PROJEKT STANOWISKA RP

Wielkość: px
Rozpocząć pokaz od strony:

Download "PROJEKT STANOWISKA RP"

Transkrypt

1 PROJEKT STANOWISKA RP przygotowany w związku z art. 7 ustawy z dnia 8 października 2010 r. o współpracy Rady Ministrów z Sejmem i Senatem w sprawach związanych z członkostwem Rzeczypospolitej Polskiej w Unii Europejskiej (Dz. U. Nr 213, poz. 1395) Dotyczy Data przekazania Polsce dokumentu przez instytucje UE Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii 14 lutego 2012 r. Sygnatura dokumentu Komisja Europejska Numer międzyinstytucjonalny COM(2013) 48 final 2013/0027 (COD) Procedura decyzyjna zwykła procedura ustawodawcza Tryb głosowania w Radzie UE większość kwalifikowana Instytucja wiodąca Ministerstwo Administracji i Cyfryzacji Instytucje współpracujące Ministerstwo Spraw Wewnętrznych, Agencja Bezpieczeństwa Wewnętrznego, Rządowe Centrum Bezpieczeństwa, Generalny Inspektor Ochrony Danych Osobowych, Ministerstwo Gospodarki, Ministerstwo Finansów, Ministerstwo Obrony Narodowej, Ministerstwo Sprawiedliwości, Ministerstwo Zdrowia, Ministerstwo Transportu, Budownictwa i Gospodarki Morskiej, Rządowe Centrum Legislacji, Kancelaria Prezesa Rady Ministrów, Prezes Urzędu Regulacji Energetyki, Prezes Urzędu Komunikacji Elektronicznej, Komisja Nadzoru Finansowego, Narodowy Bank Polski. 1

2 Data przyjęcia przez KSE 2

3 I. Cel projektu aktu prawnego Zasadniczym celem proponowanej dyrektywy jest zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich informacji. Rozumie się przez to zwiększenie bezpieczeństwa publicznych sieci telekomunikacyjnych w warstwie aplikacyjnej oraz systemów informatycznych stanowiących podstawę funkcjonowania naszych społeczeństw i gospodarek. Zdaniem projektodawcy cel ten zostanie osiągnięty poprzez nałożenie na państwa członkowskie obowiązku zwiększenia gotowości i ulepszenia wzajemnej współpracy oraz poprzez nałożenie na operatorów infrastruktury krytycznej, w takich dziedzinach jak energetyka, transport i kluczowe usługi społeczeństwa informacyjnego (platformy handlu elektronicznego, serwisy społecznościowe itd.), jak również na organy administracji publicznej, obowiązku podjęcia odpowiednich działań mających na celu przeciwdziałanie zagrożeniom bezpieczeństwa oraz obowiązku zgłaszania poważnych incydentów właściwym organom krajowym. Projekt dyrektywy został przedstawiony łącznie ze wspólnym komunikatem Komisji i Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa w sprawie europejskiej strategii bezpieczeństwa cybernetycznego 1. Strategia bezpieczeństwa cybernetycznego zatytułowana: Otwarta, bezpieczna i chroniona cyberprzestrzeń odzwierciedla wizję UE w odniesieniu do zapobiegania zakłóceniom i atakom oraz reagowania na takie zakłócenia i ataki. Strategia ma na celu propagowanie wartości, takich jak wolność i demokracja, oraz zapewnianie bezpiecznego wzrostu gospodarki cyfrowej. Konkretne działania są ukierunkowane na zwiększenie odporności w dziedzinie bezpieczeństwa cybernetycznego systemów teleinformatycznych, ograniczenie cyberprzestępczości oraz wzmocnienie międzynarodowej polityki UE w dziedzinie bezpieczeństwa cybernetycznego i obrony cybernetycznej. Unijna wizja bezpieczeństwa cybernetycznego przedstawiona w strategii składa się z pięciu strategicznych priorytetów: 1. osiągnięcie odporności w dziedzinie bezpieczeństwa cybernetycznego; 2. radykalne ograniczenie cyberprzestępczości; 3. opracowanie polityki obrony cybernetycznej i rozbudowa zdolności w dziedzinie bezpieczeństwa cybernetycznego w powiązaniu ze wspólną polityką bezpieczeństwa i obrony (WPBiO); 4. rozbudowa zasobów przemysłowych i technologicznych na potrzeby bezpieczeństwa cybernetycznego; 5. ustanowienie spójnej międzynarodowej polityki w zakresie cyberprzestrzeni dla Unii Europejskiej i promowanie podstawowych wartości UE. Unijna międzynarodowa polityka w zakresie cyberprzestrzeni wspiera przestrzeganie podstawowych wartości UE, definiuje normy odpowiedzialnego zachowania, promuje przestrzeganie istniejących już przepisów międzynarodowych w dziedzinie cyberprzestrzeni, a jednocześnie pomaga państwom członkowskim poza UE w zakresie budowy zdolności w dziedzinie bezpieczeństwa cybernetycznego i propaguje współpracę międzynarodową w tym zakresie. 1 3

