Oficjalne przyjęcie Dyrektywy Bezpieczeństwa Sieci i Informacji przez Parlament Europejski to przełomowe wydarzenie z punktu widzenia cyberbezpieczeństwa Unii Europejskiej. Dokument
z pewnością będzie katalizatorem zmian w obszarze cyberbezpieczeństwa Polski i Europy, jednak sam w sobie nie jest gwarancją sukcesu i panaceum na wszystkie problemy. Wiele będzie zależało od jakości implementacji Dyrektywy – podkreśla dr Joanna Świątkowska z Instytutu Kościuszki*.
Dokument będzie narzędziem, które wymusi podjęcie wielu działań w obszarze cyberbezpieczeństwa, ale to od jakości jej implementacji zależeć będzie, czy przyniosą one oczekiwany skutek. Patrząc wyłącznie z perspektywy Polski, możemy zauważyć, że aby w pełni osiągnąć sukces należy stawić czoła wielu wyzwaniom. Oto kilka wybranych obszarów działań.
Potrzeba nowej strategii
Przede wszystkim, konieczne będzie przemyślenie strategicznego podejścia do organizacji systemu cyberbezpieczeństwa. Dyrektywa wymaga, aby każdy kraj UE posiadał strategię Bezpieczeństwa Sieci
i Informacji. Choć teoretycznie Polska posiada bardzo ważny dokument poświęcony cyberbezpieczeństwu (Polityka Ochrony Cyberprzestrzeni), zdecydowanie jakościowo nie spełnia on wymagań postawionych przez Dyrektywę. Między innymi brakuje mu jasno określonych celów, priorytetów, konkretnych działań, mechanizmów współpracy, określenia odpowiedzialności poszczególnych aktorów. Dlatego właśnie, Polska powinna stworzyć nową strategię, która w rzeczywisty sposób określi najważniejsze elementy krajowego systemu cyberbezpieczeństwa, wskaże cele i konkretne działania, jakie pozwolą je osiągnąć. Ministerstwo Cyfryzacji aktualnie pracuje nad strategią cyberbezpieczeństwa RP. Wcześniej konsultowane były założenia tego dokumentu. Miejmy nadzieję, że spełni on pokładane nadzieje oraz, że wyznaczy strategiczne kierunki działań
w obszarze cyberbezpieczeństwa. Byłby to kolejny ważny krok po niedawnym uruchomieniu Narodowego Centrum Cyberbezpieczeństwa.
Potrzebny nowy model efektywnej współpracy i zmiany prawne
Dyrektywa wymusi olbrzymią zmianę w zakresie współpracy z podmiotami funkcjonującymi
w krytycznych sektorach gospodarki. Prawo unijne spowoduje, że każdy kraj będzie musiał wyznaczyć podmioty, które z racji wagi usług świadczonych dla społeczeństwa i gospodarki, są szczególnie istotne dla bezpieczeństwa państwa i dlatego muszą szczególnie zadbać o swoje cyberbezpieczeństwo. Podmioty te będą musiały spełnić wymagania dotyczące zapewniania cyberbezpieczeństwa, jak również będą zobligowane do raportowania określonych incydentów cybernetycznych. W Polsce funkcjonuje niejawna lista operatorów i właścicieli infrastruktury krytycznej w obrębie 11 określonych w ustawie sektorów. Należy podkreślić, że coraz częściej są to podmioty prywatne i to właśnie one odpowiedzialne są za bezpieczeństwo. Współpraca między operatorami, a podmiotami państwowymi jest oparta na zasadzie dobrowolności. Co zmieni Dyrektywa? Należy się spodziewać, że do pewnego stopnia istniejąca lista infrastruktury krytycznej będzie pokrywać się z listą operatorów krytycznych usług. Dyrektywa mówi, że wyznaczone podmioty państwowe muszą mieć środki pozwalające upewnić się, że operatorzy wypełniają nałożone na nich wymagania. Państwo stanie zatem przed wyzwaniem przeformułowania czysto dobrowolnej współpracy na bardziej regulacyjną, być może nawet związaną z wprowadzeniem potencjalnych sankcji. Wymagać to będzie zmian prawnych. O konieczności stworzenia ustawy o cyberbezpieczeństwie Instytut Kościuszki apeluje od dawna. Teraz będzie ku temu sposobność. Omawiane zmiany to bardzo ważny proces, który musi zostać bardzo umiejętnie wprowadzony. Decydenci muszą zrozumieć, że tylko mądre podejście regulacyjne, wsparte systemem mechanizmów zachęt dla rzetelnego działania biznesu, może przynieść oczekiwane rezultaty. Instytut Kościuszki w raporcie pt. „Bezpieczeństwo infrastruktury krytycznej – wymiar teleinformatyczny” szczegółowo omawia te kwestie.
