Cyberbezpieczeństwo sieci i systemów informatycznych

STRESZCZENIE DOKUMENTU:

Dyrektywa (UE) 2016/1148 – cyberbezpieczeństwo sieci i systemów informatycznych

JAKIE SĄ CELE DYREKTYWY?

W dyrektywie przewidziano szeroki wachlarz środków służących zwiększeniu poziomu bezpieczeństwa sieci i systemów informatycznych (cyberbezpieczeństwo*) z myślą o zabezpieczeniu usług istotnych dla gospodarki UE oraz społeczeństwa. Służy ona zapewnieniu, że państwa UE są należycie przygotowane i gotowe do podejmowania działań w razie wystąpienia cyberataków i reagowania na nie, a ponadto wprowadza obowiązek:

• wyznaczenia właściwych organów,
• ustanowienia zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), oraz
• przyjęcia krajowych strategii cyberbezpieczeństwa.

Zgodnie z dyrektywą współpraca na szczeblu unijnym ma dotyczyć wymiaru zarówno strategicznego, jak i technicznego.

Wreszcie dyrektywa nakłada na operatorów usług kluczowych i dostawców usług cyfrowych obowiązek wprowadzania stosownych środków bezpieczeństwa oraz zgłaszania poważnych incydentów odpowiednim organom krajowym.

KLUCZOWE ZAGADNIENIA

Zwiększanie krajowych zdolności w dziedzinie cyberbezpieczeństwa

Państwa UE:

• wyznaczają co najmniej jeden właściwy organ krajowy oraz CSIRT, a także pojedynczy punkt kontaktowy (jeśli właściwy jest więcej niż jeden organ);
• identyfikują operatorów usług kluczowych w krytycznych sektorach, takich jak energetyka, transport, finanse, bankowość, służba zdrowia, woda i infrastruktura cyfrowa, w których cyberatak mógłby zakłócić usługę kluczową.

Państwa UE są także zobowiązane do wdrożenia krajowej strategii cyberbezpieczeństwa dla sieci i systemów informatycznych*, która obejmuje następujące zagadnienia:

• przygotowanie i gotowość do podejmowania działań w razie wystąpienia cyberataków i reagowania na nie;
• role i zakresy obowiązków organów rządowych i innych podmiotów, a także współpracę między nimi;
• programy edukacyjne, informacyjne i szkoleniowe;
• plany badawczo-rozwojowe;
• planowanie z myślą o określeniu ryzyk.

Właściwe organy krajowe monitorują stosowanie dyrektywy:

• oceniając politykę cyberbezpieczeństwa i bezpieczeństwa stosowaną przez operatorów usług kluczowych;
• nadzorując dostawców usług cyfrowych;
• uczestnicząc w pracach grupy współpracy (w której skład wchodzą właściwe organy odpowiedzialne za bezpieczeństwo sieci i informacji z każdego z państw UE, Komisja Europejska oraz Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA));
• przekazując ogółowi społeczeństwa, przy zachowaniu poufności, informacje niezbędne do zapobieżenia incydentowi lub poradzenia sobie z trwającym incydentem;
• wydając wiążące polecenia w celu zaradzenia uchybieniom w dziedzinie cyberbezpieczeństwa.

Zadania CSIRT obejmują:

• monitorowanie cyberincydentów i reagowanie na nie;
• zapewnianie analizy ryzyka i incydentów oraz orientacji sytuacyjnej;
• udział w sieci CSIRT;
• współpracę z sektorem prywatnym;
• wspieranie stosowania znormalizowanych praktyk w odniesieniu do postępowania w przypadku incydentu i wystąpienia ryzyka oraz klasyfikacji informacji.

Wymogi dotyczące bezpieczeństwa i zgłaszania incydentów

Celem dyrektywy jest propagowanie kultury zarządzania ryzykiem. Przedsiębiorstwa prowadzące działalność w najważniejszych sektorach muszą dokonać oceny ryzyka, na jakie są narażone, a także podjąć działania pozwalające zapewnić cyberbezpieczeństwo. Zgłaszają one właściwym organom lub CSIRT wszelkie istotne incydenty, takie jak włamania lub przypadki kradzieży danych, które w sposób poważny naruszają cyberbezpieczeństwo i mają istotny skutek zakłócający dla ciągłości usług krytycznych i dostaw towarów.

Przy określaniu, które incydenty mają być zgłaszane przez operatorów usług kluczowych*, państwa UE biorą pod uwagę czas trwania i zasięg geograficzny incydentu, a także inne czynniki, na przykład liczbę użytkowników korzystających z danej usługi.

Najważniejsi dostawcy usług cyfrowych (wyszukiwarek, usług przetwarzania w chmurze i internetowych platform handlowych) również będą musieli spełnić wymogi dotyczące bezpieczeństwa i zgłaszania incydentów.