4 Zdaniem projektodawcy, Unia Europejska poczyniła znaczne postępy w kierunku lepszej ochrony obywateli przed przestępczością internetową, w tym poprzez: 1. ustanowienie Europejskiego Centrum ds. Walki z Cyberprzestępczością 2, 2. przedstawienie wniosku legislacyjnego w sprawie ataków na systemy informatyczne 3 oraz 3. poprzez utworzenie światowego sojuszu przeciwko niegodziwemu traktowaniu dzieci w internecie w celach seksualnych 4. Strategia ma także na celu rozwinięcie i finansowanie krajowych centrów doskonałości w zakresie cyberprzestępczości, tak by ułatwić szkolenia i budowę zdolności. Dalsze działania w ramach strategii w tej dziedzinie koncentrują się na szerzeniu wiedzy, rozwijaniu rynku wewnętrznego produktów i usług związanych z bezpieczeństwem cybernetycznym oraz wspieraniu inwestycji w badania i rozwój. Jednocześnie projektodawca wskazuje, że działania te zostaną uzupełnione innymi działaniami mającymi na celu intensyfikację walki z cyberprzestępczością oraz opracowanie międzynarodowej polityki w zakresie bezpieczeństwa cybernetycznego dla UE. Zdaniem projektodawcy, zaproponowana dyrektywa jest kluczowym elementem ogólnej strategii i nakładałaby na wszystkie państwa członkowskie, podmioty świadczące kluczowe usługi świadczone drogą elektronczną i operatorów infrastruktury krytycznej, takich jak platformy handlu elektronicznego i portale społecznościowe oraz przedsiębiorstwa z sektora energetycznego, sektora transportu, sektora bankowego i opieki zdrowotnej, obowiązek zapewnienia bezpiecznego i wiarygodnego środowiska cyfrowego w całej UE. Proponowana dyrektywa przewiduje w związku z tym przyjęcie następujących środków: a) zobowiązanie państw członkowskich do przyjęcia strategii w dziedzinie bezpieczeństwa sieci telekomunikacyjnych i informacji oraz wyznaczenia właściwych krajowych organów w dziedzinie bezpieczeństwa sieci telekomunikacyjnych i informacji, dysponujących odpowiednimi środkami finansowymi i zasobami ludzkimi, by odpowiednio postępować i reagować w przypadku wystąpienia incydentów i zagrożeń w dziedzinie bezpieczeństwa sieci telekomunikacyjnych i informacji; b) ustanowienie mechanizmu współpracy między państwami członkowskimi a Komisją, aby przekazywać za pośrednictwem bezpiecznej infrastruktury wczesne ostrzeżenia dotyczące zagrożeń i incydentów, współpracować i organizować regularne wzajemne weryfikacje; c) zobowiązanie operatorów infrastruktury krytycznej w niektórych sektorach (usług finansowych, transportu, energii i opieki zdrowotnej), dostawców usług społeczeństwa informacyjnego (należą do nich głównie sklepy z aplikacjami, platformy handlu elektronicznego, internetowe portale płatnicze, usługi chmur obliczeniowych, wyszukiwarki, portale społecznościowe) oraz organów administracji publicznej do stosowania właściwych środków technicznych i organizacyjnych w celu przeciwdziałania zagrożeniom, na jakie narażone są kontrolowane i wykorzystywane przez te podmioty sieci telekomunikacyjne i systemy teleinformatyczne oraz do przyjęcia praktyk w zakresie postępowania w przypadku wystąpienia zagrożeń i

5 zgłaszania incydentów mających znaczny wpływ na bezpieczeństwo świadczonych przez nie usług podstawowych. Uzasadniając projekt dyrektywy, projektodawca trafnie wskazuje, że bezpieczeństwo sieci telekomunikacyjnych i informacji ma coraz większe znaczenie dla każdej gospodarki i całego społeczeństwa. Zapewnienie bezpieczeństwa sieci telekomunikacyjnych i informacji jest również ważnym warunkiem utworzenia wiarygodnego środowiska dla światowego handlu usługami i jego prawidłowego funkcjonowania. Nie jest również tajemnicą, iż systemy teleinformatyczne są jednak narażone na incydenty zagrażające bezpieczeństwu, takie jak ludzkie błędy, zjawiska naturalne, awarie techniczne lub celowe ataki. Wraz z postępującą technologią, incydenty te mają miejsce coraz częściej oraz stają się coraz bardziej poważne i złożone. Projektodawca wskazuje jednocześnie, że brak bezpieczeństwa sieci telekomunikacyjnych i informacji może zagrażać kluczowym usługom uzależnionym od integralności sieci telekomunikacyjnych i systemów informatycznych. W efekcie może to uniemożliwić funkcjonowanie przedsiębiorstw, przynieść znaczne straty finansowe dla gospodarki UE i negatywnie wpłynąć na poziom dobrobytu społecznego. Biorąc pod uwagę transgraniczny charakter Internetu oraz swobodę przepływu towarów, usług i osób zwraca się uwagę, iż poważne zakłócenia warstwy aplikacyjnej w jednym państwie członkowskim mogą mieć wpływ na inne państwa członkowskie i na całą UE. Odporność i stabilność sieci telekomunikacyjnych i systemów informatycznych mają zatem zasadnicze znaczenie dla zakończenia tworzenia jednolitego rynku cyfrowego i dla sprawnego funkcjonowania rynku wewnętrznego. Jednocześnie zwraca się uwagę, iż bezpieczeństwo sieci telekomunikacyjnych i systemów teleinformatycznych warunkuje społeczne zaufanie do usług świadzonych drogą elektroniczną. Projektodawca podaje, iż przykładowo, w 2012 r. badanie Eurobarometru na temat bezpieczeństwa cybernetycznego wykazało, że 38% internautów ma wątpliwości co do bezpieczeństwa płatności internetowych i zmieniło swoje zachowania ze względu na kwestie bezpieczeństwa: 18% jest mniej przekonanych do robienia zakupów przez internet, a 15 % jest mniej przekonanych do korzystania z internetowych usług bankowych 5. Zdaniem projektodawcy, obecny stan rzeczy w UE, który odzwierciedla przyjęte do tej pory czysto dobrowolne podejście, nie zapewnia wystarczającej ochrony przed incydentami w zakresie bezpieczeństwa sieci telekomunikacyjnych i informacji oraz przed zagrożeniami w obrębie całej UE. Istniejące zdolności i mechanizmy w zakresie bezpieczeństwa sieci telekomunikacyjnych i informacji nie są jednolite i wystarczające, aby odpowiednio reagować na szybko zmieniające się zagrożenia i zapewnić wspólny wysoki poziom ochrony we wszystkich państwach członkowskich. Projektodawca jednocześnie podkreśla, iż brak ogólnych wytycznych w tym zakresie zaskutkował poważnymi dysproporcjami pomiędzy poziomami zabezpieczeń stosowanymi na terytoriach poszczególnych państw członkowskich. Ze względu na fakt, iż systemy teleinformatyczne i sieci telekomunikacyjne są wzajemnie połączone, ogólny poziom bezpieczeństwa sieci i informacji w UE jest obniżony przez państwa członkowskie o najmniejszych wksaźnikach poziomu ochrony. Sytuacja ta utrudnia również budowanie zaufania między partnerami, co jest warunkiem niezbędnym do współpracy i wymiany informacji. W rezultacie, zdaniem projektodawcy, współpraca ma miejsce jedynie w 5 Eurobarometr 390/