Unikanie błędów i rzetelne działanie
Dyrektywa jest dokumentem ogólnym i to od tego, jak rzetelnie będzie wdrażana na poziomie krajowym, zależeć będzie efekt końcowy. Diabeł tkwi w szczegółach. Kluczowe będzie między innymi to, jak dobrze uda się zaprojektować system wyznaczania operatorów, którzy poddani zostaną regulacjom; jak wyglądać będą środki bezpieczeństwa, które będą musieli oni wdrażać; jaki będzie proces nadzoru i kontroli; a w końcu, jak określone zostaną szczegóły choćby tego, które incydenty powinno się raportować. Konieczność tworzenia i wdrażania standardów została także omówiona we wcześniej wspomnianym raporcie Instytutu Kościuszki. Należy podkreślić, że wiele dobrych działań zaprojektowanych w Dyrektywie może rozbić się o nieprecyzyjność, czy też chęć wdrożenia pewnych działań wyłącznie dla wypełnienia obowiązku unijnego. Dlatego wdrażając jej zapisy, decydenci powinni korzystać z dobrych praktyk i wyciągnąć wnioski z nienajlepszych działań z przeszłości. Przykładem może być choćby problem wskazany w znanej wszystkim kontroli NIK.
Sprawa dotyczy zapisów prawa telekomunikacyjnego, które wypełniając założenia przepisów unijnych, włączyło do prawodawstwa polskiego obowiązek niezwłocznego informowania Prezesa UKE przez przedsiębiorców telekomunikacyjnych o naruszeniach bezpieczeństwa lub integralności sieci lub usług, mających istotny wpływ na ich funkcjonowanie oraz o podjętych przez nich działaniach zapobiegawczych i środkach naprawczych. Podobny obowiązek będą na mocy Dyrektywy spełniać operatorzy krytycznych usług. Problem w tym, że kontrola NIK obnażyła nieudolność funkcjonowania mechanizmu raportowania. Jak wskazuje NIK, w okresie od dnia wejścia w życie prawa telekomunikacyjnego do dnia 30 czerwca 2014 r., przedsiębiorcy telekomunikacyjni przekazali Prezesowi UKE tylko 5 zgłoszeń dotyczących incydentów bezpieczeństwa związanych z cyberprzestrzenią. Z ustaleń kontroli wynika natomiast, że w podobnym okresie, NASK była w posiadaniu informacji o około 40 milionach incydentów dotyczących sieci 9 największych krajowych przedsiębiorców telekomunikacyjnych. NIK wskazuje, że taka rozbieżność wynikała między innymi z nieprawidłowego kształtu przepisów, który dawał przedsiębiorcom za dużą swobodę i dowolność w zakresie oceny istotności incydentów i zasadności ich zgłaszania do UKE. Podobnych problemów należy unikać we wdrażaniu obowiązków wynikających z Dyrektywy.
Wyzwania stojące przed Europą
Wyzwania stojące przed implementacją Dyrektywy nie odnoszą się tylko do działań na poziomie poszczególnych państw. Są także wielkim testem dla całej wspólnoty. Dyrektywa przewiduje wprowadzenie wielu mechanizmów dążących do wzmacniania współpracy między państwami, zarówno na poziomie strategicznym, jak i operacyjnym. Szczegóły ich funkcjonowania mają być określone na późniejszym etapie. Od tego, jak sprawnie zostaną zaprojektowane, zależeć będzie sukces przedsięwzięcia. Najbardziej efektywne sposoby implementacji Dyrektywy NIS będą przedmiotem rozmów podczas II Europejskiego Forum Cyberbezpieczeństwa – CYBERSEC 2016.
Podsumowując, decydenci powinni potraktować Dyrektywę jako okazję do wprowadzenia pozytywnych procesów, a nie jako konieczność wypełnienia nowych działań. Szansa wynikająca z Dyrektywy musi zostać wykorzystana.
*dr Joanna Świątkowska – ekspert Instytutu Kościuszki, dyrektor Europejskiego Forum Cyberbezpieczeństwa – CYBERSEC