Inwestycje
Forum

Cyberbezpieczeństwo według Dyrektywy NIS

Publikacja: 22.03.2019 20:00

Krzysztof Wojdyło, adwokat, wspólnik Kancelaria Wardyński i Wspólnicy

Krzysztof Wojdyło, adwokat, wspólnik Kancelaria Wardyński i Wspólnicy

Foto: materiały prasowe

Krzysztof Wojdyło

Kogo dotyczy Dyrektywa NIS i jakie obowiązki z niej wynikają?

Dyrektywa NIS, czyli dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, to akt prawa europejskiego, który musiał zostać zaimplementowany do porządków prawnych poszczególnych państw członkowskich. W Polsce dokonało się to za pośrednictwem ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (ustawa o cyberbezpieczeństwie).

Dyrektywa NIS nie obejmuje swoim zakresem wszystkich przedsiębiorców. Jej przepisy mają zastosowanie do operatorów usług kluczowych oraz dostawców usług cyfrowych (znaczenie obu tych pojęć zostało określone w ustawie o cyberbezpieczeństwie).

Operatorzy usług kluczowych to podmioty z określonych przez ustawę o cyberbezpieczeństwie strategicznych sektorów gospodarki. O tym, czy dany przedsiębiorca zostanie operatorem usług kluczowych, decyduje decyzja właściwego organu do spraw cyberbezpieczeństwa. Sytuacja jest więc o tyle klarowna, że dany przedsiębiorca nie musi ustalać samodzielnie, czy podlega ustawie o cyberbezpieczeństwie. Czyni to za niego organ administracji.

Inaczej jest w przypadku dostawców usług cyfrowych. Są to podmioty, które świadczą określone usługi cyfrowe wskazane w załączniku do ustawy o cyberbezpieczeństwie. W tym przypadku nie dochodzi do wydania żadnej decyzji administracyjnej. To sam przedsiębiorca musi określić, czy spełnia kryteria kwalifikacyjne. Nie zawsze będzie to łatwe lub oczywiste, zważywszy w szczególności, jak ogólnie są zdefiniowane usługi cyfrowe. W załączniku do ustawy jest mowa o trzech usługach: internetowej platformie handlowej, usłudze przetwarzania w chmurze oraz wyszukiwarce internetowej. W szczególności usługa przetwarzania w chmurze może w praktyce rodzić szereg wątpliwości interpretacyjnych.

Podział na operatorów usług kluczowych oraz dostawców usług cyfrowych ma istotne znaczenie praktyczne. Istnieją bowiem różnice w zakresie obowiązków ciążących na tych dwóch kategoriach podmiotów. Zasadniczo dyrektywa NIS nakłada obowiązek stworzenia określonego systemu zarządzania cyberbezpieczeństwem w organizacji, odpowiedniego audytowania tego systemu oraz raportowania incydentów w zakresie cyberbezpieczeństwa.

Jakie są największe wyzwania przy wdrażaniu Dyrektywy NIS?

Jednym z największych wyzwań logistycznych jest zaimplementowanie systemu zarządzania bezpieczeństwem. Obowiązek ten spoczywa na operatorach usług kluczowych. Jest to kompleksowy system obejmujący zarówno rozwiązania techniczne, jak i organizacyjne oraz proceduralne. Akty wykonawcze do ustawy o cyberbezpieczeństwie określają bardziej szczegółowo elementy składowe tego systemu, wskazując m.in. na konieczność posiadania systemu zarządzania bezpieczeństwem informacji zgodnego z normą PN-EN ISO/IEC 27001 oraz systemu zarządzania ciągłością działania zgodnego z normą PN-EN ISO 22301.

Operatorzy usług kluczowych muszą również podjąć istotną strategiczną decyzję dotyczącą tego, czy obowiązki w zakresie cyberbezpieczeństwa będą wykonywać za pomocą odpowiednich wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, czy też powierzą wykonywanie tych obowiązków podmiotowi świadczącemu usługi z zakresu cyberbezpieczeństwa. Zarówno wewnętrzne struktury, jak i zewnętrzne podmioty świadczące usługi z zakresu cyberbezpieczeństwa muszą spełniać rygorystyczne wymogi techniczne oraz organizacyjne określone w aktach wykonawczych do ustawy o cyberbezpieczeństwie. Istotnym obowiązkiem operatorów usług kluczowych jest również konieczność przeprowadzania, przynajmniej raz na dwa lata, audytu bezpieczeństwa systemu informatycznego wykorzystywanego do świadczenia usługi kluczowej.

W odniesieniu do dostawców usług cyfrowych posłużono się nieco innym zabiegiem legislacyjnym. Ustawa o cyberbezpieczeństwie, określając obowiązki dostawców usług cyfrowych, odsyła do rozporządzenia Komisji (UE) nr 2018/151, wskazując, że dostawcy podejmują właściwe i proporcjonalne środki techniczne i organizacyjne określone w tym rozporządzeniu.

