkowskich musza się stosować do odmiennych reżimów prawnych.
  • Niewystarczający zakres dyrektywy. Niektóre sektory i operatorzy, pomimo kluczowej działalności i istotności z punktu widzenia zapewnia cyberbezpieczeństwa, nie znalazły się w zakresie Dyrektywy. Efektem jest niewystarczająca wiedza CSIRT na temat poziomu cyberbezpieczeństwa i brak koordynacji na poziomie UE w tym zakresie.

Komisja wskazuje także na konieczność dostosowania prawa do szybkich zmian i nowych zagrożeń. Zakres obecnej dyrektywy odpowiada wyzwaniom lat 2013 – 2016 (okres, kiedy negocjowano dyrektywę) i nie adresuje najnowszych wyzwań, związanych z rozwojem technologii i wyzwaniami taki jak: bezpieczeństwo łańcucha dostaw, czy kwestia dostawców usług cyfrowych – coraz większe wykorzystanie usług chmurowych w wielu dziedzinach gospodarki.

Rozważane są cztery scenariusze zmian w Dyrektywie NIS. Pierwsze dwa to miękkie mechanizmy:

  • podejście ewolucyjne – oznacza wykorzystanie obecnych zapisów i pełne ich wdrożenie
  • przygotowanie wytycznych, które doprecyzują obecnie obowiązujące zapisy prawne i wprowadzą większa harmonizację przepisów na poziomie UE (np. w zakresie identyfikacji operatorów i progów raportowania dla incydentów)

Dwa kolejne scenariusze są związane ze zmianą treści przepisów:

  • doprecyzowanie zapisów samej Dyrektywy, w tych miejscach, gdzie istnieje taka konieczność (zmiana treści Dyrektywy)
  • przyjęcie nowego aktu, który zastąpi Dyrektywę i wprowadzi większą harmonizację (być może w formie rozporządzenia)

Wszelkie zmiany Dyrektywy są niezwykle istotne z punktu widzenia kształtu krajowego systemu cyberbezpieczeństwa w Polsce, bo wymuszą zmiany w krajowym prawodawstwie. Z uwagi na to, warto pochylić się nad kilkoma zagadnieniami, które KE analizuje, podczas konsultacji publicznych.

1.Zakres Dyrektywy

Jednym z istotniejszych tematów przejawiających się w dyskusji na temat rewizji Dyrektywy NIS jest rozszerzenie jej zakresu i objęcie regulacjami nowych podsektorów i sektorów.

W zakresie podsektorów rozważne są:

  • energetyka: kopalnie, energia termalna
  • transport: logistyka, pojazdy automobile
  • finanse: ubezpieczenia i podatki
  • zdrowie: dystrybucja leków i laboratoria
  • woda: ochrona źródeł, hydraulika, kontrola jakości

Dodatkowo rozważne jest rozszerzenie zakresu dostawców usług cyfrowych (obecnie są to podmioty wymienione w aneksie III) o usługi geolokalizacyjne i sieci społecznościowe. Będzie to spore wyzwanie dla KE. Obecnie zastosowany wobec tych dostawców model light touch approach nie wydaje się do końca skuteczny, a wiele państw członkowskich, w tym Polska, nie ma jasności w zakresie tego, którzy usługodawcy rzeczywiście podlegają pod Dyrektywę.

Komisja bierze także pod uwagę objecie Dyrektywą NIS nowych sektorów takich jak:

  • żywność
  • administracja publiczna
  • edukacja
  • środowisko (m.in. ochrona środowiska, kontrola jakości powietrza)
  • obrona (systemy, obronne, systemy bezpieczeństwa informacji, polityka zagraniczna)
  • system sądowniczy
  • IT i komunikacja (m.in. sieci mobilne, centra przetwarzania i transfery danych)
  • przemysł (chemiczny, metalurgia, przemysł farmaceutyczny, przemysł nuklearny)

Tutaj pojawia się duże wyzwanie, związane z gotowością tych sektorów w zakresie wypełnienia obowiązków wynikających z Dyrektywy NIS. Operatorzy wyznaczeni w tych sektorach będą musieli dokonać konkretnych inwestycji w zakresie cyberbezpieczeństwa. Wyzwaniem dla państw członkowskich będzie także sama identyfikacja operatorów. Ze wstępnych konsultacji, podczas warsztatów, odbywających się w czasie przeglądu wynika, że większość PCz chce włączenia przede wszystkim rolnictwa, przemysłu i administracji publicznej.

W tym zakresie polskie ustawodawstwo wykonało już krok na przód, bo administracja publiczna znalazła się w zakresie Ustawy o krajowym systemie cyberbezpieczeństwa.

Zwiększenie zakresu Dyrektywy to także większy zakres odpowiedzialności dla CSIRT krajowych. Z wieloma z tych sektorów nie prowadzona jest obecnie współpraca w zakresie wymiany informacji na temat incydentów. Konieczne będzie więc zbudowanie w nich świadomości na temat Dyrektywy i wynikających z niej obowiązków.

