PROJEKT STANOWISKA RP

Transkrypt

1 PROJEKT STANOWISKA RP przygotowany w związku z art. 7 ustawy z dnia 8 października 2010 r. o współpracy Rady Ministrów z Sejmem i Senatem w sprawach związanych z członkostwem Rzeczypospolitej Polskiej w Unii Europejskiej (Dz. U. Nr 213, poz. 1395) Dotyczy Data przekazania Polsce dokumentu przez instytucje UE Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii 14 lutego 2012 r. Sygnatura dokumentu Komisja Europejska Numer międzyinstytucjonalny COM(2013) 48 final 2013/0027 (COD) Procedura decyzyjna zwykła procedura ustawodawcza Tryb głosowania w Radzie UE większość kwalifikowana Instytucja wiodąca Ministerstwo Administracji i Cyfryzacji Instytucje współpracujące Ministerstwo Spraw Wewnętrznych, Agencja Bezpieczeństwa Wewnętrznego, Rządowe Centrum Bezpieczeństwa, Generalny Inspektor Ochrony Danych Osobowych, Ministerstwo Gospodarki, Ministerstwo Finansów, Ministerstwo Obrony Narodowej, Ministerstwo Sprawiedliwości, Ministerstwo Zdrowia, Ministerstwo Transportu, Budownictwa i Gospodarki Morskiej, Rządowe Centrum Legislacji, Kancelaria Prezesa Rady Ministrów, Prezes Urzędu Regulacji Energetyki, Prezes Urzędu Komunikacji Elektronicznej, Komisja Nadzoru Finansowego, Narodowy Bank Polski. 1

2 Data przyjęcia przez KSE 2

3 I. Cel projektu aktu prawnego Zasadniczym celem proponowanej dyrektywy jest zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich informacji. Rozumie się przez to zwiększenie bezpieczeństwa publicznych sieci telekomunikacyjnych w warstwie aplikacyjnej oraz systemów informatycznych stanowiących podstawę funkcjonowania naszych społeczeństw i gospodarek. Zdaniem projektodawcy cel ten zostanie osiągnięty poprzez nałożenie na państwa członkowskie obowiązku zwiększenia gotowości i ulepszenia wzajemnej współpracy oraz poprzez nałożenie na operatorów infrastruktury krytycznej, w takich dziedzinach jak energetyka, transport i kluczowe usługi społeczeństwa informacyjnego (platformy handlu elektronicznego, serwisy społecznościowe itd.), jak również na organy administracji publicznej, obowiązku podjęcia odpowiednich działań mających na celu przeciwdziałanie zagrożeniom bezpieczeństwa oraz obowiązku zgłaszania poważnych incydentów właściwym organom krajowym. Projekt dyrektywy został przedstawiony łącznie ze wspólnym komunikatem Komisji i Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa w sprawie europejskiej strategii bezpieczeństwa cybernetycznego 1. Strategia bezpieczeństwa cybernetycznego zatytułowana: Otwarta, bezpieczna i chroniona cyberprzestrzeń odzwierciedla wizję UE w odniesieniu do zapobiegania zakłóceniom i atakom oraz reagowania na takie zakłócenia i ataki. Strategia ma na celu propagowanie wartości, takich jak wolność i demokracja, oraz zapewnianie bezpiecznego wzrostu gospodarki cyfrowej. Konkretne działania są ukierunkowane na zwiększenie odporności w dziedzinie bezpieczeństwa cybernetycznego systemów teleinformatycznych, ograniczenie cyberprzestępczości oraz wzmocnienie międzynarodowej polityki UE w dziedzinie bezpieczeństwa cybernetycznego i obrony cybernetycznej. Unijna wizja bezpieczeństwa cybernetycznego przedstawiona w strategii składa się z pięciu strategicznych priorytetów: 1. osiągnięcie odporności w dziedzinie bezpieczeństwa cybernetycznego; 2. radykalne ograniczenie cyberprzestępczości; 3. opracowanie polityki obrony cybernetycznej i rozbudowa zdolności w dziedzinie bezpieczeństwa cybernetycznego w powiązaniu ze wspólną polityką bezpieczeństwa i obrony (WPBiO); 4. rozbudowa zasobów przemysłowych i technologicznych na potrzeby bezpieczeństwa cybernetycznego; 5. ustanowienie spójnej międzynarodowej polityki w zakresie cyberprzestrzeni dla Unii Europejskiej i promowanie podstawowych wartości UE. Unijna międzynarodowa polityka w zakresie cyberprzestrzeni wspiera przestrzeganie podstawowych wartości UE, definiuje normy odpowiedzialnego zachowania, promuje przestrzeganie istniejących już przepisów międzynarodowych w dziedzinie cyberprzestrzeni, a jednocześnie pomaga państwom członkowskim poza UE w zakresie budowy zdolności w dziedzinie bezpieczeństwa cybernetycznego i propaguje współpracę międzynarodową w tym zakresie

4 Zdaniem projektodawcy, Unia Europejska poczyniła znaczne postępy w kierunku lepszej ochrony obywateli przed przestępczością internetową, w tym poprzez: 1. ustanowienie Europejskiego Centrum ds. Walki z Cyberprzestępczością 2, 2. przedstawienie wniosku legislacyjnego w sprawie ataków na systemy informatyczne 3 oraz 3. poprzez utworzenie światowego sojuszu przeciwko niegodziwemu traktowaniu dzieci w internecie w celach seksualnych 4. Strategia ma także na celu rozwinięcie i finansowanie krajowych centrów doskonałości w zakresie cyberprzestępczości, tak by ułatwić szkolenia i budowę zdolności. Dalsze działania w ramach strategii w tej dziedzinie koncentrują się na szerzeniu wiedzy, rozwijaniu rynku wewnętrznego produktów i usług związanych z bezpieczeństwem cybernetycznym oraz wspieraniu inwestycji w badania i rozwój. Jednocześnie projektodawca wskazuje, że działania te zostaną uzupełnione innymi działaniami mającymi na celu intensyfikację walki z cyberprzestępczością oraz opracowanie międzynarodowej polityki w zakresie bezpieczeństwa cybernetycznego dla UE. Zdaniem projektodawcy, zaproponowana dyrektywa jest kluczowym elementem ogólnej strategii i nakładałaby na wszystkie państwa członkowskie, podmioty świadczące kluczowe usługi świadczone drogą elektronczną i operatorów infrastruktury krytycznej, takich jak platformy handlu elektronicznego i portale społecznościowe oraz przedsiębiorstwa z sektora energetycznego, sektora transportu, sektora bankowego i opieki zdrowotnej, obowiązek zapewnienia bezpiecznego i wiarygodnego środowiska cyfrowego w całej UE. Proponowana dyrektywa przewiduje w związku z tym przyjęcie następujących środków: a) zobowiązanie państw członkowskich do przyjęcia strategii w dziedzinie bezpieczeństwa sieci telekomunikacyjnych i informacji oraz wyznaczenia właściwych krajowych organów w dziedzinie bezpieczeństwa sieci telekomunikacyjnych i informacji, dysponujących odpowiednimi środkami finansowymi i zasobami ludzkimi, by odpowiednio postępować i reagować w przypadku wystąpienia incydentów i zagrożeń w dziedzinie bezpieczeństwa sieci telekomunikacyjnych i informacji; b) ustanowienie mechanizmu współpracy między państwami członkowskimi a Komisją, aby przekazywać za pośrednictwem bezpiecznej infrastruktury wczesne ostrzeżenia dotyczące zagrożeń i incydentów, współpracować i organizować regularne wzajemne weryfikacje; c) zobowiązanie operatorów infrastruktury krytycznej w niektórych sektorach (usług finansowych, transportu, energii i opieki zdrowotnej), dostawców usług społeczeństwa informacyjnego (należą do nich głównie sklepy z aplikacjami, platformy handlu elektronicznego, internetowe portale płatnicze, usługi chmur obliczeniowych, wyszukiwarki, portale społecznościowe) oraz organów administracji publicznej do stosowania właściwych środków technicznych i organizacyjnych w celu przeciwdziałania zagrożeniom, na jakie narażone są kontrolowane i wykorzystywane przez te podmioty sieci telekomunikacyjne i systemy teleinformatyczne oraz do przyjęcia praktyk w zakresie postępowania w przypadku wystąpienia zagrożeń i