Jednym z najważniejszych i w praktyce najtrudniejszych do zrealizowania obowiązków wynikających z nowych regulacji jest obowiązek raportowania incydentów. Spoczywa on zarówno na operatorach usług kluczowych, jak i na dostawcach usług cyfrowych, przy czym obowiązki tych dwóch kategorii podmiotów nieco się między sobą różnią.

Obligatoryjne jest zgłaszanie incydentów o określonym poziomie istotności. W przypadku operatorów progi istotności wynikają z rozporządzenia Rady Ministrów z dnia 31 października 2018 r. W przypadku dostawców progi zostały określone we wspomnianym już rozporządzeniu Komisji (UE) nr 2018/151. Zgłoszenie incydentu powinno nastąpić w ciągu 24 godzin od momentu jego wykrycia. Czasu na dokonanie stosownych analiz jest więc bardzo mało.

Sytuacja komplikuje się znacznie w przypadku podmiotów, które podlegają równolegle kilku reżimom zgłaszania incydentów. Warto w tym kontekście wspomnieć chociażby o RODO, które również przewiduje obligatoryjne zgłaszanie naruszeń danych osobowych. Inne akty prawne przewidujące takie reżimy to m.in. regulacje dotyczące usług zaufania. Istotne znaczenie praktyczne w tym kontekście może mieć też rozporządzenie MAR.

Bardzo ważne staje się zatem odpowiednie zidentyfikowanie obowiązków w zakresie zgłaszania incydentów, którym podlega dana instytucja. W przypadku równoległego podlegania kilku reżimom należy precyzyjnie zbadać zależności między nimi (np. nie każdy incydent w rozumieniu dyrektywy NIS musi być naruszeniem danych osobowych w rozumieniu RODO). Trzeba też ustalić odpowiednie ścieżki postępowania w celu prawidłowej realizacji obowiązków wynikających z każdego z tych reżimów. Niezwykle istotne jest zapewnienie w organizacji odpowiedniej współpracy pomiędzy działem prawnym, działem IT oraz kadrą zarządzającą w pierwszych godzinach po wykryciu incydentu. To od sprawnego współdziałania tych obszarów organizacji będzie zależało prawidłowe wypełnienie obowiązków w zakresie zgłaszania incydentów.

Największe szanse i zagrożenia, jakie wynikają z dyrektywy?

Dyrektywa NIS to pierwsza tak kompleksowa regulacja dotycząca cyberbezpieczeństwa. Wcześniej mieliśmy wprawdzie szczątkowe regulacje poświęcone tej tematyce, były one jednak rozproszone i dotyczyły tylko wybranych sektorów gospodarki (w dużej mierze telekomunikacji).

Ambicją dyrektywy NIS jest stworzenie podstaw dla wielopoziomowego, spójnego systemu cyberbezpieczeństwa. Pomimo że dyrektywa nakłada bezpośrednie obowiązki jedynie na wybrane kategorie przedsiębiorców, w praktyce może mieć znaczenie dla znacznie szerszego kręgu podmiotów. Należy bowiem przypuszczać, że standardy cyberbezpieczeństwa wypracowane na potrzeby dyrektywy będą swoistym punktem odniesienia definiującym miarę należytej staranności na potrzeby chociażby rozstrzygania sporów w zakresie cyberincydentów.

Krzysztof Wojdyło adwokat, wspólnik Kancelaria Wardyński i Wspólnicy

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: PARKIET

Akademia inwestycyjna
Tomasz Bursa, doradca inwestycyjny, wiceprezes OPTI TFI
Inwestycje
Tomasz Bursa, OPTI TFI: WIG ma szanse na rekord, nawet na 100 tys. pkt.
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
Materiał Promocyjny
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Gościem Przemysława Tychmanowicza był Emil Łobodziński, doradca inwestycyjny w BM PKO BP. Fot. mat.
Inwestycje
Emil Łobodziński, BM PKO BP: Nasz rynek pozostaje atrakcyjny, ale...
GPW i rajd św. Mikołaja. Czy to może się udać?
Inwestycje
GPW i rajd św. Mikołaja. Czy to może się udać?
Co dalej z WIG20? Czy zbliża się moment korekty spadkowej?
Inwestycje
Co dalej z WIG20? Czy zbliża się moment korekty spadkowej?
Cyfrowe narzędzia to podstawa działań przedsiębiorstwa, które chce być konkurencyjne
Materiał Promocyjny
Cyfrowe narzędzia to podstawa działań przedsiębiorstwa, które chce być konkurencyjne
Ropa naftowa szuka pretekstu do ruchu w górę
Inwestycje
Ropa naftowa szuka pretekstu do ruchu w górę
O tym huczy cała Wall Street. Jak Saylor zahipnotyzował inwestorów?
Inwestycje
O tym huczy cała Wall Street. Jak Saylor zahipnotyzował inwestorów?
e-Wydanie
Forum