Ocipińska: Czy implementacja dyrektywy NIS poprawi cyberbezpieczeństwo w UE?
KOMENTARZ
Ewelina Ocipińska
prawnik w Kancelarii Prawnej RKKW – KWAŚNICKI, WRÓBEL i Partnerzy
Gwałtowny rozwój technologii informacyjnych sprzyja zwiększeniu efektywności komunikacji, powstawaniu innowacji oraz ułatwieniu świadczenia usług, ale także rodzi ogromne niebezpieczeństwa związane z atakami na sieci informatyczne.
Skalę problemu ilustruje „2016 Security Report” przygotowany przez firmę Check Point Software Technologies Ltd, zgodnie z którym w przeciętnym przedsiębiorstwie co 4 sekundy ściągane jest nieznane złośliwe oprogramowanie, co 32 minuty dane wrażliwe wysyłane są poza serwery przedsiębiorstwa, a straty przedsiębiorstw związane z utratą danych wzrosły w ostatnich 3 latach o 400 %. W samym 2015 roku wykryto prawie 144 miliony (!) rodzajów nowego złośliwego oprogramowania. Nie ulega zatem wątpliwości, że niezbędne jest skonstruowanie narzędzi zapewniających globalne cyberbezpieczeństwo.
Z tego względu w dniu 06.07.2016 r. Parlament Europejski przyjął dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”). Dyrektywa NIS została przyjęta jako odpowiedź na zagrożenia związane z cyberbezpieczeństwem w na terytorium Unii Europejskiej – wcześniej bowiem kwestia ta nie została w odpowiedni sposób uregulowana. Wprawdzie przyjmowane były takie dokumenty, jak np. dyrektywa dotycząca ataków na systemy informatyczne (2013/40/UE) czy dyrektywa w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (2008/114/WE), jednak nie ujednolicały one w odpowiednim stopniu przepisów oraz strategii państw członkowskich w zakresie cyberbezpieczeństwa. Wdrożenie Dyrektywy NIS ma natomiast stanowić „całościowe podejście na poziomie Unii, obejmujące wymogi dotyczące budowania i planowania wspólnych minimalnych zdolności, wymianę informacji, współpracę oraz wspólne wymogi w zakresie bezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych”.
Zakres podmiotowy Dyrektywy NIS obejmuje dostawców usług cyfrowych (takich jak wyszukiwarki, usługi oferowane w chmurze) oraz operatorów tzw. usług kluczowych, czyli operatorów z sektorów: energetyki (energia elektryczna, ropa naftowa, gaz), transportu (lotniczego, kolejowego, wodnego, drogowego), bankowości, rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną i jej dystrybucję. Dyrektywa NIS rozkłada prawa i obowiązki związane z cyberbezpieczeństwem pomiędzy podmioty prywatne i publiczne. Akt ten ma na celu osiągnięcie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w UE, poprzez m.in. usprawnienie przekazu informacji o pojawiających się zagrożeniach pomiędzy państwami UE oraz podmiotami sektora krytycznego oraz ujednolicenie standardów ochrony.
Cele dyrektywy mają zostać osiągnięte poprzez:
- ustanowienie obowiązków dla państw członkowskich dotyczących przyjęcia krajowej strategii cyberbezpieczeństwa;
- utworzenie sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT);
- stworzenie grupy współpracy zapewniającej strategiczną współpracę oraz wymianę informacji;
- ustanowienie wymogów dotyczących bezpieczeństwa sieci i informacji oraz zgłaszania incydentów;
- ustanowienie obowiązków dotyczących wyznaczania przez państwa członkowskie organów krajowych, punktów kontaktowych oraz CSIRT, którym powierzone zostaną zadania związane z cyberbezpieczeństwem.
Szczególną rolę we wdrażaniu dyrektywy będzie odgrywać Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA), której zadaniem jest koordynowanie współpracy pomiędzy państwami członkowskimi w zakresie cyberbezpieczeństwa.
Co najistotniejsze, na mocy postanowień Dyrektywy NIS państwa członkowskie obowiązane są zapewnić, aby operatorzy usług kluczowych, a także dostawcy usług cyfrowych (a zatem także podmioty prywatne), zgłaszali właściwemu organowi krajowemu lub CSIRT incydenty związane z bezpieczeństwem ich sieci informatycznych. Wyznaczone organy krajowe powinny dysponować odpowiednimi narzędziami pozwalającymi na weryfikację, czy podmioty te rzeczywiście wywiązują się ze swoich obowiązków. Łatwo bowiem wyobrazić sobie sytuację, w której np. banki niechętnie będą zgłaszały ataki na swoje sieci informatyczne, obawiając się utraty dobrej reputacji.
Dyrektywa NIS weszła w życie w sierpniu 2016 r. Od tego momentu państwa członkowskie mają 21 miesięcy na implementację jej postanowień do przepisów prawa krajowego oraz 6 miesięcy na określenie dostawców kluczowych usług. Ministerstwo Cyfryzacji obecnie pracuje nad projektem ustawy o krajowym systemie bezpieczeństwa oraz nad projektem strategii cyberbezpieczeństwa dla RP. Chociaż pozytywnie należy ocenić próbę kompleksowego uregulowania kwestii cyberbezpieczeństwa wśród krajów Unii Europejskie, w obecnej chwili trudno jest przewidzieć, czy wdrożenie dyrektywy w ustawodawstwo państw członkowskich rzeczywiście będzie efektywne i wpłynie na wzrost cyberbezpieczeństw, jak również pod znakiem zapytania stoi czy podmioty prywatne będą należycie wypełniać obowiązki z niej wynikające. Chociaż nie ulega wątpliwości, że kroki podejmowane przez UE są słuszne i niezbędne, to jednak wydaje się, że skala wyzwań związanych z cyberbezpieczeństwem oraz stały wzrost zagrożeń przewyższają możliwości legislacyjne zarówno w skali krajowej, jak i na poziomie międzynarodowym.