5 zgłaszania incydentów mających znaczny wpływ na bezpieczeństwo świadczonych przez nie usług podstawowych. Uzasadniając projekt dyrektywy, projektodawca trafnie wskazuje, że bezpieczeństwo sieci telekomunikacyjnych i informacji ma coraz większe znaczenie dla każdej gospodarki i całego społeczeństwa. Zapewnienie bezpieczeństwa sieci telekomunikacyjnych i informacji jest również ważnym warunkiem utworzenia wiarygodnego środowiska dla światowego handlu usługami i jego prawidłowego funkcjonowania. Nie jest również tajemnicą, iż systemy teleinformatyczne są jednak narażone na incydenty zagrażające bezpieczeństwu, takie jak ludzkie błędy, zjawiska naturalne, awarie techniczne lub celowe ataki. Wraz z postępującą technologią, incydenty te mają miejsce coraz częściej oraz stają się coraz bardziej poważne i złożone. Projektodawca wskazuje jednocześnie, że brak bezpieczeństwa sieci telekomunikacyjnych i informacji może zagrażać kluczowym usługom uzależnionym od integralności sieci telekomunikacyjnych i systemów informatycznych. W efekcie może to uniemożliwić funkcjonowanie przedsiębiorstw, przynieść znaczne straty finansowe dla gospodarki UE i negatywnie wpłynąć na poziom dobrobytu społecznego. Biorąc pod uwagę transgraniczny charakter Internetu oraz swobodę przepływu towarów, usług i osób zwraca się uwagę, iż poważne zakłócenia warstwy aplikacyjnej w jednym państwie członkowskim mogą mieć wpływ na inne państwa członkowskie i na całą UE. Odporność i stabilność sieci telekomunikacyjnych i systemów informatycznych mają zatem zasadnicze znaczenie dla zakończenia tworzenia jednolitego rynku cyfrowego i dla sprawnego funkcjonowania rynku wewnętrznego. Jednocześnie zwraca się uwagę, iż bezpieczeństwo sieci telekomunikacyjnych i systemów teleinformatycznych warunkuje społeczne zaufanie do usług świadzonych drogą elektroniczną. Projektodawca podaje, iż przykładowo, w 2012 r. badanie Eurobarometru na temat bezpieczeństwa cybernetycznego wykazało, że 38% internautów ma wątpliwości co do bezpieczeństwa płatności internetowych i zmieniło swoje zachowania ze względu na kwestie bezpieczeństwa: 18% jest mniej przekonanych do robienia zakupów przez internet, a 15 % jest mniej przekonanych do korzystania z internetowych usług bankowych 5. Zdaniem projektodawcy, obecny stan rzeczy w UE, który odzwierciedla przyjęte do tej pory czysto dobrowolne podejście, nie zapewnia wystarczającej ochrony przed incydentami w zakresie bezpieczeństwa sieci telekomunikacyjnych i informacji oraz przed zagrożeniami w obrębie całej UE. Istniejące zdolności i mechanizmy w zakresie bezpieczeństwa sieci telekomunikacyjnych i informacji nie są jednolite i wystarczające, aby odpowiednio reagować na szybko zmieniające się zagrożenia i zapewnić wspólny wysoki poziom ochrony we wszystkich państwach członkowskich. Projektodawca jednocześnie podkreśla, iż brak ogólnych wytycznych w tym zakresie zaskutkował poważnymi dysproporcjami pomiędzy poziomami zabezpieczeń stosowanymi na terytoriach poszczególnych państw członkowskich. Ze względu na fakt, iż systemy teleinformatyczne i sieci telekomunikacyjne są wzajemnie połączone, ogólny poziom bezpieczeństwa sieci i informacji w UE jest obniżony przez państwa członkowskie o najmniejszych wksaźnikach poziomu ochrony. Sytuacja ta utrudnia również budowanie zaufania między partnerami, co jest warunkiem niezbędnym do współpracy i wymiany informacji. W rezultacie, zdaniem projektodawcy, współpraca ma miejsce jedynie w 5 Eurobarometr 390/

6 przypadku będących w mniejszości państw członkowskich posiadających wysoki poziom zdolności. Projektodawca wskazuje zatem, iż w związku z brakiem jednolitej regulacji na poziomie europejskim w tym zakresie, obecnie nie funkcjonują skuteczne mechanizmy współpracy i współdziałania, a co więcej, nie identyfikuje się również jednolitych i spójnych mechanizmów, za pomocą których państwa członkowskie mogłyby wymieniać między sobą informacje dotyczące incydentów oraz zagrożeń w zakresie bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich informacji. Taki stan rzeczy powoduje, iż na tym polu podejmowane mogą być nieskoordynowane interwencje regulacyjne, niespójne strategie i rozbieżne normy, co prowadzi do defragmentacji poziomu ochrony bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich informacji w całej UE. Taki stan rzeczy prowadzić może również do powstawania barier na rynku wewnętrznym wynikających z faktu, iż przedsiębiorstwa działające w więcej niż jednym państwie członkowskim będą narażone na koszty związane z koniecznością dostosowania się do różnych reżimów prawnych. W obecnym stanie prawnym UE, jedynie przedsiębiorcy telekomunikacyjni (a zatem na gruncie polskiego systemu prawnego są to zarówno dostawcy usług telekomunikacyjnych oraz operatorzy infrastruktury telekomunikacyjnej) są zobowiązani do podejmowania właściwych środków technicznych i organizacyjnych w razie wystąpienia zagrożenia dla bezpieczeństwa sieci i usług telekomunikacyjnych. Środki te powinny zapewniać poziom bezpieczeństwa, proporcjonalny do istniejącego ryzyka z uwzględnieniem aktualnego stanu wiedzy i technologii. W szczególności jednak, środkie te powinny być podejmowane w taki sposób, aby zapobiegać i minimalizować wpływ, jaki na użytkowników i wzajemnie połączone sieci mogą mieć przypadki stwarzające zagrożenie bezpieczeństwa. Jednocześnie przepisy znowelizowanej dyrektywy ramowej nakładaja na przedsiębiorców telekomunikacyjnych zobowiązanie do stosowania wszelkich właściwych środków w celu zapewnienia integralności swoich sieci, a tym samym zapewnienia ciągłości świadczenia usług za pośrednictwem tych sieci. Wszelkie natomiast przypadki incydentów o istotnym wpływie powinny być notyfikowane organowi regulacyjnemu w dziedzinie łączności, który z kolei przekazuje stosowne informacje w tym przedmiocie do Europejskiej Agencji ds. Ochrony Sieci i Informacji (ENISA) oraz do Komisji Europejskiej. Co jednak ważne podkreślenia, zarówno sieci jak i usługi telekomunikacyjne stanowią jedynie medium dla świadczenia szeroko rozumianych usług online, co powoduje, że również warstwa aplikacji powinna funkcjonować prawidłowo, zwłaszcza dzieki gwarancjom odpowiedniego poziomu bezpieczeństwa stosowanych w tym celu systemów teleinformatycznych, zarówno w sferze prywatnej, jak i publicznej. Jako kluczowe sektory wskazuje się tutaj bankowość, giełdy, wytwarzanie, przesyłanie i dystrybucję energii, transport (lotniczy, kolejowy, morski), opiekę zdrowotną, usługi internetowe oraz administrację publiczną. Biorąc pod uwagę powyższe, projektodawca za niezbędne uznaje wprowadzenie gruntownych zmian w zakresie bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich informacji w UE. Za niezbędne uznaje się wprowadzenie wymogów prawnych w celu zapewnienia równych warunków działania i usunięcia istniejących luk prawnych. Aby rozwiązać te problemy i zwiększyć poziom bezpieczeństwa sieci i informacji w Unii Europejskiej, w proponowanej dyrektywie wyznaczono opisane niżej cele. 6

