Analizy
Dyrektywa NIS - nowe wymogi dotyczące cyberbezpieczeństwa dla firm z kluczowych sektorów gospodarki
Alert prawny 1/2017 | 1 lutego 2017 r.
Firmy z kluczowych sektorów gospodarki, w tym banki, dostawcy infrastruktury cyfrowej, usługodawcy internetowi, przedsiębiorstwa energetyczne, transportowe, a także zajmujące się ochroną zdrowia będą musiały w swojej działalności zwracać większą uwagę na kwestie cyberbezpieczeństwa.
Wynika to z przepisów dyrektywy NIS (Network and Information Systems Directive, dyrektywa Parlamentu Europejskiego i Rady 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii).
Obowiązki przewidziane w Dyrektywie NIS
Dyrektywa NIS przewiduje obowiązek wdrożenia przez państwa członkowskie przepisów, które pozwolą na zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej, tj. w szczególności:
- ustanowienie procedur i obowiązku zgłaszania incydentów dotyczących cyberbezpieczeństwa dla przedsiębiorców z sektorów kluczowych,
- ustanowienie szczególnych wymogów dotyczących zapewniania bezpieczeństwa przez przedsiębiorców z sektorów kluczowych,
- przyjęcie na poziomie krajowym strategii w zakresie bezpieczeństwa sieci i systemów IT,
- utworzenie sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT, Computer Security Incident Response Teams),
- stworzenie specjalnej grupy zapewniającej strategiczną współpracę oraz wymianę informacji, w szczególności biorąc pod uwagę, że incydenty związane z cyberbezpieczeństwem często dotyczą wielu państw równocześnie.
Kogo dotyczą obowiązki w zakresie cyberbezpieczeństwa
Adresatami nowych przepisów będą dwie grupy podmiotów:
- tzw. „operatorzy usług kluczowych”
Zaliczają się do nich przedsiębiorstwa z sektorów takich jak bankowość, infrastruktura rynków finansowych (wśród tych przedsiębiorców znajdują się operatorzy systemów obrotu w rozumieniu MiFID II oraz kontrahenci centralni w rozumieniu EMIR), infrastruktura cyfrowa, energetyka, transport, czy ochrona zdrowia.
Państwa członkowskie są zobowiązane do przygotowania we własnym zakresie list operatorów kluczowych z powyższych sektorów, biorąc pod uwagę szereg czynników takich jak np. znaczenie danego przedsiębiorcy dla działalności sektora, czy świadczenia kluczowych usług, jego udział w rynku, powiązanie z innymi sektorami kluczowymi lub zależność świadczenia danej usługi od systemów informatycznych.
- dostawcy usług cyfrowych
Obowiązki dotyczące zapewnienia odpowiedniego poziomu bezpieczeństwa oraz zgłaszania incydentów mających znaczenie dla cyberbezpieczeństwa dotyczyć będą również niektórych dostawców usług cyfrowych, a konkretnie: internetowych platform handlowych, usług przetwarzania w chmurze oraz wyszukiwarek internetowych. Wymogi przewidziane w NIS nie powinny dotyczyć mikro i małych przedsiębiorców.
Ramy prawne dla cyberbezpieczeństwa w Polsce
Dyrektywa NIS ma charakter ogólny i zobowiązuje państwa członkowskie do wdrożenia odpowiednich szczegółowych mechanizmów na poziomie krajowym. Dlatego też w rezultacie może okazać się, że sposób implementacji do porządków krajowych będzie zróżnicowany, a na przedsiębiorcach działających w różnych państwach będą ciążyć odmienne obowiązki.
W sektorach już dziś silnie regulowanych, takich jak sektor finansowy, gdzie istnieją regulacje dotyczące bezpieczeństwa sieci i systemów IT, różnice mogą być mniej znaczące. Niewątpliwie jednak osiągnięcie celu, jakim jest wyższy poziom cyberbezpieczeństwa w sektorach krytycznych, zależeć będzie w dużej mierze od jakości aktów prawa krajowego oraz wskazania konkretnych środków bezpieczeństwa, klasyfikacji incydentów oraz kształtu nadzoru.
W resorcie cyfryzacji trwają prace nad ustawą o krajowym systemie cyberbezpieczeństwa, która ma stanowić m.in. implementację Dyrektywy NIS. Powołano również Narodowe Centrum Cyberbezpieczeństwa, które ma być odpowiedzialne za cyberbezpieczeństwo w Polsce i pracować w trybie ciągłym. Ma ono pełnić funkcję centrum wczesnego ostrzegania i szybkiego reagowania w razie ewentualnych ataków, a także koordynowania działań i wymiany informacji.