font_preload
PL / EN
Bezpieczeństwo Cyberprzestrzeń 8 grudnia, 2015 godz. 15:15   
REDAKCJA

Instytut Kościuszki: Coraz bliżej unijnego cyberbezpieczeństwa

HakerKomputer

ANALIZA

dr Joanna Kulesza

Ekspert ds. cyberbezpieczeństwa

Instytut Kościuszki

Komisja Europejska uzgodniła z przedstawicielami Parlamentu Europejskiego tekst Dyrektywy w sprawie bezpieczeństwa sieci i informacji – Network and Information Security (NIS) Directive. Zanim zapisy Dyrektywy staną się europejskim prawem, wymaga ona zatwierdzenia przez komitet PE ds. rynku wewnętrznego i Komitet Stałych Przedstawicieli RE, jednak istotne zmiany w unijnym prawie, gwarantujące nowe standardy europejskiego cyberbezpieczeństwa, są przesądzone.

Mimo że ilość cyberataków na systemy służące do świadczenia usług społeczeństwa informacyjnego rośnie, przynosząc ok. 300 miliardów EURO strat rocznie w skali Unii Europejskiej, do tej pory UE nie dysponowała wspólną, prawnie umocowaną polityką cyberbezpieczeństwa.

Postanowienia uzgodnione właśnie na poziomie unijnym są ważne nie tylko dla zagranicznych gigantów, jak Microsoft czy Cisco, oferujących swoje usługi na wspólnym europejskim rynku, to również ważny sygnał do zmian na gruncie polskim, gdyż brak regulacji na poziomie UE nie może być dłużej pretekstem do odwlekania koniecznych reform legislacyjnych w kwestii cyberbezpieczeństwa. Polscy przedsiębiorcy, od KGHM po PKO BP, od sektora energetycznego po telekomunikacyjny, będą musieli wprowadzić dodatkowe środki gwarantujące bezpieczeństwo oferowanych usług. O ile dyrektywy UE nie mają bezpośredniego zastosowania w prawie polskim i wymagają odpowiednich zmian w prawie krajowym, co oznaczać może jeszcze kilka lat nim krajowi dostawcy będą musieli znaleźć środki na zabezpieczenie oferowanych usług na unijnym poziomie, o tyle przyjęcie tekstu Dyrektywy NIS to ważny krok w kierunku ujednolicenia polityki cyberbezpieczeństwa Unii.

Bez wątpienia, brak efektywnych mechanizmów międzynarodowej współpracy nie tylko w Europie, ale i na świecie, to największe zagrożenie dla dostawców i użytkowników usług świadczonych z wykorzystaniem Internetu. Dyrektywa ma zapewnić nie tylko wspólne standardy ochrony świadczonych w Europie usług, ale także zasady wymiany informacji o zagrożeniach pomiędzy państwami. Uzgodniona dziś regulacja oparta jest o pojęcie infrastruktury krytycznej i jej istotnym osiągnięciem jest uzgodnienie zakresu tego terminu. Choć nie wolny od kontrowersji i dość szeroki, zakres infrastruktury krytycznej (objętej szczególnymi wymogami bezpieczeństwa) dotyczy usług najistotniejszych dla funkcjonowania państw i współczesnych społeczeństw. Do najważniejszych elementów kluczowych infrastruktur kraju zaliczyć można m.in. usługi sektora energetycznego, finansowego, transportowego, te z zakresu ochrony zdrowia, ale także usługi telekomunikacyjne, a więc m.in. internetowe sklepy, wyszukiwarki oraz usługi oferowane zdalnie („w chmurze”).

Krytyka Dyrektywy od czasu przedstawienia jej projektów koncentruje się wokół dwóch elementów: nierównego rozłożenia praw i obowiązków pomiędzy podmioty prywatne i państwowe oraz źródeł finansowania owych nowych obowiązków, spoczywających na przedsiębiorcach. O ile więc przedsiębiorcy zobowiązani zostaną nie tylko do samodzielnego zagwarantowania bezpieczeństwa świadczonych usług na wskazanym przez UE poziomie, będą musieli także dzielić się z instytucjami państwowymi informacjami o aktualnych zagrożeniach i odnotowanych atakach na infrastrukturę pozostającą w ich dyspozycji. Obowiązek ten nie będzie jednak dotyczył podmiotów publicznych, przede wszystkim centralnych instytucji państwowych, które stanowią przecież jeden z ulubionych celów cyberataków, co postrzegane jest jako wyraz nierównego traktowania uczestników elektronicznego obrotu. Ramowy charakter Dyrektywy determinuje także, iż brak w jej treści szczegółowych zaleceń dotyczących sposobu, w jaki państwa zobowiązane będą przetwarzać czy udostępniać informację otrzymane od przedsiębiorców. Liczyć więc pozostaje, że w drodze współpracy sektora publicznego z prywatnym, realizowanej przez obie strony w dobrej wierze i dla realizacji dobrze rozumianego wspólnego celu, jakim jest ochrona przez cyberatakami, uda się wypracować skuteczne mechanizmy zapewniające cyberbezpieczeństwa.

Źródło: Instytut Kościuszki