7 Projekt dyrektywy zakłada zatem trzy podstawowe do osiągnięcia cele oraz kilka działań szczegółowych. Po pierwsze, przyszła dyrektywa ma na celu zobowiązanie wszystkich państw członkowskich do ustanowienia właściwych organów ds. bezpieczeństwa sieci telekomunikacyjnych i informacji oraz: powołanie zespołów reagowania na incydenty komputerowe (CERT) podlegających bezpośrednio ustanowionym organom oraz przyjęcie krajowych strategii i planów współpracy w zakresie bezpieczeństwa sieci telekomunikacyjnych i informacji. Po drugie, dyrektywa zobowiąże właściwe organy krajowe do współpracy w oparciu o sieć umożliwiającą bezpieczną i skuteczną koordynację, w tym skoordynowaną wymianę informacji, jak również wykrywanie i reagowanie na poziomie UE. Poprzez tę sieć państwa członkowskie powinny wymieniać się informacjami i współpracować ze sobą w celu wykrywania i zwalczania zagrożeń oraz incydentów w zakresie bezpieczeństwa sieci telekomunikacyjnych i informacji. Wszystkie te działania podejmowane będą na podstawie uprzednio opracowanego europejskiego planu współpracy w tej dziedzinie. Wreszcie po trzecie, odwołując się do modelu wprowadzonego znowelizowaną dyrektywą ramową w sprawie łączności elektronicznej (art. 13a i 13b dyrektywy 2002/21/WE, wprowadzone dyrektywą 2009/140/WE), przyszła dyrektywa ma na celu zapewnienie rozwoju kultury wspierającej przeciwdziałanie zagrożeniom oraz wymiany informacji między sektorem prywatnym i publicznym. Przedsiębiorstwa w określonych krytycznych sektorach oraz administracje publiczne (kluczowe usługi świadczone drogą elektroniczną, energetyka, transport, bankowość, infrastruktura rynków finansowych oraz służba zdrowia) będą zobowiązane do dokonywania oceny zagrożeń, na jakie są narażone, oraz do przyjęcia odpowiednich i proporcjonalnych środków mających na celu zapewnienie bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich informacji. Podmioty te będą jednocześnie zobowiązane do zgłaszania właściwym organom wszelkich incydentów poważnie zagrażających ich sieciom telekomunikacyjnym i systemom informatycznym oraz mogących znacząco zakłócić ciągłość krytycznych usług i dostaw towarów. II. Stanowisko RP Propozycję Komisji Europejskiej zmierzającą do zwiększenia bezpieczeństwa sieci i systemów oraz zwiększenia zaufania obywateli do świadczonych za pośrednictwem sieci i systemów usług należy ocenić jako kierunkowo zasadną. Jest to pożądany kierunek rozwoju jednolitego rynku cyfrowego na terenie UE. Rzeczpospolita Polska popiera konieczność utworzenia skutecznych mechanizmów zapobiegania oraz reagowania na incydenty komputerowe, zarówno na poziomie lokalnym jak i dla całej UE. Niemniej jednak należy jednocześnie ocenić tę propozycję jako dalece niedopracowaną, niespójną z przepisami innych dyrektyw, zarówno już wdrożonych jak i projektowanych, a z tego powodu budzącą również wiele poważnych wątpliwości interpretacyjnych. W zaproponowanej formie projekt dyrektywy, co ważne podkreślenia, charakteryzujący się wysokim poziomem ogólności, uniemożliwia dokonanie rzetelnej oceny skutków regulacji. 7

8 Wątpliwości uzasadniające negatywne odniesienie się do przedmiotowego projektu w zaproponowanej formie w szczególności budzą: osiągnięcie zakładanego przez Komisję Europejską celu zapewnienia rozwoju kultury wspierającej przeciwdziałanie zagrożeniom oraz wymiany informacji między sektorem prywatnym i publicznym; niejasna relacja projektowanych obowiązków do obowiązków ciążących na przedsiębiorcach telekomunikacyjnych, nałożonych przez prawa narodowe w drodze implementacji znowelizowanej dyrektywy ramowej (2002/21/WE znowelizowanej dyrektywą 2009/140/WE); niejasna pozycja regulatora rynku telekomunikacyjnego, któremu przedsiębiorcy telekomunikacyjni mają obowiązek przekazywania stosownych informacji o incydentach w zakresie sieci lub usług telekomunikacyjnych, brak tego typu informacji w sieci współpracy (a w konsekwencji również wczesnych ostrzeżeń i skoordynowanej reakcji) oraz brak udziału w jej ramach regulatora rynku telekomunikacyjnego; harmonizacja niezupełna, umożliwiająca państwom członkowskim przyjęcie środków zapewniających wyższy poziom bezpieczeństwa niż gwarantowany przepisami omawianej dyrektywy; przyjęte na potrzeby dyrektywy definicje oraz ich relacja do obowiązków wykonywanych przez przedsiębiorców telekomunikacyjnych (definicja bezpieczeństwa, zagrożenia, incydentu, postępowania w przypadku incydentu, których brak jest w znowelizowanej dyrektywie ramowej); zakres pojęciowy stosowanego w ramach projektu terminu infrastruktura krytyczna i jego relacji do zakresu regulowanego dyrektywą 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony; sprzeczność logiczna w zakresie definicji sieci i systemów informatycznych obejmującej swoim zakresem również wszelkie treści przechowywane, przetwarzane, odzyskiwane lub przekazywane za pomocą sieci lub systemów informatycznych; delegowanie szczegółowych regulacji i wymogów do przyszłych, o nieznanym na dzień dzisiejszy kształcie, aktów delegowanych (art. 9 ust. 2, art. 10 ust. 5, art. 14 ust. 5 oraz art. 16 ust. 2). Zdaniem RP akty delegowane powinny być przedmiotem równoległych prac nad projektem samej dyrektywy, albowiem to w tych aktach ukryta jest istota projektowanej regulacji (ewentualnie rekomenduje się regulowanie delegowanych kwestii na poziomie dyrektywy); niejasna relacja krajowych strategii i planów w zakresie bezpieczeństwa sieci i informacji, unijnego planu w zakresie bezpieczeństwa i informacji oraz przepisów i terminów określonych projektowaną dyrektywą; niejasne kompetencje właściwego organu w relacji do kompetencji regulatora rynku telekomunikacyjnego określonych materią w polskim porządku prawnym w ustawie Prawo telekomunikacyjne - w wyniku implementacji znowelizowanej dyrektywy ramowej; 8

9 zapewnienie możliwości poddania kontroli sądowej wszelkich obowiązków nałożonych na mocy Rozdziału IV (art ) na organy administracji publicznej; możliwość egzekwowania obowiązków wdrożonych w wyniku implementacji dyrektywy wobec wszystkich podmiotów gospodarczych świadczących usługi w obrębie UE, a zatem również takich, które nie posiadają siedziby na terenie UE; niejasne relacje pomiędzy terminami przygotowania i przyjęcia krajowych strategii i planów dotyczących bezpieczeństwa sieci i informacji, unijnego planu w zakresie bezpieczeństwa sieci i informacji, terminów wydania aktów delegowanych oraz wdrożenia przez państwa członkowskie przepisów dyrektywy; możliwość wskazania przez Komisję Europejską, również w drodze aktu wykonawczego - wydanego na podstawie art. 16 ust. 2, norm i specyfikacji niezbędnych do wykonania art. 14 ust. 1 dyrektywy, do przestrzegania których zobowiązane zostaną wszystkie podmioty wskazane w Załączniku I do przedmiotowego projektu (a zatem usługodawcy świadczący usługi drogą elektroniczną, operatorzy infrastruktury krytycznej oraz organy administracji publicznej); dość ogólnie sformułowane przesłanki dotyczące sankcji oraz ich relacja do sankcji przewidzianych w procedowanym obecnie rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Pozytywnie oceniając zaproponowane w formie dyrektywy kierunki zmian, Rząd RP zastrzega, iż poszczególne rozwiązania wymagają dalszych intensywnych analiz i prac. W szczególności prace te powinny zmierzać do wyeliminowania wszelkich niejasności oraz wątpliwości interpretacyjnych, również w kontekście realizowanych lub planowanych innych działań na poziomie europejskim. Jednocześnie, Rząd RP stoi na stanowisku, iż pozostawienie swobody Komisji Europejskiej w przedmiocie wydawania tak dużej ilości aktów delegowanych, nie ma wyraźnego uzasadnienia i powoduje niepewność prawną, w związku z czym, zdaniem Rządu RP, prace nad dokumentem powinny zmierzać w kierunku precyzowania poszczególnych rozwiązań na poziomie dyrektywy, co jednocześnie umożliwi rzetelną ich ocenę oraz zapewni przewidywalność prawną. Identyfikując zatem liczne problemy interpretacyjne i wątpliwości co do zasadności, zakresu, kosztów lub wykonalności niektórych z proponowanych przez Komisję Europejską rozwiązań, zwłaszcza w zakresie nałożenia na przedsiębiorstwa określonych w dokumencie obowiązków, Rząd RP stoi na stanowisku, iż dalsze prace nad kształtem dyrektywy powinny uwzględniać konieczność zachowania równowagi pomiędzy - z jednej strony zapewnieniem pożądanego poziomu bezpieczeństwa, natomiast z drugiej - warunkami wzrostu gospodarczego. III. Uzasadnienie Stanowiska Rządu RP 9

