Cyberbezpieczeństwo sieci i systemów informatycznych

KLUCZOWE ZAGADNIENIA

Cyberbezpieczeństwo odnosi się do działań niezbędnych do ochrony sieci i systemów informatycznych, użytkowników takich systemów i innych osób podatnych na cyberzagrożenia.

Sektory krytyczne

Dyrektywa ma zastosowanie głównie do średnich i dużych podmiotów działających w następujących sektorach kluczowych, jak określono w załączniku I:

• energetyka:
  • energia elektryczna, w tym systemy produkcji, dystrybucji i przesyłu oraz punkty ładowania,
  • system ciepłowniczy lub chłodniczy,
  • ropa naftowa, w tym instalacje służące do produkcji, magazynowania i przesyłu,
  • gaz, w tym systemy dostarczania, dystrybucji i przesyłu oraz magazynowania,
  • wodór;
• transport lotniczy, kolejowy, wodny i drogowy;
• bankowość i infrastruktura rynków finansowych, na przykład instytucje kredytowe, operatorzy systemów obrotu i kontrahenci centralni;
• opieka zdrowotna, w tym świadczeniodawcy, producenci podstawowych produktów farmaceutycznych i krytycznych wyrobów medycznych oraz laboratoria referencyjne UE;
• woda pitna;
• ścieki;
• infrastruktura cyfrowa, w tym dostawcy usług ośrodka przetwarzania danych, usług chmurowych, publicznych sieci łączności elektronicznej oraz publicznie dostępnych usług łączności elektronicznej;
• zarządzanie usługami ICT (między przedsiębiorstwami);
• przestrzeń kosmiczna;
• podmioty administracji publicznej na szczeblu centralnym i regionalnym, z wyłączeniem sądownictwa, parlamentów i banków centralnych; dyrektywa nie ma zastosowania do podmiotów administracji publicznej, które prowadzą działalność w zakresie bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa.

Ma ona również zastosowanie do sektorów ważnych zdefiniowanych w załączniku II:

• usługi pocztowe i kurierskie;
• gospodarka odpadami;
• wytwarzanie, produkcja i dystrybucja chemikaliów;
• produkcja, przetwarzanie i dystrybucja żywności;
• produkcja, w szczególności wyrobów medycznych, komputerów, wyrobów elektronicznych i optycznych, niektórych rodzajów urządzeń i maszyn elektrycznych, pojazdów samochodowych i pozostałego sprzętu transportowego;
• dostawcy usług cyfrowych, w tym internetowych platform handlowych, wyszukiwarek i sieci społecznościowych;
• organizacje badawcze.

Krajowa strategia bezpieczeństwa cybernetycznego

Każde państwo członkowskie musi przyjąć krajową strategię na rzecz osiągnięcia i utrzymania wysokiego poziomu cyberbezpieczeństwa w sektorach kluczowych, w tym:

• ramy zarządzania wyjaśniające role i obowiązki zainteresowanych stron na szczeblu krajowym;
• polityki dotyczące bezpieczeństwa łańcuchów dostaw;
• polityki dotyczące zarządzania podatnościami;
• polityki w zakresie promowania i rozwoju kształcenia i szkolenia w zakresie cyberbezpieczeństwa;
• środki mające na celu poprawę świadomości w zakresie cyberbezpieczeństwa wśród obywateli.

Państwa członkowskie muszą do 17 kwietnia 2025 r. ustanowić wykaz podmiotów istotnych i ważnych, a także podmiotów świadczących usługi rejestracji nazw domen. Muszą regularnie dokonywać przeglądu i, w stosownych przypadkach, aktualizacji tego wykazu, nie rzadziej niż co dwa lata po wskazanej wyżej dacie. Komisja Europejska przyjęła wytyczne dotyczące informacji, które należy gromadzić przy sporządzaniu tych wykazów, oraz wzoru dokumentu służącego do tego celu.

Komisja wydała również wytyczne wyjaśniające zasady dotyczące związku między dyrektywą (UE) 2022/2555 a obecnymi i przyszłymi sektorowymi aktami prawnymi UE, w których przewidziano środki zarządzania ryzykiem w cyberbezpieczeństwie lub wymogi w zakresie zgłaszania incydentów. Dodatek do wytycznych zawiera niewyczerpujący wykaz sektorowych aktów prawnych, które Komisja uważa za objęte zakresem artykułu 4 dyrektywy (UE) 2022/2555.

Zespoły reagowania na incydenty bezpieczeństwa komputerowego

Zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) udzielają pomocy technicznej podmiotom, w tym przez:

• monitorowanie i analizowanie cyberzagrożeń, podatności i incydentów na szczeblu krajowym;
• dostarczanie zainteresowanym podmiotom i innym interesariuszom wczesnych ostrzeżeń, alertów, ogłoszeń i informacji na temat cyberzagrożeń, podatności i incydentów, w miarę możliwości w czasie zbliżonym do rzeczywistego;
• reagowanie na incydenty i udzielanie pomocy, w stosownych przypadkach;
• gromadzenie i analizowanie danych kryminalistycznych oraz zapewnienie dynamicznej analizy ryzyka i incydentów oraz świadomości sytuacyjnej w zakresie cyberbezpieczeństwa;
• przeprowadzanie, na wniosek, aktywnego skanowania sieci i systemów informatycznych w celu wykrycia podatności o potencjalnym znaczącym wpływie.

Sieć CSIRT

Dyrektywa ustanawia sieć krajowych CSIRT w celu wspierania szybkiej i skutecznej współpracy operacyjnej.

