Dyrektywa NIS czeka już tylko na formalne zatwierdzenie przez Parlament Europejski i ma wejść w życie w sierpniu 2016 r. Jej najważniejszym założeniem jest wzmocnienie współpracy pomiędzy państwami członkowskimi i Komisją Europejską oraz Agencją Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), w zakresie przeciwdziałania ryzykom i zagrożeniom dla sieci i systemów informatycznych - pisze Magdalena Gąsowska z Traple Konarski Podrecki i Wspólnicy.

17 maja 2016 r. Rada przyjęła tekst nowej dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (potocznie zwanej dyrektywą NIS, od jej angielskiej nazwy - the network and information security (NIS) directive). Akt czeka już tylko na formalne zatwierdzenie przez Parlament Europejski i ma wejść w życie w sierpniu 2016 r. Dyrektywa jest jednym z głównych elementów realizacji Strategii bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń.

Celem dyrektywy NIS jest osiągnięcie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na terenie Unii, a jej najważniejszym założeniem – wzmocnienie współpracy pomiędzy państwami członkowskimi i Komisją Europejską oraz Agencją Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) w zakresie przeciwdziałania ryzykom i zagrożeniom dla sieci i systemów informatycznych. Dla zapewnienia skuteczności tej współpracy, dyrektywa zmierza do wyrównania standardów i wymogów dotyczących zabezpieczeń na terytoriach państw członkowskich oraz nałożenia na operatorów usług kluczowych oraz dostawców usług cyfrowych obowiązku ich przestrzegania.

Państwa członkowskie zobowiązane zostaną do ustanowienia krajowych strategii w zakresie bezpieczeństwa sieci i systemów informatycznych oraz Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (zwanych CSIRT lub CERT). Utworzą one ogólnounijną sieć CSIRT, zapewniającą szybką i skuteczną współpracę między państwami członkowskimi, zwłaszcza wobec incydentów zagrażających cyberbezpieczeństwu.

Ponadto, państwa członkowskie utworzyć mają właściwe organy krajowe oraz pojedyncze punkty kontaktowe (pełniące rolę łącznikową w celu zapewnienia transgranicznej współpracy organów), które będą wypełniać zadania związane z bezpieczeństwem sieci i systemów informatycznych.

Dodatkowo, dla urzeczywistnienia współpracy na poziomie Unii, tworzona jest tzw. grupa współpracy, łącząca przedstawicieli państw członkowskich, Komisji Europejskiej i ENISA, działająca na podstawie dwuletnich programów prac, której praca koncentrować się będzie wokół zadań strategicznych i wymiany informacji, dobrych praktyk i doświadczeń.

Istotne pojęcia, którymi posługuje się dyrektywa to operator usług kluczowych i dostawca usług cyfrowych – te grupy podmiotów państwa członkowskie mają zobowiązać do zapewnienia bezpieczeństwa sieci i systemów informatycznych, którymi się posługują (proporcjonalnie do ryzyka i zgodnie ze stanem techniki) i do notyfikowania incydentów mających wpływ na ciągłość ich usług.

Instytucją w rodzaju zaplecza think-tank, której powierzone zostają zadania wspierające i konsultacyjne wobec Komisji i państw członkowskich, jest ENISA. Posiadać ma ona kompetencje w zakresie: analizy strategii bezpieczeństwa sieci i systemów informatycznych, wspierania organizacji i prowadzenia unijnych ćwiczeń z zakresu bezpieczeństwa sieci i systemów informatycznych, a także szkoleń oraz wymiany informacji i najlepszych praktyk mających na celu podnoszenie świadomości (określone w rozporządzeniu (UE) nr 526/2013 w sprawie ENISA).

Dyrektywa wyróżnia dwie kategorie podmiotów, które będą zobowiązane do zapewnienia bezpieczeństwa sieci i systemów informatycznych oraz notyfikacji zagrożeń (i mogą to być podmioty zarówno prywatne, jak i publiczne). Po pierwsze są to operatorzy usług kluczowych, definiowani jako podmioty z najważniejszych sektorów gospodarki tj. energetyka, transport, bankowość, infrastruktura rynków finansowych, służba zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja i infrastruktura cyfrowa, świadczące usługi kluczowe dla utrzymania krytycznej działalności społecznej lub gospodarczej, zależne od sieci i systemów informatycznych w taki sposób, że ich świadczenie byłoby zakłócone w razie zdarzenia zagrażającego bezpieczeństwu sieci i systemów informatycznych. W sektorze infrastruktury cyfrowej, operatorzy usług kluczowych to: operatorzy IXP (punkt wymiany ruchu internetowego), dostawcy usług DNS, rejestry nazw TLD. Druga grupa to dostawcy usług cyfrowych – należy do niej każda osoba prawna świadcząca następujące usługi cyfrowe: internetowa platforma handlowa (z wyłączeniem porównywarek internetowych), wyszukiwarka internetowa, usługa przetwarzania w chmurze.

Obowiązki operatorów usług kluczowych i dostawców usług cyfrowych

Surowsze wymagania bezpieczeństwa ustanowione zostały w odniesieniu do operatorów usług kluczowych, jako obarczonych większą odpowiedzialnością i bezpośrednio związanych z infrastrukturą fizyczną. Państwa członkowskie mają za zadanie zidentyfikować odpowiednich operatorów (w ciągu 27 miesięcy od wejścia w życie dyrektywy) oraz nałożyć na nich, określone wymogi w zakresie bezpieczeństwa, które mogą mieć charakter bardziej rygorystyczny od tych ustanowionych w dyrektywie.