10 Zdaniem Rządu RP wszelkie działania, które mogą przynieść korzyści w zakresie poprawy poziomu bezpieczeństwa infrastruktury i świadczonych za jej pośrednictwem usług, zasługują na szczególną uwagę. Z tego względu kierunki zmian należy ocenić pozytywnie. Podkreślenia wymaga zidentyfikowanie przez Komisję Europejską wyzwań stojących przed systemem bezpieczeństwa sieci i systemów teleinformatycznych w Europie, w świetle rozwoju technologii oraz towarzyszącym jej zagrożeniom. Z tego względu Rząd RP zgadza się z proponowanymi przez Komisję Europejską celami i działaniami, jednak dostrzega liczne, niezwykle ważne problemy wymagające ich wyjaśnienia na dalszych etapach prac nad dokumentem. Poniżej przedstawiona została szczegółowa analiza poszczególnych jednostek redakcyjnych projektu, gdzie identyfikuje się i szeroko omawia kluczowe do rozstrzygnięcia kwestie. Art. 1 i 4 przedmiot i zakres zastosowania Należy wyrazić wątpliwość względem określonego w art. 1 ust. 1 celu dyrektywy, mianowicie zapewnienia wysokiego poziomu bezpieczeństwa sieci i informacji. Oprócz projektowanej sieci współpracy pomiędzy właściwymi organami proponuje się jedynie kierunkowo nałożenie obowiązków analogicznych do przewidzianych w dyrektywie ramowej na przedsiębiorców telekomunikacyjnych. Wprawdzie wspomina się o wspieraniu przez państwa członkowskie stosowania norm lub specyfikacji oraz sporządzeniu przez Komisję Europejską, w drodze aktów wykonawczych, wykazu norm do stosowania (art. 15), natomiast należy skonstatować, iż tak skonstruowana propozycja znacznie utrudnia na dzień dzisiejszy ocenę skutków regulacji ze względu na wysoki poziom ogólności projektowanych obowiązków. Trudno jest odnieść się do przyszłego zakresu regulacji oraz jego wpływu na sektor podmiotów realizujących zadania publiczne, usługodawców usług świadczonych drogą elektroniczną oraz operatorów infrastruktury krytycznej. Analogiczną wątpliwość należy wyrazić względem projektowanego art. 4, statuującego zasadę zapewnienia przez państwa członkowskie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na swoim terytorium. Na obecnym etapie nie jest bowiem wiadome, co oznacza wysoki poziom bezpieczeństwa, co budzić może również uzasadnione wątpliwości w kontekście harmonizacji niezupełnej, umożliwiającej państwom członkowskich przyjęcie środków zapewniających wyższy poziom bezpieczeństwa. Niezależnie od treści art. 1 ust. 4, stanowiącego iż niniejszą dyrektywę stosuje się bez uszczerbku dla dyrektywy Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony, rekomenduje się dokonać analizy wzajemnych relacji obu tych dyrektyw. Przedmiotowa dyrektywa odwołuje się do pojęcia infrastruktury krytycznej, nie definiując go (choćby poprzez odwołanie do innych dyrektyw). Pojęcie to, podobnie jak europejska infrastruktura krytyczna, zostało natomiast zdefiniowane w dyrektywie 2008/114/WE. Dla uniknięcia ewentualnych trudności interpretacyjnych co do zakresu tego określenia a różnice pomiędzy infrastrukturą krytyczną poszczególnych państw członkowskich (w rozumieniu art. 2 lit a dyrektywy 2008/114/WE), a europejską infrastrukturą krytyczną (w rozumieniu art. 2 lit b dyrektywy 2008/114/WE) są istotne rekomenduje się bardziej szczegółowe zbadanie relacji pomiędzy tymi dyrektywami oraz uzupełnienie definicji wymienionych w art. 3 niniejszej dyrektywy o infrastrukturę krytyczną i/lub operatorów infrastruktury krytycznej. 10

11 Ocena osiągnięcia przez Komisję Europejską zakładanego celu jest tym bardziej trudna, że projektowana dyrektywa wprost wyłącza z zakresu jej regulacji przedsiębiorców telekomunikacyjnych, poprzez wyłączenie z katalogu podmiotów zobowiązanych (art. 2 pkt 8 definicja podmiotu gospodarczego) oraz wyłączenie stosowania wobec nich przepisu art. 14 kształtującego obowiązki dla podmiotów gospodarczych i organów administracji publicznej. Wydaje się, że tak skonstruowana norma pozostawia poza zakresem regulacji kluczową dla bezpieczeństwa świadczonych usług infrastrukturę, a na temat czego odniesiono się szczegółowo w dalszej części Stanowiska RP. Art. 2 minimalna harmonizacja Stosownie do projektowanej jednostki redakcyjnej należy zauważyć, iż dyrektywa nie będzie harmonizacją zupełną, w konsekwencji czego państwa członkowskie będą mogły przyjmować środki zapewniające wyższy poziom bezpieczeństwa, niż określone dyrektywą i aktami delegowanymi wydanymi na jej podstawie. Wątpliwości w tym kontekście budzi przyszłość zastosowanych na podstawie dyrektywy środków, które powinny gwarantować wysoki poziom bezpieczeństwa oraz ich relacja do zastosowanych w praktyce przez państwa członkowskie środków zapewniających wyższy poziom bezpieczeństwa. Wydaje się, że w takim przypadku również zachodzić będą identyfikowane przez projektodawcę poważne dysproporcje w odniesieniu do poziomu bezpieczeństwa na terenie UE. Art. 3 - definicje Wątpliwość logiczną należy wyrazić wobec propozycji określonej w art. 3 pkt 1 lit c, zgodnie z którą sieci i systemy informatyczne, o których mowa w dyrektywie oznaczają, obok sieci telekomunikacyjnych oraz systemów teleinformatycznych, również dane komputerowe przechowywane, przetwarzane, odzyskiwane lub przekazywane przez sieci telekomunikacyjne i systemy teleinformatyczne w celu ich eksploatacji, użycia, ochrony lub utrzymania. Oznacza to, że w zakres pojęciowy włączone będą również przetwarzane w sieciach i systemach teleinformatycznych treści. Dostrzegając oczywistą zasadność ochrony oprócz sieci, również przetwarzanych w nich informacji (w tym danych osobowych, regulowanych jednak odrębnymi aktami jak dyrektywa 95/46/WE oraz dyrektywa 2002/58/WE), nie jest znana intencja projektodawcy co do zastosowania wymogów wobec, oprócz sieci i systemów, również przetwarzanych w tych sieciach i systemach treści (stosownie do postanowień art. 14). Wydaje się zatem, że w tym zakresie, niezbędne jest doprecyzowanie projektowanych i planowanych do wydania przepisów w drodze aktów delegowanych. W przeciwnym razie dokonanie rzetelnej oceny skutków regulacji nie jest na dzień dzisiejszy możliwe. W kontekście powyższego wątpliwość należy wyrazić wobec wszystkich proponowanych definicji, które nie znajdują odzwierciedlenia w dyrektywie ramowej, przewidującej obowiązki adresowane do przedsiębiorców telekomunikacyjnych, na których - stosownie do informacji przedstawionych w pkt 1.1 uzasadnienia projektowanej regulacji - opiera się przedmiotowy wniosek (trzeci cel). Oznacza to, że obowiązki podmiotów gospodarczych i organów administracji publicznej w rozumieniu projektowanej dyrektywy i obowiązki nałożone na przedsiębiorców telekomunikacyjnych dyrektywą ramową nie będą de facto tożsame. Wątpliwości te opisane są szczegółowo w dalszej części Stanowiska RP. 11