6 przypadku będących w mniejszości państw członkowskich posiadających wysoki poziom zdolności. Projektodawca wskazuje zatem, iż w związku z brakiem jednolitej regulacji na poziomie europejskim w tym zakresie, obecnie nie funkcjonują skuteczne mechanizmy współpracy i współdziałania, a co więcej, nie identyfikuje się również jednolitych i spójnych mechanizmów, za pomocą których państwa członkowskie mogłyby wymieniać między sobą informacje dotyczące incydentów oraz zagrożeń w zakresie bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich informacji. Taki stan rzeczy powoduje, iż na tym polu podejmowane mogą być nieskoordynowane interwencje regulacyjne, niespójne strategie i rozbieżne normy, co prowadzi do defragmentacji poziomu ochrony bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich informacji w całej UE. Taki stan rzeczy prowadzić może również do powstawania barier na rynku wewnętrznym wynikających z faktu, iż przedsiębiorstwa działające w więcej niż jednym państwie członkowskim będą narażone na koszty związane z koniecznością dostosowania się do różnych reżimów prawnych. W obecnym stanie prawnym UE, jedynie przedsiębiorcy telekomunikacyjni (a zatem na gruncie polskiego systemu prawnego są to zarówno dostawcy usług telekomunikacyjnych oraz operatorzy infrastruktury telekomunikacyjnej) są zobowiązani do podejmowania właściwych środków technicznych i organizacyjnych w razie wystąpienia zagrożenia dla bezpieczeństwa sieci i usług telekomunikacyjnych. Środki te powinny zapewniać poziom bezpieczeństwa, proporcjonalny do istniejącego ryzyka z uwzględnieniem aktualnego stanu wiedzy i technologii. W szczególności jednak, środkie te powinny być podejmowane w taki sposób, aby zapobiegać i minimalizować wpływ, jaki na użytkowników i wzajemnie połączone sieci mogą mieć przypadki stwarzające zagrożenie bezpieczeństwa. Jednocześnie przepisy znowelizowanej dyrektywy ramowej nakładaja na przedsiębiorców telekomunikacyjnych zobowiązanie do stosowania wszelkich właściwych środków w celu zapewnienia integralności swoich sieci, a tym samym zapewnienia ciągłości świadczenia usług za pośrednictwem tych sieci. Wszelkie natomiast przypadki incydentów o istotnym wpływie powinny być notyfikowane organowi regulacyjnemu w dziedzinie łączności, który z kolei przekazuje stosowne informacje w tym przedmiocie do Europejskiej Agencji ds. Ochrony Sieci i Informacji (ENISA) oraz do Komisji Europejskiej. Co jednak ważne podkreślenia, zarówno sieci jak i usługi telekomunikacyjne stanowią jedynie medium dla świadczenia szeroko rozumianych usług online, co powoduje, że również warstwa aplikacji powinna funkcjonować prawidłowo, zwłaszcza dzieki gwarancjom odpowiedniego poziomu bezpieczeństwa stosowanych w tym celu systemów teleinformatycznych, zarówno w sferze prywatnej, jak i publicznej. Jako kluczowe sektory wskazuje się tutaj bankowość, giełdy, wytwarzanie, przesyłanie i dystrybucję energii, transport (lotniczy, kolejowy, morski), opiekę zdrowotną, usługi internetowe oraz administrację publiczną. Biorąc pod uwagę powyższe, projektodawca za niezbędne uznaje wprowadzenie gruntownych zmian w zakresie bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich informacji w UE. Za niezbędne uznaje się wprowadzenie wymogów prawnych w celu zapewnienia równych warunków działania i usunięcia istniejących luk prawnych. Aby rozwiązać te problemy i zwiększyć poziom bezpieczeństwa sieci i informacji w Unii Europejskiej, w proponowanej dyrektywie wyznaczono opisane niżej cele. 6

7 Projekt dyrektywy zakłada zatem trzy podstawowe do osiągnięcia cele oraz kilka działań szczegółowych. Po pierwsze, przyszła dyrektywa ma na celu zobowiązanie wszystkich państw członkowskich do ustanowienia właściwych organów ds. bezpieczeństwa sieci telekomunikacyjnych i informacji oraz: powołanie zespołów reagowania na incydenty komputerowe (CERT) podlegających bezpośrednio ustanowionym organom oraz przyjęcie krajowych strategii i planów współpracy w zakresie bezpieczeństwa sieci telekomunikacyjnych i informacji. Po drugie, dyrektywa zobowiąże właściwe organy krajowe do współpracy w oparciu o sieć umożliwiającą bezpieczną i skuteczną koordynację, w tym skoordynowaną wymianę informacji, jak również wykrywanie i reagowanie na poziomie UE. Poprzez tę sieć państwa członkowskie powinny wymieniać się informacjami i współpracować ze sobą w celu wykrywania i zwalczania zagrożeń oraz incydentów w zakresie bezpieczeństwa sieci telekomunikacyjnych i informacji. Wszystkie te działania podejmowane będą na podstawie uprzednio opracowanego europejskiego planu współpracy w tej dziedzinie. Wreszcie po trzecie, odwołując się do modelu wprowadzonego znowelizowaną dyrektywą ramową w sprawie łączności elektronicznej (art. 13a i 13b dyrektywy 2002/21/WE, wprowadzone dyrektywą 2009/140/WE), przyszła dyrektywa ma na celu zapewnienie rozwoju kultury wspierającej przeciwdziałanie zagrożeniom oraz wymiany informacji między sektorem prywatnym i publicznym. Przedsiębiorstwa w określonych krytycznych sektorach oraz administracje publiczne (kluczowe usługi świadczone drogą elektroniczną, energetyka, transport, bankowość, infrastruktura rynków finansowych oraz służba zdrowia) będą zobowiązane do dokonywania oceny zagrożeń, na jakie są narażone, oraz do przyjęcia odpowiednich i proporcjonalnych środków mających na celu zapewnienie bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich informacji. Podmioty te będą jednocześnie zobowiązane do zgłaszania właściwym organom wszelkich incydentów poważnie zagrażających ich sieciom telekomunikacyjnym i systemom informatycznym oraz mogących znacząco zakłócić ciągłość krytycznych usług i dostaw towarów. II. Stanowisko RP Propozycję Komisji Europejskiej zmierzającą do zwiększenia bezpieczeństwa sieci i systemów oraz zwiększenia zaufania obywateli do świadczonych za pośrednictwem sieci i systemów usług należy ocenić jako kierunkowo zasadną. Jest to pożądany kierunek rozwoju jednolitego rynku cyfrowego na terenie UE. Rzeczpospolita Polska popiera konieczność utworzenia skutecznych mechanizmów zapobiegania oraz reagowania na incydenty komputerowe, zarówno na poziomie lokalnym jak i dla całej UE. Niemniej jednak należy jednocześnie ocenić tę propozycję jako dalece niedopracowaną, niespójną z przepisami innych dyrektyw, zarówno już wdrożonych jak i projektowanych, a z tego powodu budzącą również wiele poważnych wątpliwości interpretacyjnych. W zaproponowanej formie projekt dyrektywy, co ważne podkreślenia, charakteryzujący się wysokim poziomem ogólności, uniemożliwia dokonanie rzetelnej oceny skutków regulacji. 7