2. Wyznaczanie operatorów usług kluczowych (OUK) i raportowanie incydentów

Obecnie w każdym państwie proces wyznaczania OUK przebiega inaczej i są inne progi raportowania, co sprawia że system nie jest optymalny dla przedsiębiorstw międzynarodowych. KE zastanowią się więc, jak można ujednolicić ten proces.

W dyskusji na temat przewija się jeszcze jedna istotna kwestia: niejasność definicji Dyrektywy w zakresie „istotnego skutku zakłócającego”. Definicja ta jest bardzo ogólna, a decyduje o wyznaczeniu operatorów, dlatego część pastw członkowskich postuluje jej doprecyzowanie. W efekcie proces wyznaczania operatów i progów raportowania mógłby być prostszy i bardziej zharmonizowany na obszarze całej UE. Takie rozwiązanie prawdopodobnie było by związane z przyjęciem Rozporządzenia, które zastąpiłoby Dyrektywę NIS.

3.Spójność z innymi aktami prawnymi i regulacjami

Ponieważ Dyrektywa NIS dotyczy bardzo wielu sektorów, konieczne jest zachowanie spójności z regulacjami sektorowymi (właściwymi np. dla sektora bankowego, czy energetycznego) oraz spójność z innymi aktami, istotnymi z punktu widzenia cyberbezpieczeństwa. W tym kontekście wymieniany jest Kodeks Komunikacji Elektronicznej (dotyczący sektora telekomunikacyjnego i raportowania incydentów w tym sektorze), GDPR i kwestia ochrony danych osobowych, a także kwestia ochrony infrastruktury krytycznej. 

Dodatkowo w czasie przeglądu poruszane są takie kwestie jak:

  • Zdolność do reagowania na incydenty. KE zastanawia się czy wskazane jest rozwijanie procedur i narzędzi do zgłaszania incydentów, a także wzmacnianie machizmów wymiany informacji w ramach sieci CSIRT i Grupy Współpracy
  • Kwestia wzmacniania PPP i ISAC na szczeblu narodowym. KE rozważa jakie zapisy prawne mogły wspierać taki ekosystem bezpieczeństwa
  • Uwzględnienie w Dyrektywie NIS zapisów na temat bezpieczeństwa łańcucha dostaw

Zarządzanie kryzysowe oraz reagowanie na poziomie UE na incydenty na miedzynarodową skalę Rozważne jest wprowadzenie do Dyrektywy zapisów, które obecnie znajdują się się w tzw. Blueprint.

Udział w rewizji można wziąć poprzez wypełnienie kwestionariusza na stronie KE.

Podsumowanie:

  1. Komisja Europejska rozpoczęła proces przeglądu Dyrektywy NIS. Publiczne konsultacje w tym zakresie potrwają do 2 października br. Przegląd oceni funkcjonowanie dyrektywy w PCz. Pod uwagę są brane: skuteczność, wydajność, spójność, przydatność i wartość dodaną NIS, a w szczególności wpływ na zwiększenie poziomu cyberbezpieczeństwa w państwach członkowskich. Konsultacje mają na celu zebranie opinii interesariuszy w tym zakresie.
  2. Najważniejszą kwestią jest rozszerzenie zakresu Dyrektywy o nowe podsektory (energetyka: kopalnie, energia termalna; transport: logistyka, pojazdy automobile; finanse: ubezpieczenia i podatki; zdrowie: dystrybucja leków i laboratoria; woda: ochrona źródeł, hydraulika, kontrola jakości) i sektory (żywność; administracja publiczna; edukacja; środowisko (m.in. ochrona środowiska, kontrola jakości powietrza); obrona (systemy, obronne, systemy bezpieczeństwa informacji, polityka zagraniczna); system sądowniczy; IT i komunikacja (m.in. sieci mobilne, centra przetwarzania i transfery danych); przemysł (chemiczny, metalurgia, przemysł farmaceutyczny, przemysł nuklearny)).
  3. KE rozważa także zasadność ujednolicenia procesu identyfikacji operatorów usług kluczowych w państwach członkowskich oraz wyznaczania progów raportowania incydentów dla sektorów kluczowych.
  4. Kolejnymi istotnymi tematami są:  kwestia spójności z innymi regulacjami sektorowymi (m.in. telekomunikacja, bankowość, energetyka), prawem regulującym, kwestie infrastruktury krytycznej oraz bezpieczeństwo danych osobowych (RODO/ GDPR).
  5. Udział w konsultacjach jest możliwy poprzez uzupełnienie formularza na stronie KE (https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12475-Revision-of-the-NIS-Directive/public-consultation).


[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Directive concerning measures for a high common level of security of network and information systems across the Union).

TAGI Prawo, Unia Europejska,