12 Odnosząc się jednocześnie do definicji sieci i systemów informatycznych należy wyraźnie podkreślić, iż w polskim systemie prawnym odpowiadać jej będzie zarówno definicja sieci telekomunikacyjnej w rozumieniu art. 2 pkt 35 ustawy Prawo telekomunikacyjne i system teleinformatyczny w rozumieniu art. 2 pkt 3 ustawy o świadczeniu usług drogą elektroniczną, co ważne podkreślenia bez żadnych wyłączeń przedmiotowych, co oznacza, że każdy system teleinformatyczny w rozumieniu ustawy o świadczeniu usług drogą elektroniczną wykorzystywany we wskazanych w dyrektywie branżach, objęty będzie jej zakresem. Projektodawca przewidział jedynie wyłączenia podmiotowe w art. 14 ust. 8, w świetle którego organy administracji publicznej i podmioty gospodarcze stosować będą odpowiednie środki zmierzające do utrzymania odpowiedniego poziomu bezpieczeństwa oraz będą raportować właściwemu organowi incydenty mające znaczące konsekwencje dla bezpieczeństwa świadczonych przez nie usług podstawowych. Z realizacji tych obowiązków zwolnione będą jedynie mikroprzedsiębiorstwa określone w zaleceniu Komisji 2003/361/WE z dnia 6 maja 2003 r. w sprawie definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw 6. Niezależnie od powyższego należy również zwrócić uwagę na rozbieżności pomiędzy definicją dostawcy usług zaufania w proponowanym projekcie 7 oraz analogiczną definicją zawartą w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznej na rynku wewnętrznym 8. Zidentyfikowane różnice oraz relacja obydwu definicji wymagają wyjaśnienia przez projektodawcę w trakcie dalszych prac nad obydwoma projektami. Proponowany projekt odnosi się również w swojej treści i w uzasadnieniu do pojęć infrastruktury krytycznej, krytycznych sektorów oraz krytycznej infrastruktury informatycznej, natomiast pojęcia te mają zakres inny niż wynikające z dyrektywy 2008/114/WE. W preambule pkt 24, a także w art. 3 ust. 8 lit. b i Załączniku II do projektu dyrektywy wskazany jest katalog operatorów infrastruktury krytycznej szerszy niż wskazany w załączniku do dyrektywy 2008/114/WE, w którym wskazane są jedynie sektory energia i transport. Wydaje się, że powinien nastąpić wyraźny rozdział w treści na operatorów infrastruktury krytycznej w rozumieniu dyrektywy 2008/114/WE (z uwzględnieniem załącznika 1 oraz prowadzonego obecnie przeglądu dyrektywy 2008/114/WE) oraz pozostałych operatorów. 6 Artykuł 2 Liczba zatrudnionych osób i pułapy finansowe określające kategorie przedsiębiorstw 1. Na kategorię przedsiębiorstw mikro, małych i średnich (MŚP) składają się przedsiębiorstwa, które zatrudniają mniej niż 250 osób, i których obroty roczne nie przekraczają 50 mln EUR, i/lub których roczna suma bilansowa nie przekracza 43 mln EUR. 2. W kategorii MŚP, małe przedsiębiorstwo jest zdefiniowane jako przedsiębiorstwo zatrudniające mniej niż 50 osób, i którego obroty roczne i/lub roczna suma bilansowa nie przekracza 10 mln EUR. 3. W kategorii MŚP, przedsiębiorstwo mikro jest zdefiniowane jako przedsiębiorstwo zatrudniające mniej niż 10 osób, i którego obroty roczne i/lub roczna suma bilansowa nie przekracza 2 mln EUR. 7 Art. 3 pkt 11) dostawca usług zaufania oznacza każdą osobę fizyczną lub prawną, która świadczy jakąkolwiek elektroniczną usługę polegającą na tworzeniu, kontroli, walidacji i przechowywaniu podpisów elektronicznych, pieczęci elektronicznych, elektronicznych znaczników czasu, dokumentów elektronicznych, usług doręczenia elektronicznego, usług uwierzytelniania witryn internetowych i certyfikatów elektronicznych, w tym certyfikatów podpisów elektronicznych i pieczęci elektronicznych. 8 Art. 3 pkt 14) dostawca usług zaufania oznacza osobę fizyczną lub prawną, która świadczy jedną usługę zaufania lub więcej takich usług; Art. 3 pkt 15) dostawca kwalifikowanych usług zaufania oznacza dostawcę usług zaufania, który spełnia wymagania ustanowione w niniejszym rozporządzeniu; 12

13 Art. 5 oraz art. 21 krajowa strategia w zakresie bezpieczeństwa sieci i informacji oraz krajowy plan współpracy w zakresie bezpieczeństwa sieci i informacji i transpozycja Należy wyrazić generalne zastrzeżenie do proponowanej jednostki redakcyjnej. W szczególności brak jest informacji na temat charakteru krajowej strategii i krajowego planu oraz ich relacji do obowiązków, co trzeba podkreślić, dość ogólnych określonych projektowaną dyrektywą. Brak jest również informacji na temat relacji tych krajowych dokumentów, a raczej wskazanych w katalogu z art. 5 wymaganych elementów tych dokumentów do przyszłych aktów delegowanych wydawanych na mocy art. 9 ust. 2, art. 10 ust. 5 oraz art. 14 ust. 5. Jak się wydaje, akty te wskazywać będą elementy wymagane przez art. 5, natomiast na dzień dzisiejszy nie są znane. Rodzi to kolejną wątpliwość w przedmiocie terminów - implementacji przedmiotowej dyrektywy, na co stosownie do brzmienia art. 21 przewiduje się półtora roku od dnia przyjęcia oraz terminu przekazania krajowej strategii i krajowego planu, co stosownie do brzmienia art. 5 ust. 3 ma nastąpić w ciągu miesiąca od dnia ich przyjęcia, a które mają zawierać elementy będące przedmiotem nieznanych na dzień dzisiejszy aktów delegowanych. Nie wiadomo w takim razie, kiedy Komisja spodziewa się otrzymać krajową strategię i krajowy plan oraz kiedy dyrektywa powinna zostać w całości wdrożona. Niezależnie od powyższego należy wskazać, iż w świetle tak ogólnych na dzień dzisiejszy obowiązków przewidzianych dyrektywą, domniemywać można iż krajowe strategie i plany będą charakteryzować się dużymi rozbieżnościami w poszczególnych państwach członkowskich. W związku z powyższym wydaje się, iż obligatoryjne elementy wskazane w art. 5, które powinny znaleźć się w krajowej strategii i planie powinny również, w celu harmonizacji przepisów zmierzających do efektywnej współpracy i utrzymania jednolitego poziomu bezpieczeństwa na terenie UE, zostać opracowane nie na poziomie krajowym, a na poziomie europejskim równocześnie z projektowaną dyrektywą. Oczywiście zdając sobie sprawę z poważnych dysproporcji mogących mieć miejsce w poszczególnych państwach członkowskich, takie krajowe dokumenty oraz przewidziane w nich działania, jak się wydaje powinny mieć miejsce uprzednio w stosunku do realizacji postanowień dyrektywy wdrożonych do narodowych systemów prawnych. W świetle powyższego wskazać należy, że Rząd RP rozpoczął już prace nad dokumentem dotyczącym tych kwestii, zatytułowanym: Polityka Bezpieczeństwa Cyberprzestrzeni RP. Obejmuje on swoim zakresem działania zmierzające do zwiększenia bezpieczeństwa teleinformatycznego szeregu podmiotów (od administracji publicznej, poprzez operatorów infrastruktury krytycznej, po przedsiębiorców telekomunikacyjnych i użytkowników indywidualnych), działania edukacyjne, ogólne zasady współpracy krajowej i międzynarodowej w tym zakresie oraz ocenę ryzyka i priorytetowe zadania do realizacji. Istotną różnicą jest jednak brak określenia jednego organu odpowiedzialnego za całokształt działań w tym zakresie odpowiednika właściwego organu krajowego ds. bezpieczeństwa sieci i systemów informatycznych (w rozumieniu art. 6 ust. 1 niniejszej dyrektywy). Art. 6, 7, 8 15 właściwy organ ds. bezpieczeństwa sieci i systemów/utworzenie CERT/egzekwowanie przepisów Przepis art. 6 zobowiązuje państwa członkowskie do wyznaczenia właściwego organu do spraw bezpieczeństwa sieci i systemów informatycznych, którym jednocześnie państwa członkowskie powinny zapewnić odpowiednie zasoby techniczne, finansowe oraz ludzkie, 13