8 Wątpliwości uzasadniające negatywne odniesienie się do przedmiotowego projektu w zaproponowanej formie w szczególności budzą: osiągnięcie zakładanego przez Komisję Europejską celu zapewnienia rozwoju kultury wspierającej przeciwdziałanie zagrożeniom oraz wymiany informacji między sektorem prywatnym i publicznym; niejasna relacja projektowanych obowiązków do obowiązków ciążących na przedsiębiorcach telekomunikacyjnych, nałożonych przez prawa narodowe w drodze implementacji znowelizowanej dyrektywy ramowej (2002/21/WE znowelizowanej dyrektywą 2009/140/WE); niejasna pozycja regulatora rynku telekomunikacyjnego, któremu przedsiębiorcy telekomunikacyjni mają obowiązek przekazywania stosownych informacji o incydentach w zakresie sieci lub usług telekomunikacyjnych, brak tego typu informacji w sieci współpracy (a w konsekwencji również wczesnych ostrzeżeń i skoordynowanej reakcji) oraz brak udziału w jej ramach regulatora rynku telekomunikacyjnego; harmonizacja niezupełna, umożliwiająca państwom członkowskim przyjęcie środków zapewniających wyższy poziom bezpieczeństwa niż gwarantowany przepisami omawianej dyrektywy; przyjęte na potrzeby dyrektywy definicje oraz ich relacja do obowiązków wykonywanych przez przedsiębiorców telekomunikacyjnych (definicja bezpieczeństwa, zagrożenia, incydentu, postępowania w przypadku incydentu, których brak jest w znowelizowanej dyrektywie ramowej); zakres pojęciowy stosowanego w ramach projektu terminu infrastruktura krytyczna i jego relacji do zakresu regulowanego dyrektywą 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony; sprzeczność logiczna w zakresie definicji sieci i systemów informatycznych obejmującej swoim zakresem również wszelkie treści przechowywane, przetwarzane, odzyskiwane lub przekazywane za pomocą sieci lub systemów informatycznych; delegowanie szczegółowych regulacji i wymogów do przyszłych, o nieznanym na dzień dzisiejszy kształcie, aktów delegowanych (art. 9 ust. 2, art. 10 ust. 5, art. 14 ust. 5 oraz art. 16 ust. 2). Zdaniem RP akty delegowane powinny być przedmiotem równoległych prac nad projektem samej dyrektywy, albowiem to w tych aktach ukryta jest istota projektowanej regulacji (ewentualnie rekomenduje się regulowanie delegowanych kwestii na poziomie dyrektywy); niejasna relacja krajowych strategii i planów w zakresie bezpieczeństwa sieci i informacji, unijnego planu w zakresie bezpieczeństwa i informacji oraz przepisów i terminów określonych projektowaną dyrektywą; niejasne kompetencje właściwego organu w relacji do kompetencji regulatora rynku telekomunikacyjnego określonych materią w polskim porządku prawnym w ustawie Prawo telekomunikacyjne - w wyniku implementacji znowelizowanej dyrektywy ramowej; 8

9 zapewnienie możliwości poddania kontroli sądowej wszelkich obowiązków nałożonych na mocy Rozdziału IV (art ) na organy administracji publicznej; możliwość egzekwowania obowiązków wdrożonych w wyniku implementacji dyrektywy wobec wszystkich podmiotów gospodarczych świadczących usługi w obrębie UE, a zatem również takich, które nie posiadają siedziby na terenie UE; niejasne relacje pomiędzy terminami przygotowania i przyjęcia krajowych strategii i planów dotyczących bezpieczeństwa sieci i informacji, unijnego planu w zakresie bezpieczeństwa sieci i informacji, terminów wydania aktów delegowanych oraz wdrożenia przez państwa członkowskie przepisów dyrektywy; możliwość wskazania przez Komisję Europejską, również w drodze aktu wykonawczego - wydanego na podstawie art. 16 ust. 2, norm i specyfikacji niezbędnych do wykonania art. 14 ust. 1 dyrektywy, do przestrzegania których zobowiązane zostaną wszystkie podmioty wskazane w Załączniku I do przedmiotowego projektu (a zatem usługodawcy świadczący usługi drogą elektroniczną, operatorzy infrastruktury krytycznej oraz organy administracji publicznej); dość ogólnie sformułowane przesłanki dotyczące sankcji oraz ich relacja do sankcji przewidzianych w procedowanym obecnie rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Pozytywnie oceniając zaproponowane w formie dyrektywy kierunki zmian, Rząd RP zastrzega, iż poszczególne rozwiązania wymagają dalszych intensywnych analiz i prac. W szczególności prace te powinny zmierzać do wyeliminowania wszelkich niejasności oraz wątpliwości interpretacyjnych, również w kontekście realizowanych lub planowanych innych działań na poziomie europejskim. Jednocześnie, Rząd RP stoi na stanowisku, iż pozostawienie swobody Komisji Europejskiej w przedmiocie wydawania tak dużej ilości aktów delegowanych, nie ma wyraźnego uzasadnienia i powoduje niepewność prawną, w związku z czym, zdaniem Rządu RP, prace nad dokumentem powinny zmierzać w kierunku precyzowania poszczególnych rozwiązań na poziomie dyrektywy, co jednocześnie umożliwi rzetelną ich ocenę oraz zapewni przewidywalność prawną. Identyfikując zatem liczne problemy interpretacyjne i wątpliwości co do zasadności, zakresu, kosztów lub wykonalności niektórych z proponowanych przez Komisję Europejską rozwiązań, zwłaszcza w zakresie nałożenia na przedsiębiorstwa określonych w dokumencie obowiązków, Rząd RP stoi na stanowisku, iż dalsze prace nad kształtem dyrektywy powinny uwzględniać konieczność zachowania równowagi pomiędzy - z jednej strony zapewnieniem pożądanego poziomu bezpieczeństwa, natomiast z drugiej - warunkami wzrostu gospodarczego. III. Uzasadnienie Stanowiska Rządu RP 9

