Obowiązki operatorów usług kluczowych a Dyrektywa NIS

Artykuł partnera

Dyrektywa NIS została uchwalona przez Komisję Unii Europejskiej 6 lipca 2016 roku. Stanowi ona fundament dla wielu zmian w zakresie cyberbezpieczeństwa w krajach członkowskich. Wdrożone regulacje objęły kilkaset polskich podmiotów. Dyrektywa nakłada szereg obowiązków, które należy bezwzględnie przestrzegać.

Czym jest dyrektywa NIS?

NIS to skrót od Network and Information Systems Directive. Dyrektywa ta to pierwsze prawo dotyczące cyberbezpieczeństwa uchwalone przez Parlament Europejski. Początkowe projekty powstały w 2013 roku, natomiast ostatecznie została wdrożona w 2016 roku. W Polsce pełna implementacja weszła w życie w listopadzie w 2018 roku. Powstanie dyrektywy NIS było efektem dynamicznie rozwijających się usług online i cyfryzacji, a także wzmożonego ruchu sieciowego. Dyrektywa nakłada obowiązek wprowadzenia rygorystycznego przestrzegania wszystkich zasad dotyczących bezpieczeństwa informatycznego, a także jego ujednolicenia w poszczególnych krajach członkowskich. Dodatkowo wszystkie państwa członkowskie są zobowiązane do zagwarantowania minimalnego poziomu krajowych zdolności w zakresie bezpieczeństwa teleinformatycznego. 

Dyrektywa NIS koncentruje się na trzech filarach:

  • Pierwszy filar – Instytucje 

Każde państwo członkowskie ma obowiązek ustanowić instytucję odpowiedzialną za bezpieczeństwo cyfrowe. Jej zadaniem jest monitorowanie wprowadzenia przepisów dyrektywy NIS na poziomie krajowym w sektorach objętych regulacją. Może to być jeden bądź kilka organów.

  • Drugi filar – Współpraca 

Współpraca krajów członkowskich jest oparta na dwóch mechanizmach tj. technicznym oraz politycznostrategicznym. Ten filar ma być realizowany poprzez sieć CISRT oraz Grupy Współpracy, zajmującą się wypracowaniem wspólnych koncepcji strategicznych. W ich skład wchodzą przedstawiciele CSIRT poszczególnych państw członkowskich, CERT-EU oraz Komisja Europejska.

  • Trzeci filar – Zobowiązania 

Dotyczą obowiązku reagowania na incydenty, zagrażające sieciom oraz systemom informatycznym. Dodatkowo operatorzy usług kluczowych są zobowiązani do oceny ryzyka wynikających z cyberzagrożeń, a także do przyjęcia odpowiednich środków, które zapewnią bezpieczeństwo informacji oraz sieci.

W jaki sposób Dyrektywa NIS określa operatorów usług kluczowych oraz ich obowiązki?

Firmy z kluczowych sektorów gospodarki, a także dostawcy usług cyfrowych są zobowiązani do przestrzegania unijnych standardów odnoszących się do bezpieczeństwa ich systemów teleinformacyjnych. Podmioty, które zostaną uznane za kluczowe dla polskiej gospodarki, mają obowiązek wdrożyć dyrektywę NIS, ponadto muszą przeprowadzać audyt bezpieczeństwa co 2 lata.

Zakres podmiotowy został ujęty w poniższych aneksach:

  • Aneks II – odnosi się do tzw. operatorów usług kluczowych;
  • Aneks III – dotyczy dostawców usług cyfrowych.

Oba te podmioty obowiązują inne wymagania.

Operatorzy usług kluczowych to podmioty sektora publicznego bądź prywatnego, którzy dostarczają kluczowe usługi, zależne od sieci teleinformatycznych. W ich przypadku ewentualne incydenty dotyczące bezpieczeństwa mogą mieć istotny wpływ na ciągłość świadczenia usług.

Do sektorów wchodzących w skład operatorów usług kluczowych należą:

  • Energetyczny, czyli produkcja oraz dystrybucja gazu, ciepła, paliw czy elektryczności, a także kopalnie;
  • Transportu – koleje, żegluga, lotniska, drogi oraz autostrady;
  • Bankowy – banki, instytucje płatnicze, NBP, SKOK-i, BFG czy BGK;
  • Finansowy – giełda;
  • Zdrowia – podmioty świadczące opiekę zdrowotną, czyli szpitale, apteki, hurtownie farmaceutyczne czy importerzy produktów leczniczych;
  • Zaopatrzenia w wodę – podmioty wodociągowo-kanalizacyjne;
  • Infrastruktura cyfrowa – usługi DMS, punkty wymiany ruchu internetowego oraz dostawcy usług systemu nazw domen, oraz ich rejestry najwyższego poziomu.

Jakie są obowiązki operatorów usług kluczowych i co może grozić za ich niedopełnienie?

Dyrektywa NIS nakłada obowiązek rygorystycznego przestrzegania zasad dotyczących bezpieczeństwa informacyjnego. Oznacza to:

  • zapewnienie wszelkich środków organizacyjnych oraz technicznych, mających za zadanie ustalenie potencjalnego ryzyka czy zakłóceń ciągłości świadczenia usługi;
  • zbieranie informacji dotyczących zagrożeń cyberbezpieczeństwa oraz podatności na incydenty;
  • operatorzy usług kluczowych są zobowiązani do zgłaszania wszelkich incydentów, związanych z przerwaniem ciągłości usługi bądź poważnym obniżeniu ich jakości;
  • wdrożenie stosownych procedur zarządzania incydentami, czyli klasyfikacja, zgłaszanie oraz podejmowanie działań naprawczych.

Nieprzestrzeganie powyższych obowiązków przez firmy będzie wiązało się z karą finansową. Może ona wynieść od 15 tys. do 1 miliona złotych.

Podstawą cyberbezpieczenstwa jest zgłaszanie incydentów zarówno przez instytucję, jak i obywateli. Daje to pełny obraz zagrożeń oraz pozwala na ocenę sytuacji w polskich sieciach. Dodatkowo możliwe jest szybkie wprowadzenie środków zaradczych.

Ostatnie Wpisy

Przeczytaj również

ZOSTAW ODPOWIEDŹ

Napisz swój komentarz!
Podaj swoje imię