14 aby mogły skutecznie i efektywnie realizować powierzone im zadania w celu osiągnięcia celów dyrektywy. Jednocześnie właściwy organ powinien: - otrzymywać od podmiotów zobowiązanych informacje o zidentyfikowanych incydentach (art. 6 ust. 4 w zw. z art. 14 ust. 2 i art. 15), - posiadać narzędzia niezbędne do weryfikacji wdrożonych środków mających na celu zapobieganie incydentom, pozyskiwania informacji niezbędnych do oceny bezpieczeństwa sieci i systemów podmiotów zobowiązanych (administracji publicznej i podmiotów gospodarczych), a także do zobowiązania podmiotów zobowiązanych do poddania się audytowi bezpieczeństwa przeprowadzanemu przez niezależny podmiot lub organ krajowy (art. 15 ust. 1 i 2), - posiadać uprawnienia do wydawania wiążących instrukcji dla podmiotów gospodarczych i organów administracji publicznej (art. 15 ust. 3), - współpracować z odpowiednimi krajowymi organami ścigania oraz organami ochrony danych osobowych (art. 6 ust. 5), - nadzorować CERT, a jednocześnie powinien regularnie dokonywać przeglądu stosowności jego zasobów, jego mandatu oraz skuteczności jego procedury postępowania w przypadku incydentów (art. 7 ust. 5), - współpracować w ramach sieci współpracy tworzonej przez te organy wspólnie z Komisją Europejską (art. 8), a w jej ramach wykonywać działania szczegółowe określone w art. 8 ust Jednocześnie należy zwrócić uwagę, iż w świetle art. 6 ust. 6 projektu, każde państwo członkowskie powinno powiadamiać Komisję Europejską o fakcie wyznaczenia właściwego organu, o jego zadaniach i o wszelkich późniejszych zmianach dotyczących tego organu. 9 Art. 8 ust. 3. W ramach sieci współpracy właściwe organy: a) przekazują wczesne ostrzeżenia dotyczące zagrożeń i incydentów zgodnie z art. 10; b) zapewniają skoordynowaną reakcję zgodnie z art. 11; c) regularnie publikują na wspólnej stronie internetowej niemające poufnego charakteru informacje na temat aktualnych wczesnych ostrzeżeń i skoordynowanych reakcji; d) wspólnie omawiają i oceniają, na wniosek państwa członkowskiego lub Komisji, jedną krajową strategię w zakresie bezpieczeństwa sieci i informacji, lub ich większą liczbę, lub jeden krajowy plan współpracy w zakresie bezpieczeństwa sieci i informacji, lub ich większą liczbę, o których mowa w art. 5, w zakresie niniejszej dyrektywy; e) wspólnie omawiają i oceniają, na wniosek państwa członkowskiego lub Komisji, skuteczność CERT, zwłaszcza w przypadku gdy ćwiczenia w zakresie bezpieczeństwa sieci i informacji przeprowadzane są na poziomie unijnym; f) współpracują i wymieniają się informacjami dotyczącymi wszystkich istotnych kwestii z działającym przy Europolu Europejskim Centrum ds. Walki z Cyberprzestępczością oraz z innymi właściwymi organami europejskimi, w szczególności w dziedzinach ochrony danych, energetyki, transportu, bankowości, obrotu papierami wartościowymi i opieki zdrowotnej; g) wymieniają się informacjami i najlepszymi praktykami między sobą i z Komisją oraz udzielają sobie wzajemnie pomocy w budowaniu zdolności w zakresie bezpieczeństwa sieci i informacji; h) regularnie organizują wzajemne oceny zdolności i gotowości; i) organizują ćwiczenia w zakresie bezpieczeństwa sieci i informacji na poziomie unijnym oraz uczestniczą, w stosownych przypadkach, w międzynarodowych ćwiczeniach w zakresie bezpieczeństwa sieci i informacji. 14

15 Podobne wymogi stawiane są w stosunku do CERT, który ma spełniać warunki i realizować działania określone w Załączniku I do projektu 10 oraz m.in. ma wykorzystywać bezpieczną i odporną infrastrukturę komunikacyjną i informacyjną na poziomie krajowym, która jest kompatybilna i interoperacyjna z bezpiecznym systemem wymiany informacji, o którym mowa w art. 9. Biorąc pod uwagę powyższe należy skonstatować, iż w celu implementacji dyrektywy niezbędne będzie wyznaczenie właściwego organu, którym może być obecnie funkcjonujący podmiot lub podmiot nowoutworzony, pod nadzorem którego działać będzie CERT. Na chwilę obecną, biorąc pod uwagę liczne inne i poważne wątpliwości w stosunku do projektowanej regulacji, w szczególności opisane w dalszej części Stanowiska RP, szczegółowa analiza możliwości wyznaczenia w ramach istniejących struktur lub powołania nowego właściwego organu nie znajduje uzasadnienia. 10 ZAŁĄCZNIK I Zespoły reagowania na incydenty komputerowe (CERT) wymogi i zadania Wymogi i zadania dla CERT są odpowiednio i jasno określone i umocowane w strategiach lub regulacjach krajowych. Obejmują one następujące elementy: (1) Wymogi dotyczące CERT a) CERT zapewnia wysoką dostępność swoich usług łączności poprzez unikanie pojedynczych punktów awarii oraz dysponuje różnymi kanałami, za pomocą których można się z nim skontaktować i za pomocą których on sam może się kontaktować z innymi. Ponadto kanały komunikacyjne są wyraźnie określone i dobrze znane wśród użytkowników CERT i wśród współpracujących partnerów. b) CERT wdraża środki mające na celu zapewnienie poufności, integralności, dostępności i wiarygodności otrzymywanych i przetwarzanych informacji, oraz zarządza tymi środkami. c) Biura CERT oraz wspierające systemy informatyczne są zlokalizowane w bezpiecznych miejscach. d) W celu monitorowania działalności CERT i zapewnienia jej ciągłej poprawy należy utworzyć system zarządzania jakością usług. System ten jest oparty na jasno zdefiniowanych metodach pomiaru, które obejmują formalne poziomy usług oraz kluczowe wskaźniki wyników. e) Ciągłość działania: CERT musi być wyposażony w odpowiedni system zarządzania i dysponowania wnioskami w celu ułatwienia ich późniejszego przekazywania. CERT dysponuje wystarczającą liczbą personelu, aby zapewnić nieprzerwaną dostępność usług. CERT korzysta z infrastruktury o gwarantowanej ciągłości działania. W tym kontekście należy zapewnić CERT systemy redundantne oraz rezerwowy lokal w celu zapewnienia stałego dostępu do środków komunikacji. (2) Zadania CERT a) Zadania CERT obejmują co najmniej: monitorowanie incydentów na poziomie krajowym; przekazywanie zainteresowanym stronom wczesnych ostrzeżeń, ogłaszanie alarmów, wydawanie ogłoszeń i przekazywanie informacji skierowanych do zainteresowanych stron i dotyczących zagrożeń oraz incydentów; reagowanie na incydenty; zapewnianie dynamicznej analizy zagrożeń i incydentów oraz zintegrowanej oceny sytuacji; informowanie opinii publicznej o zagrożeniach związanych z działalnością online, organizowanie kampanii w zakresie bezpieczeństwa sieci i informacji. b) CERT nawiązuje współpracę z sektorem prywatnym. c) W celu ułatwienia współpracy CERT wspiera przyjmowanie i wykorzystywanie wspólnych lub znormalizowanych praktyk w odniesieniu do: procedur postępowania w przypadku wystąpienia incydentów i zagrożeń; systemów klasyfikacji incydentów, zagrożeń i informacji; taksonomii metod pomiarów; formatów wymiany informacji dotyczących zagrożeń i incydentów oraz konwencji nazewnictwa systemów. 15