10 Zdaniem Rządu RP wszelkie działania, które mogą przynieść korzyści w zakresie poprawy poziomu bezpieczeństwa infrastruktury i świadczonych za jej pośrednictwem usług, zasługują na szczególną uwagę. Z tego względu kierunki zmian należy ocenić pozytywnie. Podkreślenia wymaga zidentyfikowanie przez Komisję Europejską wyzwań stojących przed systemem bezpieczeństwa sieci i systemów teleinformatycznych w Europie, w świetle rozwoju technologii oraz towarzyszącym jej zagrożeniom. Z tego względu Rząd RP zgadza się z proponowanymi przez Komisję Europejską celami i działaniami, jednak dostrzega liczne, niezwykle ważne problemy wymagające ich wyjaśnienia na dalszych etapach prac nad dokumentem. Poniżej przedstawiona została szczegółowa analiza poszczególnych jednostek redakcyjnych projektu, gdzie identyfikuje się i szeroko omawia kluczowe do rozstrzygnięcia kwestie. Art. 1 i 4 przedmiot i zakres zastosowania Należy wyrazić wątpliwość względem określonego w art. 1 ust. 1 celu dyrektywy, mianowicie zapewnienia wysokiego poziomu bezpieczeństwa sieci i informacji. Oprócz projektowanej sieci współpracy pomiędzy właściwymi organami proponuje się jedynie kierunkowo nałożenie obowiązków analogicznych do przewidzianych w dyrektywie ramowej na przedsiębiorców telekomunikacyjnych. Wprawdzie wspomina się o wspieraniu przez państwa członkowskie stosowania norm lub specyfikacji oraz sporządzeniu przez Komisję Europejską, w drodze aktów wykonawczych, wykazu norm do stosowania (art. 15), natomiast należy skonstatować, iż tak skonstruowana propozycja znacznie utrudnia na dzień dzisiejszy ocenę skutków regulacji ze względu na wysoki poziom ogólności projektowanych obowiązków. Trudno jest odnieść się do przyszłego zakresu regulacji oraz jego wpływu na sektor podmiotów realizujących zadania publiczne, usługodawców usług świadczonych drogą elektroniczną oraz operatorów infrastruktury krytycznej. Analogiczną wątpliwość należy wyrazić względem projektowanego art. 4, statuującego zasadę zapewnienia przez państwa członkowskie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na swoim terytorium. Na obecnym etapie nie jest bowiem wiadome, co oznacza wysoki poziom bezpieczeństwa, co budzić może również uzasadnione wątpliwości w kontekście harmonizacji niezupełnej, umożliwiającej państwom członkowskich przyjęcie środków zapewniających wyższy poziom bezpieczeństwa. Niezależnie od treści art. 1 ust. 4, stanowiącego iż niniejszą dyrektywę stosuje się bez uszczerbku dla dyrektywy Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony, rekomenduje się dokonać analizy wzajemnych relacji obu tych dyrektyw. Przedmiotowa dyrektywa odwołuje się do pojęcia infrastruktury krytycznej, nie definiując go (choćby poprzez odwołanie do innych dyrektyw). Pojęcie to, podobnie jak europejska infrastruktura krytyczna, zostało natomiast zdefiniowane w dyrektywie 2008/114/WE. Dla uniknięcia ewentualnych trudności interpretacyjnych co do zakresu tego określenia a różnice pomiędzy infrastrukturą krytyczną poszczególnych państw członkowskich (w rozumieniu art. 2 lit a dyrektywy 2008/114/WE), a europejską infrastrukturą krytyczną (w rozumieniu art. 2 lit b dyrektywy 2008/114/WE) są istotne rekomenduje się bardziej szczegółowe zbadanie relacji pomiędzy tymi dyrektywami oraz uzupełnienie definicji wymienionych w art. 3 niniejszej dyrektywy o infrastrukturę krytyczną i/lub operatorów infrastruktury krytycznej. 10

11 Ocena osiągnięcia przez Komisję Europejską zakładanego celu jest tym bardziej trudna, że projektowana dyrektywa wprost wyłącza z zakresu jej regulacji przedsiębiorców telekomunikacyjnych, poprzez wyłączenie z katalogu podmiotów zobowiązanych (art. 2 pkt 8 definicja podmiotu gospodarczego) oraz wyłączenie stosowania wobec nich przepisu art. 14 kształtującego obowiązki dla podmiotów gospodarczych i organów administracji publicznej. Wydaje się, że tak skonstruowana norma pozostawia poza zakresem regulacji kluczową dla bezpieczeństwa świadczonych usług infrastrukturę, a na temat czego odniesiono się szczegółowo w dalszej części Stanowiska RP. Art. 2 minimalna harmonizacja Stosownie do projektowanej jednostki redakcyjnej należy zauważyć, iż dyrektywa nie będzie harmonizacją zupełną, w konsekwencji czego państwa członkowskie będą mogły przyjmować środki zapewniające wyższy poziom bezpieczeństwa, niż określone dyrektywą i aktami delegowanymi wydanymi na jej podstawie. Wątpliwości w tym kontekście budzi przyszłość zastosowanych na podstawie dyrektywy środków, które powinny gwarantować wysoki poziom bezpieczeństwa oraz ich relacja do zastosowanych w praktyce przez państwa członkowskie środków zapewniających wyższy poziom bezpieczeństwa. Wydaje się, że w takim przypadku również zachodzić będą identyfikowane przez projektodawcę poważne dysproporcje w odniesieniu do poziomu bezpieczeństwa na terenie UE. Art. 3 - definicje Wątpliwość logiczną należy wyrazić wobec propozycji określonej w art. 3 pkt 1 lit c, zgodnie z którą sieci i systemy informatyczne, o których mowa w dyrektywie oznaczają, obok sieci telekomunikacyjnych oraz systemów teleinformatycznych, również dane komputerowe przechowywane, przetwarzane, odzyskiwane lub przekazywane przez sieci telekomunikacyjne i systemy teleinformatyczne w celu ich eksploatacji, użycia, ochrony lub utrzymania. Oznacza to, że w zakres pojęciowy włączone będą również przetwarzane w sieciach i systemach teleinformatycznych treści. Dostrzegając oczywistą zasadność ochrony oprócz sieci, również przetwarzanych w nich informacji (w tym danych osobowych, regulowanych jednak odrębnymi aktami jak dyrektywa 95/46/WE oraz dyrektywa 2002/58/WE), nie jest znana intencja projektodawcy co do zastosowania wymogów wobec, oprócz sieci i systemów, również przetwarzanych w tych sieciach i systemach treści (stosownie do postanowień art. 14). Wydaje się zatem, że w tym zakresie, niezbędne jest doprecyzowanie projektowanych i planowanych do wydania przepisów w drodze aktów delegowanych. W przeciwnym razie dokonanie rzetelnej oceny skutków regulacji nie jest na dzień dzisiejszy możliwe. W kontekście powyższego wątpliwość należy wyrazić wobec wszystkich proponowanych definicji, które nie znajdują odzwierciedlenia w dyrektywie ramowej, przewidującej obowiązki adresowane do przedsiębiorców telekomunikacyjnych, na których - stosownie do informacji przedstawionych w pkt 1.1 uzasadnienia projektowanej regulacji - opiera się przedmiotowy wniosek (trzeci cel). Oznacza to, że obowiązki podmiotów gospodarczych i organów administracji publicznej w rozumieniu projektowanej dyrektywy i obowiązki nałożone na przedsiębiorców telekomunikacyjnych dyrektywą ramową nie będą de facto tożsame. Wątpliwości te opisane są szczegółowo w dalszej części Stanowiska RP. 11