Skoordynowane ujawnianie podatności

Państwa członkowskie muszą:

• wyznaczyć jeden spośród swoich CSIRT do celu koordynowania ujawniania podatności wykrytych w produktach lub usługach ICT;
• zapewnić, aby osoby fizyczne w państwach członkowskich mogły zgłaszać anonimowo podatności, jeśli o to wystąpią.

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opracowuje i prowadzi bazę danych dotyczącą podatności.

Grupa Współpracy

Dyrektywa ustanawia Grupę Współpracy wspierającą i ułatwiającą współpracę strategiczną i wymianę informacji. W jej skład wchodzą przedstawiciele państw członkowskich, Komisji i ENISA. W stosownych przypadkach Grupa Współpracy może zaprosić Parlament Europejski i przedstawicieli odpowiednich zainteresowanych stron do udziału w jej pracach.

Europejska Sieć Organizacji Łącznikowych do spraw Kryzysów Cyberbezpieczeństwa

Europejska Sieć Organizacji Łącznikowych do spraw Kryzysów Cyberbezpieczeństwa (EU-CyCLONe) to sieć składająca się z przedstawicieli organów państw członkowskich ds. zarządzania kryzysowego w cyberbezpieczeństwie, jak również Komisji, w przypadkach gdy potencjalny lub trwający incydent w cyberbezpieczeństwie na dużą skalę ma lub może mieć znaczący wpływ na sektory objęte dyrektywą. W innych przypadkach Komisja uczestniczy w działaniach sieci w charakterze obserwatora.

Sieć wspiera skoordynowane zarządzanie na szczeblu operacyjnym incydentami i sytuacjami kryzysowymi w cyberbezpieczeństwie na dużą skalę oraz zapewnia regularną wymianę informacji między państwami członkowskimi oraz instytucjami UE, jej organami, urzędami i agencjami.

Zadaniem sieci jest między innymi:

• koordynowanie zarządzania incydentami i sytuacjami kryzysowymi w cyberbezpieczeństwie na dużą skalę oraz wspieranie podejmowania decyzji na szczeblu politycznym;
• zwiększenie gotowości;
• rozwijanie wspólnej świadomości sytuacyjnej;
• ocena skutków i wpływu incydentów i sytuacji kryzysowych w cyberbezpieczeństwie na dużą skalę oraz zaproponowanie możliwych środków łagodzących.

Środki zarządzania ryzykiem w cyberprzestrzeni;

Podmioty muszą podjąć odpowiednie i proporcjonalne techniczne, operacyjne i organizacyjne działania dotyczące zarządzania ryzykiem w zakresie cyberbezpieczeństwa. Katalog działań obejmuje m.in. analizę ryzyka i polityki bezpieczeństwa systemów informatycznych, obsługę incydentów, ciągłość działania, usuwanie skutków awarii i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, obsługę i ujawnianie luk w zabezpieczeniach, podstawowe praktyki higieniczne, polityki i procedury dotyczące korzystania z kryptografii (i szyfrowania, w stosownych przypadkach), bezpieczeństwo zasobów ludzkich oraz korzystanie z uwierzytelniania wieloskładnikowego lub rozwiązań ciągłego uwierzytelniania. Działania te muszą opierać się na podejściu uwzględniającym wszystkie zagrożenia.

Organy zarządzające muszą zatwierdzać te środki i nadzorować ich wdrażanie, a za naruszenia mogą zostać pociągnięte do odpowiedzialności.

Sprawozdawczość

Podmioty muszą powiadomić swoje CSIRT lub odpowiedni organ o każdym incydencie, który:

• spowodował lub może spowodować poważne zakłócenia operacyjne lub straty finansowe dla danego podmiotu;
• wpłynął lub jest w stanie wpłynąć na inne osoby, powodując znaczne szkody majątkowe i niemajątkowe.

Ponadto ENISA opracuje we współpracy z Komisją i Grupą Współpracy dwuletnie sprawozdanie na temat stanu cyberbezpieczeństwa w UE, które zostanie również przedłożone Parlamentowi.

Nadzór i egzekwowanie przepisów

Dyrektywa przewiduje środki zaradcze i sankcje w celu zapewnienia egzekwowania przepisów.

Oceny wzajemne

Celem ocen wzajemnych jest wyciąganie wniosków ze wspólnych doświadczeń, wzmocnienie wzajemnego zaufania, osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa oraz zwiększenie zdolności państw członkowskich w zakresie cyberbezpieczeństwa niezbędnych do wdrożenia tej dyrektywy oraz doskonalenie ich polityk w tej dziedzinie. Oceny te obejmują fizyczne lub wirtualne wizyty na miejscu i zdalną wymianę informacji. Udział w tych ocenach wzajemnych jest dobrowolny.

Akt wykonawczy

Rozporządzenie wykonawcze (UE) 2024/2690 ustanawia zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodologicznych dotyczących środków zarządzania ryzykiem dotyczącym cyberbezpieczeństwa, a ponadto określa przypadki, w których incydent uznaje się za istotny dotyczące:

• dostawców usług systemu nazw domen,
• rejestrów nazw domen najwyższego poziomu,
• dostawców usług przetwarzania w chmurze,
• dostawców usług w zakresie centrów danych.
• dostawców sieci dostarczania treści,
• dostawców usług zarządzanych,
• dostawców usług zarządzanych w zakresie bezpieczeństwa,
• dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług społecznościowych, oraz
• dostawców usług dotyczących zaufania.

Uchylenie

Dyrektywa (UE) 2022/2555 uchyliła dyrektywę (UE) 2016/1148 (zob. streszczenie) z dniem 18 października 2024 roku, a rozporządzenie wykonawcze (UE) 2024/2690 uchyliło rozporządzenie wykonawcze (UE) 2018/151, które ustanowiło zasady stosowania dyrektywy (UE) 2016/1148.