16 Odnosząc się szczegółowo do treści art. 8 określającego sieć współpracy, należy wskazać, iż poza ogólnym zobowiązaniem do współpracy w ramach sieci właściwych organów poszczególnych państw członkowskich, brak jest określenia jakichkolwiek zasad prowadzenia tej współpracy i dialogu pomiędzy aktorami, przez co trudno jest dokonać oceny propozycji. Wprawdzie na podstawie art. 8 ust. 4 Komisja Europejska w drodze aktów wykonawczych ustanowi niezbędne środki w celu ułatwienia współpracy pomiędzy właściwymi organami i Komisją, natomiast na dzień dzisiejszy dokonanie oceny nieznanych zasad współpracy, uniemożliwia dokonanie rzetelnej oceny proponowanego rozwiązania i oceny skutków regulacji. W związku z powyższym proponuje się przedstawienie projektów aktów wykonawczych, o których mowa w art. 8 ust. 4 lub, co uznaje się za bardziej zasadne, uwzględnienie współpracy właściwych organów wprost w treści dyrektywy. Niezależnie od powyższego wątpliwości budzi określone w art. 15 ust. 6 zobowiązanie państw członkowskich do zapewnienia możliwości poddania kontroli sądowej wszelkich obowiązków nałożonych na mocy Rozdziału IV (art ) na organy administracji publicznej oraz podmioty gospodarcze. Pomijając fakt ewentualnych skutków oceny sądowej dla realizacji celów i obowiązków przewidzianych omawianym projektem, o ile w przypadku podmiotów gospodarczych jest to procedura możliwa do wdrożenia na gruncie obecnego systemu prawnego, o tyle poważne zastrzeżenia budzi wprowadzenie i realizacja kontroli sądowej w przypadku obowiązków nałożonych na organy administracji publicznej. Należy w tym miejscu wskazać, iż w warunkach polskich nie istnieje jeden zespół reagowania na incydenty komputerowe (w rozumieniu art. 7 ust. 1 niniejszej dyrektywy), lecz szereg CERT-ów, zajmujących się kwestią szeroko rozumianego bezpieczeństwa teleinformatycznego, wśród których wymienić należy m.in.: - rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL funkcjonujący w ramach Departamentu Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego. Poza podejmowaniem interwencji w sytuacjach zagrożenia bezpieczeństwa cyberprzestrzeni RP, w szczególności o podłożu kryminalnym, zespół ten publikuje na swoich stronach internetowych informacje o istotnych zagrożeniach dla bezpieczeństwa teleinformatycznego, zalecenia, narzędzia, poprawki, aktualizacje, itp., - resortowe Centrum Zarządzania Bezpieczeństwem Usług i Sieci Teleinformatycznych Ministerstwa Obrony Narodowej funkcjonujący w resorcie obrony narodowej, zajmujący się zapobieganiem incydentom mogących wpłynąć na obronność RP, - zespoły utworzone przez środowisko telekomunikacyjne, m.in. CERT POLSKA - funkcjonujący w ramach Naukowej i Akademickiej Sieci Komputerowej (będącej instytutem badawczym, jak i operatorem sieci transmisji danych). Podejmowanie działań na rzecz bezpieczeństwa teleinformatycznego przez szereg instytucji oraz powołanych w tym celu zespołów (CERT-ów), skutkuje podejmowaniem przez nie współpracy, w szczególności międzynarodowej, o różnym zakresie i skali. Wydaje się, że mnogość podmiotów podejmujących się zadań na rzecz bezpieczeństwa teleinformatycznego, w tym Zespołów CERT oraz ich niejednolita podległość, będą stać na przeszkodzie szybkiej implementacji rozwiązań proponowanych w niniejszej dyrektywie, opierających się na centralizacji działań i powierzeniu wszelkich kompetencji w tym zakresie jednemu organowi. 16

17 Art. 9 bezpieczny system wymiany informacji Wątpliwości budzi ponownie delegowanie określenia wymogów dla państw członkowskich oraz CERTów do przyszłych, o nieznanym na dzień dzisiejszy zakresie i poziomie szczegółowości, aktów delegowanych. W związku z powyższym należy przedmiotowe rozwiązanie, pomimo zgody co do zasadności jego szczegółowego określenia umożliwiającego dokonanie oceny skutków regulacji, w takiej formie ocenić negatywnie. Art. 10 i 11 wczesne ostrzeżenia i skoordynowana reakcja Należy wyrazić wątpliwości względem zaproponowanych kryteriów, które mają na celu zdefiniowanie stosowanego w ramach projektu znaczącego wpływu lub znaczących konsekwencji w odniesieniu do identyfikowanych zagrożeń lub incydentów, które z kolei kwalifikować będą określone zdarzenia do wczesnego ostrzeżenia. Wprawdzie Komisja Europejska uprawniona będzie na mocy art. 10 ust. 5 do przyjęcia aktów delegowanych dotyczących sprecyzowania zagrożeń i incydentów prowadzących do wczesnych ostrzeżeń, natomiast na chwilę obecną określone w art. 10 ust. 1 kryteria utrudniają dokonanie rzetelnej oceny propozycji; kryteria tj.: - skala (zagrożeń lub incydentów) szybko rośnie lub może szybko wzrosnąć; - przekraczają (zagrożenia lub incydenty) lub mogą przekroczyć krajowe zdolności reagowania; - mają (zagrożenia lub incydenty) wpływ lub mogą mieć wpływ na więcej niż jedno państwo członkowskie. Należy wskazać, iż tak dalece nieprecyzyjne kryteria, w związku z subiektywną oceną dokonywaną przez państwa członkowskie, doprowadzić w efekcie mogą do poważnej nierówności wagi zgłoszeń, co w konsekwencji nie wpłynie pozytywnie na zakładaną przez projektodawcę efektywność narzędzia wczesnych ostrzeżeń. W konsekwencji powyższego należy również w tym przypadku postulować przedstawienie stosownego projektu aktu wykonawczego lub, co wydaje się bardziej zasadne, unikać nadmiernego delegowania regulacji do aktów o nieznanym na dzień dzisiejszy kształcie. W związku z tym za zasadne uznaje się dokonanie próby określenia warunków dotyczących precyzowania zagrożeń i incydentów prowadzących do wczesnych ostrzeżeń, na poziomie dyrektywy. Na marginesie należy również zauważyć, iż w odniesieniu m.in. do znaczącego wpływu incydentów w zakresie obowiązków określonych dla przedsiębiorców telekomunikacyjnych na podstawie dyrektywy ramowej, ENISA przedstawiła stosowne zalecenia 11. Odnosząc się natomiast do przepisu art. 11 dotyczącego uzgadniania przez właściwe organy skoordynowanej reakcji zgodnie z planem, o którym mowa w art. 12 i przekazywaniu do sieci współpracy informacji o różnych środkach przyjętych na poziomie krajowym należy uznać, iż brak jest określenia znaczeniowego skoordynowanej reakcji, brak jest również określenia terminu jej podjęcia oraz w szczególności zasad określających jej podejmowanie. Należy również wskazać, iż dokonanie oceny następstw przekazywania wczesnych ostrzeżeń, bez