12 Odnosząc się jednocześnie do definicji sieci i systemów informatycznych należy wyraźnie podkreślić, iż w polskim systemie prawnym odpowiadać jej będzie zarówno definicja sieci telekomunikacyjnej w rozumieniu art. 2 pkt 35 ustawy Prawo telekomunikacyjne i system teleinformatyczny w rozumieniu art. 2 pkt 3 ustawy o świadczeniu usług drogą elektroniczną, co ważne podkreślenia bez żadnych wyłączeń przedmiotowych, co oznacza, że każdy system teleinformatyczny w rozumieniu ustawy o świadczeniu usług drogą elektroniczną wykorzystywany we wskazanych w dyrektywie branżach, objęty będzie jej zakresem. Projektodawca przewidział jedynie wyłączenia podmiotowe w art. 14 ust. 8, w świetle którego organy administracji publicznej i podmioty gospodarcze stosować będą odpowiednie środki zmierzające do utrzymania odpowiedniego poziomu bezpieczeństwa oraz będą raportować właściwemu organowi incydenty mające znaczące konsekwencje dla bezpieczeństwa świadczonych przez nie usług podstawowych. Z realizacji tych obowiązków zwolnione będą jedynie mikroprzedsiębiorstwa określone w zaleceniu Komisji 2003/361/WE z dnia 6 maja 2003 r. w sprawie definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw 6. Niezależnie od powyższego należy również zwrócić uwagę na rozbieżności pomiędzy definicją dostawcy usług zaufania w proponowanym projekcie 7 oraz analogiczną definicją zawartą w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznej na rynku wewnętrznym 8. Zidentyfikowane różnice oraz relacja obydwu definicji wymagają wyjaśnienia przez projektodawcę w trakcie dalszych prac nad obydwoma projektami. Proponowany projekt odnosi się również w swojej treści i w uzasadnieniu do pojęć infrastruktury krytycznej, krytycznych sektorów oraz krytycznej infrastruktury informatycznej, natomiast pojęcia te mają zakres inny niż wynikające z dyrektywy 2008/114/WE. W preambule pkt 24, a także w art. 3 ust. 8 lit. b i Załączniku II do projektu dyrektywy wskazany jest katalog operatorów infrastruktury krytycznej szerszy niż wskazany w załączniku do dyrektywy 2008/114/WE, w którym wskazane są jedynie sektory energia i transport. Wydaje się, że powinien nastąpić wyraźny rozdział w treści na operatorów infrastruktury krytycznej w rozumieniu dyrektywy 2008/114/WE (z uwzględnieniem załącznika 1 oraz prowadzonego obecnie przeglądu dyrektywy 2008/114/WE) oraz pozostałych operatorów. 6 Artykuł 2 Liczba zatrudnionych osób i pułapy finansowe określające kategorie przedsiębiorstw 1. Na kategorię przedsiębiorstw mikro, małych i średnich (MŚP) składają się przedsiębiorstwa, które zatrudniają mniej niż 250 osób, i których obroty roczne nie przekraczają 50 mln EUR, i/lub których roczna suma bilansowa nie przekracza 43 mln EUR. 2. W kategorii MŚP, małe przedsiębiorstwo jest zdefiniowane jako przedsiębiorstwo zatrudniające mniej niż 50 osób, i którego obroty roczne i/lub roczna suma bilansowa nie przekracza 10 mln EUR. 3. W kategorii MŚP, przedsiębiorstwo mikro jest zdefiniowane jako przedsiębiorstwo zatrudniające mniej niż 10 osób, i którego obroty roczne i/lub roczna suma bilansowa nie przekracza 2 mln EUR. 7 Art. 3 pkt 11) dostawca usług zaufania oznacza każdą osobę fizyczną lub prawną, która świadczy jakąkolwiek elektroniczną usługę polegającą na tworzeniu, kontroli, walidacji i przechowywaniu podpisów elektronicznych, pieczęci elektronicznych, elektronicznych znaczników czasu, dokumentów elektronicznych, usług doręczenia elektronicznego, usług uwierzytelniania witryn internetowych i certyfikatów elektronicznych, w tym certyfikatów podpisów elektronicznych i pieczęci elektronicznych. 8 Art. 3 pkt 14) dostawca usług zaufania oznacza osobę fizyczną lub prawną, która świadczy jedną usługę zaufania lub więcej takich usług; Art. 3 pkt 15) dostawca kwalifikowanych usług zaufania oznacza dostawcę usług zaufania, który spełnia wymagania ustanowione w niniejszym rozporządzeniu; 12