Lepsza współpraca na szczeblu UE

Na mocy dyrektywy ustanawia się grupę współpracy, której zadania obejmują:

• udzielanie wskazówek dotyczących działalności sieci CSIRT;
• wymianę najlepszych praktyk dotyczących identyfikowania operatorów usług kluczowych;
• pomaganie państwom UE w budowaniu zdolności w zakresie cyberbezpieczeństwa;
• wymianę informacji i najlepszych praktyk dotyczących podnoszenia świadomości i szkolenia oraz badań i rozwoju;
• wymianę informacji i gromadzenie informacji z zakresu najlepszych praktyk dotyczących ryzyk i incydentów;
• omawianie zasad dotyczących zgłaszania incydentów.

W dyrektywie ustanawia się także sieć CSIRT, która składa się z przedstawicieli CSIRT z państw UE oraz zespołu reagowania na incydenty komputerowe (CERT–EU). Jej zadania obejmują:

• wymianę informacji dotyczących usług CSIRT;
• wymianę informacji dotyczących cyberincydentów;
• zapewnianie państwom UE wsparcia w zakresie reagowania na incydenty transgraniczne;
• omawianie i określanie skoordynowanej reakcji na incydent zgłoszony przez państwo UE;
• omawianie, badanie i określanie dalszych form współpracy operacyjnej, w tym w odniesieniu do:
  • kategorii ryzyk i incydentów;
  • wczesnego ostrzegania;
  • wzajemnej pomocy;
  • koordynacji w przypadku gdy państwa reagują na ryzyka i incydenty dotyczące więcej niż jednego państwa UE;
• informowanie grupy współpracy o swoich działaniach i zwracanie się o wskazówki;
• omawianie wniosków z ćwiczeń w zakresie cyberbezpieczeństwa;
• omawianie zdolności danego CSIRT (na jego wniosek);
• wydawanie wytycznych dotyczących współpracy operacyjnej.

Sankcje

Państwa UE stosują skuteczne, proporcjonalne i odstraszające sankcje w celu zapewnienia stosowania przepisów dyrektywy.

OD KIEDY DYREKTYWA MA ZASTOSOWANIE?

Dyrektywa ma zastosowanie od dnia 8 sierpnia 2016 r. Państwa UE włączają ją do prawa krajowego do dnia 9 maja 2018 r., zaś do dnia 9 listopada 2018 r. dokonują identyfikacji operatorów usług kluczowych.

KONTEKST

• Cyberbezpieczeństwo (Komisja Europejska)
• Cyberbezpieczeństwo: silniejsza reakcja Komisji na cyber ataki – komunikat prasowy (Komisja Europejska)
• Dyrektywa w sprawie bezpieczeństwa sieci i systemów informatycznych – komunikat prasowy (Komisja Europejska)
• Odporność, prewencja i obrona: budowa solidnego cyberbezpieczeństwa w Europie – nota informacyjna (Komisja Europejska).

KLUCZOWE POJĘCIA

GŁÓWNY DOKUMENT

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194 z 19.7.2016, s. 1–30)

DOKUMENTY POWIĄZANE

Rozporządzenie wykonawcze Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiające zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ (Dz.U. L 26 z 31.1.2018, s. 48–51)

Decyzja wykonawcza Komisji (UE) 2017/179 z dnia 1 lutego 2017 r. ustanawiająca procedury niezbędne do funkcjonowania grupy współpracy zgodnie z art. 11 ust. 5 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 28 z 2.2.2017, s. 73–77)

Komunikat Komisji do Parlamentu Europejskiego i Rady: Pełne wykorzystanie potencjału bezpieczeństwa sieci i informacji – zapewnienie skutecznego wdrożenia dyrektywy (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (COM(2017) 476 final 2 z 4.10.2017)

Zalecenie Komisji (UE) 2017/1584 z dnia 13 września 2017 r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę (Dz.U. L 239 z 19.9.2017, s. 36–58)

Wspólny komunikat do Parlamentu Europejskiego i Rady – Odporność, prewencja i obrona: budowa solidnego bezpieczeństwa cybernetycznego Unii Europejskiej (JOIN(2017) 450 final z 13.9.2017)

Dokument roboczy służb Komisji – ocena unijnej strategii bezpieczeństwa cybernetycznego z 2013 r. (SWD(2017) 295 final z 13.9.2017)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. L 257 z 28.8.2014, s. 73–114)

Decyzja Rady z dnia 23 września 2013 r. w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE (2013/488/UE) (Dz.U. L 274 z 15.10.2013, s. 1–50).

Kolejne zmiany decyzji 2013/488/UE zostały włączone do tekstu podstawowego. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW (Dz.U. L 218 z 14.8.2013, s. 8–14)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 526/2013 z dnia 21 maja 2013 r. w sprawie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz uchylające rozporządzenie (WE) nr 460/2004 (Dz.U. L 165 z 18.6.2013, s. 41–58)

Wspólny komunikat do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów – Strategia bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń (JOIN(2013) 1 final z 7.2.2013)

Ostatnia aktualizacja: 01.03.2018