Państwa członkowskie tworzyć będą wykazy usług kluczowych w każdym z sektorów, dla umożliwienia identyfikacji konkretnych operatorów. Do państw członkowskich będzie też należeć określenie znaczenia operatorów w odniesieniu do danego sektora, na podstawie ich wielkości, udziału w rynku, wolumenu produkcji czy usług. Będą one także oceniać ewentualne incydenty pod kątem istotności ich skutków zakłócających dla usługi kluczowej (to samo odnosi się do incydentów zgłaszanych przez dostawców usług cyfrowych).

Właściwe organy krajowe wyposażone zostaną w kompetencje do dokonywania audytów bezpieczeństwa oraz wydawania wiążących poleceń wobec operatorów usług kluczowych.
Natomiast w stosunku do dostawców usług cyfrowych nie przewiduje się ich identyfikowania – harmonizacja ma dotyczyć wymogów bezpieczeństwa i zgłaszania incydentów i zmierzać do jednolitego traktowania tych dostawców na terytorium Unii. Za dostawców usług cyfrowych podlegających dyrektywie uważa się tych dostawców, którzy oferują usługi cyfrowe, od których zależnych jest w coraz większym stopniu wielu przedsiębiorców w Unii – urzeczywistnieniem tej zasady jest wyłączenie zastosowania dyrektywy do mikro- i małych przedsiębiorców. Dostawcy usług cyfrowych będą zobowiązani do zapewnienia poziomu bezpieczeństwa współmiernego do poziomu ryzyka zagrażającego bezpieczeństwu świadczonych przez nich usług – jako że jest on mniejszy, niż w przypadku operatorów usług kluczowych, wymogi bezpieczeństwa wobec dostawców usług cyfrowych również będą węższe. Przewiduje się wobec nich łagodne działania nadzorcze o charakterze ex post, a państwa członkowskie co do zasady nie mogą nakładać na nich jakichkolwiek dalszych (ponad te ustanowione w dyrektywie) wymogów dotyczących bezpieczeństwa lub zgłaszania.

Dostawcy usług cyfrowych spoza Unii, oferujący w niej swoje usługi, również podlegają reżimowi dyrektywy i powinni ustanowić w Unii przedstawicielstwo. Dyrektywa określa sposób ustalenia kiedy ma miejsce oferowanie usług w Unii. Producenci sprzętu i twórcy oprogramowania nie znaleźli się w katalogu podmiotów objętych wymogami zapewnienia bezpieczeństwa na gruncie dyrektywy. W odniesieniu do usług przetwarzania w chmurze, gdy korzystają z nich podmioty sektora publicznego, państwa członkowskie mogą wprowadzać środki zobowiązujące do zapewnienia szczególnych wymogów bezpieczeństwa, jednak mogą one mieć zastosowanie do tych podmiotów publicznych, nie zaś do dostawców chmury (czyli tylko podmioty publiczne, a nie dostawcy chmury, mogą ponosić odpowiedzialność wobec państwa np. za niewprowadzenie odpowiednich postanowień do umów na usługi przetwarzania w chmurze).

Wpływ na inne akty prawne
Dyrektywa NIS będzie stosowana wspólnie i równolegle z dotychczasowymi dyrektywami regulującymi kwestie cyberbezpieczeństwa, takimi jak: 2008/114/WE dotyczącą europejskiej infrastruktury krytycznej, 2013/40/UE dotycząca ataków na systemy informatyczne, oraz nie będzie uchybiać przepisom unijnym o ochronie danych osobowych.

Działania polskiego ustawodawcy w celu implementacji dyrektywy NIS to rozpoczęty proces opracowywania Strategii Cyberbezpieczeństwa RP, nad którą pracami kieruje Ministerstwo Cyfryzacji i której przyjęcie zaplanowane zostało na wrzesień 2016 r. W lutym br. stworzone zostały w ramach Ministerstwa Cyfryzacji założenia Strategii Bezpieczeństwa RP. W celu implementacji dyrektywy NIS, jak wskazano w założeniach Strategii Cyberbepieczeństwa RP, planowana jest ustawa o krajowym systemie cyberbezpieczeństwa, która stworzyć ma kompleksowy system bezpieczeństwa teleinformatycznego, określić kompetencje i uprawnienia Ministra Cyfryzacji jako organizatora systemu cyberbezpieczeństwa, jak też realizować inne postanowienia dyrektywy NIS.

Pozostałe rodzime akty prawne, na które wpływ będzie mieć wprowadzenie dyrektywy NIS to m.in. ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, ustawa z 16 lipca 2004 r. Prawo telekomunikacyjne, ustawa z 26 kwietnia 2007 r. o zarządzaniu kryzysowym, czy też akty określające wymagania bezpieczeństwa w administracji publicznej: ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Po tym, jak dyrektywa wejdzie w życie, państwa członkowskie będą mieć 21 miesięcy na uchwalenie przepisów krajowych. Następnie będą musiały w terminie 6 miesięcy zidentyfikować dostawców usług ważnych społecznie.

Magdalena Gąsowska, Traple Konarski Podrecki i Wspólnicy