13 Art. 5 oraz art. 21 krajowa strategia w zakresie bezpieczeństwa sieci i informacji oraz krajowy plan współpracy w zakresie bezpieczeństwa sieci i informacji i transpozycja Należy wyrazić generalne zastrzeżenie do proponowanej jednostki redakcyjnej. W szczególności brak jest informacji na temat charakteru krajowej strategii i krajowego planu oraz ich relacji do obowiązków, co trzeba podkreślić, dość ogólnych określonych projektowaną dyrektywą. Brak jest również informacji na temat relacji tych krajowych dokumentów, a raczej wskazanych w katalogu z art. 5 wymaganych elementów tych dokumentów do przyszłych aktów delegowanych wydawanych na mocy art. 9 ust. 2, art. 10 ust. 5 oraz art. 14 ust. 5. Jak się wydaje, akty te wskazywać będą elementy wymagane przez art. 5, natomiast na dzień dzisiejszy nie są znane. Rodzi to kolejną wątpliwość w przedmiocie terminów - implementacji przedmiotowej dyrektywy, na co stosownie do brzmienia art. 21 przewiduje się półtora roku od dnia przyjęcia oraz terminu przekazania krajowej strategii i krajowego planu, co stosownie do brzmienia art. 5 ust. 3 ma nastąpić w ciągu miesiąca od dnia ich przyjęcia, a które mają zawierać elementy będące przedmiotem nieznanych na dzień dzisiejszy aktów delegowanych. Nie wiadomo w takim razie, kiedy Komisja spodziewa się otrzymać krajową strategię i krajowy plan oraz kiedy dyrektywa powinna zostać w całości wdrożona. Niezależnie od powyższego należy wskazać, iż w świetle tak ogólnych na dzień dzisiejszy obowiązków przewidzianych dyrektywą, domniemywać można iż krajowe strategie i plany będą charakteryzować się dużymi rozbieżnościami w poszczególnych państwach członkowskich. W związku z powyższym wydaje się, iż obligatoryjne elementy wskazane w art. 5, które powinny znaleźć się w krajowej strategii i planie powinny również, w celu harmonizacji przepisów zmierzających do efektywnej współpracy i utrzymania jednolitego poziomu bezpieczeństwa na terenie UE, zostać opracowane nie na poziomie krajowym, a na poziomie europejskim równocześnie z projektowaną dyrektywą. Oczywiście zdając sobie sprawę z poważnych dysproporcji mogących mieć miejsce w poszczególnych państwach członkowskich, takie krajowe dokumenty oraz przewidziane w nich działania, jak się wydaje powinny mieć miejsce uprzednio w stosunku do realizacji postanowień dyrektywy wdrożonych do narodowych systemów prawnych. W świetle powyższego wskazać należy, że Rząd RP rozpoczął już prace nad dokumentem dotyczącym tych kwestii, zatytułowanym: Polityka Bezpieczeństwa Cyberprzestrzeni RP. Obejmuje on swoim zakresem działania zmierzające do zwiększenia bezpieczeństwa teleinformatycznego szeregu podmiotów (od administracji publicznej, poprzez operatorów infrastruktury krytycznej, po przedsiębiorców telekomunikacyjnych i użytkowników indywidualnych), działania edukacyjne, ogólne zasady współpracy krajowej i międzynarodowej w tym zakresie oraz ocenę ryzyka i priorytetowe zadania do realizacji. Istotną różnicą jest jednak brak określenia jednego organu odpowiedzialnego za całokształt działań w tym zakresie odpowiednika właściwego organu krajowego ds. bezpieczeństwa sieci i systemów informatycznych (w rozumieniu art. 6 ust. 1 niniejszej dyrektywy). Art. 6, 7, 8 15 właściwy organ ds. bezpieczeństwa sieci i systemów/utworzenie CERT/egzekwowanie przepisów Przepis art. 6 zobowiązuje państwa członkowskie do wyznaczenia właściwego organu do spraw bezpieczeństwa sieci i systemów informatycznych, którym jednocześnie państwa członkowskie powinny zapewnić odpowiednie zasoby techniczne, finansowe oraz ludzkie, 13

14 aby mogły skutecznie i efektywnie realizować powierzone im zadania w celu osiągnięcia celów dyrektywy. Jednocześnie właściwy organ powinien: - otrzymywać od podmiotów zobowiązanych informacje o zidentyfikowanych incydentach (art. 6 ust. 4 w zw. z art. 14 ust. 2 i art. 15), - posiadać narzędzia niezbędne do weryfikacji wdrożonych środków mających na celu zapobieganie incydentom, pozyskiwania informacji niezbędnych do oceny bezpieczeństwa sieci i systemów podmiotów zobowiązanych (administracji publicznej i podmiotów gospodarczych), a także do zobowiązania podmiotów zobowiązanych do poddania się audytowi bezpieczeństwa przeprowadzanemu przez niezależny podmiot lub organ krajowy (art. 15 ust. 1 i 2), - posiadać uprawnienia do wydawania wiążących instrukcji dla podmiotów gospodarczych i organów administracji publicznej (art. 15 ust. 3), - współpracować z odpowiednimi krajowymi organami ścigania oraz organami ochrony danych osobowych (art. 6 ust. 5), - nadzorować CERT, a jednocześnie powinien regularnie dokonywać przeglądu stosowności jego zasobów, jego mandatu oraz skuteczności jego procedury postępowania w przypadku incydentów (art. 7 ust. 5), - współpracować w ramach sieci współpracy tworzonej przez te organy wspólnie z Komisją Europejską (art. 8), a w jej ramach wykonywać działania szczegółowe określone w art. 8 ust Jednocześnie należy zwrócić uwagę, iż w świetle art. 6 ust. 6 projektu, każde państwo członkowskie powinno powiadamiać Komisję Europejską o fakcie wyznaczenia właściwego organu, o jego zadaniach i o wszelkich późniejszych zmianach dotyczących tego organu. 9 Art. 8 ust. 3. W ramach sieci współpracy właściwe organy: a) przekazują wczesne ostrzeżenia dotyczące zagrożeń i incydentów zgodnie z art. 10; b) zapewniają skoordynowaną reakcję zgodnie z art. 11; c) regularnie publikują na wspólnej stronie internetowej niemające poufnego charakteru informacje na temat aktualnych wczesnych ostrzeżeń i skoordynowanych reakcji; d) wspólnie omawiają i oceniają, na wniosek państwa członkowskiego lub Komisji, jedną krajową strategię w zakresie bezpieczeństwa sieci i informacji, lub ich większą liczbę, lub jeden krajowy plan współpracy w zakresie bezpieczeństwa sieci i informacji, lub ich większą liczbę, o których mowa w art. 5, w zakresie niniejszej dyrektywy; e) wspólnie omawiają i oceniają, na wniosek państwa członkowskiego lub Komisji, skuteczność CERT, zwłaszcza w przypadku gdy ćwiczenia w zakresie bezpieczeństwa sieci i informacji przeprowadzane są na poziomie unijnym; f) współpracują i wymieniają się informacjami dotyczącymi wszystkich istotnych kwestii z działającym przy Europolu Europejskim Centrum ds. Walki z Cyberprzestępczością oraz z innymi właściwymi organami europejskimi, w szczególności w dziedzinach ochrony danych, energetyki, transportu, bankowości, obrotu papierami wartościowymi i opieki zdrowotnej; g) wymieniają się informacjami i najlepszymi praktykami między sobą i z Komisją oraz udzielają sobie wzajemnie pomocy w budowaniu zdolności w zakresie bezpieczeństwa sieci i informacji; h) regularnie organizują wzajemne oceny zdolności i gotowości; i) organizują ćwiczenia w zakresie bezpieczeństwa sieci i informacji na poziomie unijnym oraz uczestniczą, w stosownych przypadkach, w międzynarodowych ćwiczeniach w zakresie bezpieczeństwa sieci i informacji. 14