18 znajomości szczegółów na ich temat, jest w świetle dość ogólnej formy przepisów zaproponowanych przez Komisję Europejską, na chwilę obecną niemożliwe. Inne wątpliwości interpretacyjne w stosunku do przepisu art. 11 omówione zostały szczegółowo w dalszej części Stanowiska RP. Art. 12 unijny plan współpracy w zakresie bezpieczeństwa sieci i informacji W konsekwencji uwag do przepisów art. 10 oraz 11, negatywne stanowisko należy również zająć w stosunku do przepisu art. 12, na podstawie którego Komisja Europejska uprawniona będzie do przyjęcia, w drodze aktów wykonawczych, unijnego planu współpracy w zakresie bezpieczeństwa sieci i informacji, który stosownie do projektowanego przepisu art. 12 ust. 2 obejmował będzie: a) do celów art. 10: określenie formatu i procedur gromadzenia i wymiany kompatybilnych i porównywalnych informacji na temat zagrożeń i incydentów przez właściwe organy; określenie procedur i kryteriów oceny zagrożeń i incydentów przez sieć współpracy; b) procedury, jakie należy stosować w przypadku skoordynowanych reakcji na mocy art. 11, w tym określenie funkcji i obowiązków oraz procedur współpracy; c) plan działania dotyczący ćwiczeń i szkoleń w zakresie bezpieczeństwa sieci i informacji, mający na celu wzmocnienie, zatwierdzenie i sprawdzenie głównego planu; d) program dotyczący transferu wiedzy między państwami członkowskimi w odniesieniu do budowy zdolności i wzajemnego uczenia się; e) program dotyczący działań informacyjnych i szkoleń między państwami członkowskimi. Zakres proponowanej regulacji jest na chwilę obecną nieznany (z powodu delegowania kilku regulacji szczegółowych w ramach aktów wykonawczych), podobnie jak fakt uwzględnienia w sieci współpracy regulatorów rynków telekomunikacyjnych oraz informacji o incydentach dotyczących infrastruktury i usług telekomunikacyjnych (o czym szeroko w dalszej części Stanowiska RP). Nie są także znane kryteria dokonywania oceny zagrożeń i incydentów przez poszczególne państwa członkowskie. Jednocześnie należy zwrócić uwagę na brzmienie art. 12 ust. 3, zgodnie z którym unijny plan współpracy w zakresie bezpieczeństwa sieci i informacji przyjmuje się nie później niż jeden rok po wejściu w życie niniejszej dyrektywy i regularnie poddaje się przeglądowi. Po pierwsze brak jest doprecyzowania regularności dokonywania przeglądu planu. Po drugie natomiast, w związku z nieznanym terminem publikacji poszczególnych aktów delegowanych, półtorarocznym terminem na wdrożenie przez państwa członkowskie przepisów projektowanej dyrektywy oraz brakiem informacji na temat terminu opracowania przez państwa członkowskie krajowych strategii i planów (oraz dokonania ich oceny przez Komisję Europejską w kontekście opracowania efektywnego modelu współpracy) należy wyrazić wątpliwość co do intencji projektodawcy w przedmiocie harmonogramu działań na poziomie europejskim, Wydaje się, że wszystkie te wątpliwości powinny zostać rozwiązane na poziomie omawianego projektu. 18

19 Art. 14 wymogi w zakresie bezpieczeństwa i zgłaszanie incydentów Główne wątpliwości w zakresie tej jednostki redakcyjnej dotyczą udziału regulatorów rynków telekomunikacyjnych oraz braku informacji na temat incydentów dotyczących infrastruktury i usług telekomunikacyjnych. Wszystkie te wątpliwości zostały omówione w dalszej części Stanowiska RP. Niezależnie od powyższego należy wymóc na projektodawcy wyjaśnienie przepisu art. 14 ust. 3, w świetle którego przedsięwzięcie określonych środków mających na celu przeciwdziałanie zagrożeniom oraz obowiązek notyfikacji zagrożeń właściwym organom, ciążyć będzie na wszystkich podmiotach gospodarczych świadczących usługi w obrębie Unii Europejskiej. Wydaje się zatem, że bez znaczenia będzie fakt posiadania przez dany podmiot gospodarczy siedziby na terenie UE, przez co można domniemywać, iż adresatami wymogów z art. 14 ust. 1 i 2 będą również podmioty nieposiadające siedziby na terenie UE, a jedynie świadczące na jej terenie usługi. Oznacza to, że podmioty gospodarcze spoza terenu UE zobowiązane będą na gruncie dyrektywy do podejmowania określonych w art. 14 ust. 1 i 2 działań. W kontekście powyższego zasadniczym problemem wymagającym wyjaśnienia będzie zapewnienie skutecznego egzekwowania wdrożonych na podstawie dyrektywy przepisów narodowych wobec faktu powszechnej dostępności usług świadczonych przez Internet. Dodatkową wątpliwość należy wyrazić ponownie względem projektowanego na mocy art. 14 ust. 5 aktu delegowanego, w którym Komisja Europejska określi okoliczności, w których organy administracji publicznej i podmioty gospodarcze będą zobowiązane do zgłaszania incydentów. Wątpliwości budzi w szczególności relacja projektowanego aktu i jego zakresu do krajowych strategii i planów, do przyjęcia których państwa członkowskie zobowiązane będą na mocy art. 5 projektowanej dyrektywy, a które będą miały w szczególności określać cele strategiczne i konkretne środki polityczne i regulacyjne mające na celu osiągnięcie i utrzymanie wysokiego poziomu bezpieczeństwa sieci i informacji. Można domniemywać, iż skoro Komisja Europejska dopiero zamierza określić okoliczności dokonywania zgłoszeń, to w takiej sytuacji identyfikowane przez poszczególne państwa członkowskie zagrożenia, a następnie podejmowane przez nie działania okażą się rozbieżne, co stawia pod znakiem zapytania zasadność ich uprzedniego opracowywania, do czasu wydania przez Komisję Europejską wszystkich przewidzianych w projekcie aktów delegowanych. Art. 16 normalizacja Nie negując oczywistej potrzeby wskazania i stosowania odpowiednich norm lub specyfikacji, czego skutkiem ma być zapewnienie jednolitego poziomu ochrony sieci i systemów teleinformatycznych na terenie UE, należy wyjaśnić dwie zasadnicze kwestie, które wobec kształtu omawianego projektu, budzą uzasadnione wątpliwości. Po pierwsze należy wskazać, iż międzynarodowych organizacji normalizacyjnych jest przynajmniej kilkanaście 12, w związku z czym nie jest na obecnym etapie jasne, które normy 12 Międzynarodowe organizacje normalizacyjne Międzynarodowa Komisja Elektrotechniczna (IEC) Europejski Komitet Normalizacyjny (CEN) Europejski Komitet Normalizacji Elektrotechnicznej (CENELEC) Europejski Instytut Norm Telekomunikacyjnych (ETSI) 19

20 lub specyfikacje oraz w szczególności których organizacji normalizacyjnych zostaną wskazane przez Komisję Europejską jako obligatoryjne do stosowania na podstawie art. 16 ust. 2 w wykazie norm (oraz jak się wydaje specyfikacji, ponieważ ust. 2 już do specyfikacji się nie odwołuje, co również powinno zostać wyjaśnione na dalszym etapie prac), co znacznie utrudnia na tym etapie dokonanie oceny skutków regulacji. Oceniając kierunkową propozycję Komisji należy wskazać, iż nałożenie na podmioty realizujące zadania publiczne oraz podmioty gospodarcze obowiązku stosowania określonych norm lub specyfikacji wiązać się będzie z zaangażowaniem trudnych do oceny na dzień dzisiejszy środków budżetowych, co przełoży się również na możliwy do realizacji termin wdrożenia i operacyjności przepisów dyrektywy. Po drugie należy jednocześnie zauważyć, iż obok organizacji o zasięgu regionalnym (np. europejskim) lub ogólnoświatowym funkcjonują również organizacje narodowe, które również mogą ustanawiać normy lub specyfikacje. Jest to szczególnie ważne w przypadku przepisu art. 14 ust. 3 projektu, w świetle którego wymogi określone w art. 14 ust. 1 (w tym zmierzające do wskazania odpowiednich norm lub specyfikacji do stosowania) dotyczyć będą wszystkich podmiotów gospodarczych świadczących usługi w obrębie Unii Europejskiej. Zasadniczy problem dotyczył będzie zatem możliwości egzekwowania stosowania odpowiednich norm lub specyfikacji przez podmioty posiadające siedzibę poza terenem UE, oraz w szczególności konsekwencji braku realizacji przez takie podmioty gospodarcze wymogów przedmiotowej dyrektywy. Po trzecie, w konsekwencji odwołania do obowiązku określonego w art. 14 ust. 1, wydaje się, że spod rygoru stosowania norm lub specyfikacji, które zostaną wskazane przez Komisję Europejską w przyszłym akcie delegowanym, wyłączeni są przedsiębiorcy telekomunikacyjni oraz incydenty identyfikowane w warstwie infrastrukturalnej oraz warstwie usług telekomunikacyjnych, co budzi poważne wątpliwości ze względu na realizację celu przedmiotowej regulacji. Problem ten szczegółowo omówiony jest w dalszej części Stanowiska RP. Art. 17 sankcje Międzynarodowa Organizacja Normalizacyjna (ISO) Międzynarodowy Związek Telekomunikacyjny (ITU) Organizacje normalizacyjne o zasięgu światowym European Computer Manufacturers Association (ECMA) Internet Engineering Task Force (IETF) Object Management Group (OMG) Organization for the Advancement of Structured Information Standards (OASIS) Institute of Electrical and Electronics Engineers (IEEE) World Wide Web Consortium (W3C) National Institute of Standards and Technology (NIST) 20