15 Podobne wymogi stawiane są w stosunku do CERT, który ma spełniać warunki i realizować działania określone w Załączniku I do projektu 10 oraz m.in. ma wykorzystywać bezpieczną i odporną infrastrukturę komunikacyjną i informacyjną na poziomie krajowym, która jest kompatybilna i interoperacyjna z bezpiecznym systemem wymiany informacji, o którym mowa w art. 9. Biorąc pod uwagę powyższe należy skonstatować, iż w celu implementacji dyrektywy niezbędne będzie wyznaczenie właściwego organu, którym może być obecnie funkcjonujący podmiot lub podmiot nowoutworzony, pod nadzorem którego działać będzie CERT. Na chwilę obecną, biorąc pod uwagę liczne inne i poważne wątpliwości w stosunku do projektowanej regulacji, w szczególności opisane w dalszej części Stanowiska RP, szczegółowa analiza możliwości wyznaczenia w ramach istniejących struktur lub powołania nowego właściwego organu nie znajduje uzasadnienia. 10 ZAŁĄCZNIK I Zespoły reagowania na incydenty komputerowe (CERT) wymogi i zadania Wymogi i zadania dla CERT są odpowiednio i jasno określone i umocowane w strategiach lub regulacjach krajowych. Obejmują one następujące elementy: (1) Wymogi dotyczące CERT a) CERT zapewnia wysoką dostępność swoich usług łączności poprzez unikanie pojedynczych punktów awarii oraz dysponuje różnymi kanałami, za pomocą których można się z nim skontaktować i za pomocą których on sam może się kontaktować z innymi. Ponadto kanały komunikacyjne są wyraźnie określone i dobrze znane wśród użytkowników CERT i wśród współpracujących partnerów. b) CERT wdraża środki mające na celu zapewnienie poufności, integralności, dostępności i wiarygodności otrzymywanych i przetwarzanych informacji, oraz zarządza tymi środkami. c) Biura CERT oraz wspierające systemy informatyczne są zlokalizowane w bezpiecznych miejscach. d) W celu monitorowania działalności CERT i zapewnienia jej ciągłej poprawy należy utworzyć system zarządzania jakością usług. System ten jest oparty na jasno zdefiniowanych metodach pomiaru, które obejmują formalne poziomy usług oraz kluczowe wskaźniki wyników. e) Ciągłość działania: CERT musi być wyposażony w odpowiedni system zarządzania i dysponowania wnioskami w celu ułatwienia ich późniejszego przekazywania. CERT dysponuje wystarczającą liczbą personelu, aby zapewnić nieprzerwaną dostępność usług. CERT korzysta z infrastruktury o gwarantowanej ciągłości działania. W tym kontekście należy zapewnić CERT systemy redundantne oraz rezerwowy lokal w celu zapewnienia stałego dostępu do środków komunikacji. (2) Zadania CERT a) Zadania CERT obejmują co najmniej: monitorowanie incydentów na poziomie krajowym; przekazywanie zainteresowanym stronom wczesnych ostrzeżeń, ogłaszanie alarmów, wydawanie ogłoszeń i przekazywanie informacji skierowanych do zainteresowanych stron i dotyczących zagrożeń oraz incydentów; reagowanie na incydenty; zapewnianie dynamicznej analizy zagrożeń i incydentów oraz zintegrowanej oceny sytuacji; informowanie opinii publicznej o zagrożeniach związanych z działalnością online, organizowanie kampanii w zakresie bezpieczeństwa sieci i informacji. b) CERT nawiązuje współpracę z sektorem prywatnym. c) W celu ułatwienia współpracy CERT wspiera przyjmowanie i wykorzystywanie wspólnych lub znormalizowanych praktyk w odniesieniu do: procedur postępowania w przypadku wystąpienia incydentów i zagrożeń; systemów klasyfikacji incydentów, zagrożeń i informacji; taksonomii metod pomiarów; formatów wymiany informacji dotyczących zagrożeń i incydentów oraz konwencji nazewnictwa systemów. 15

16 Odnosząc się szczegółowo do treści art. 8 określającego sieć współpracy, należy wskazać, iż poza ogólnym zobowiązaniem do współpracy w ramach sieci właściwych organów poszczególnych państw członkowskich, brak jest określenia jakichkolwiek zasad prowadzenia tej współpracy i dialogu pomiędzy aktorami, przez co trudno jest dokonać oceny propozycji. Wprawdzie na podstawie art. 8 ust. 4 Komisja Europejska w drodze aktów wykonawczych ustanowi niezbędne środki w celu ułatwienia współpracy pomiędzy właściwymi organami i Komisją, natomiast na dzień dzisiejszy dokonanie oceny nieznanych zasad współpracy, uniemożliwia dokonanie rzetelnej oceny proponowanego rozwiązania i oceny skutków regulacji. W związku z powyższym proponuje się przedstawienie projektów aktów wykonawczych, o których mowa w art. 8 ust. 4 lub, co uznaje się za bardziej zasadne, uwzględnienie współpracy właściwych organów wprost w treści dyrektywy. Niezależnie od powyższego wątpliwości budzi określone w art. 15 ust. 6 zobowiązanie państw członkowskich do zapewnienia możliwości poddania kontroli sądowej wszelkich obowiązków nałożonych na mocy Rozdziału IV (art ) na organy administracji publicznej oraz podmioty gospodarcze. Pomijając fakt ewentualnych skutków oceny sądowej dla realizacji celów i obowiązków przewidzianych omawianym projektem, o ile w przypadku podmiotów gospodarczych jest to procedura możliwa do wdrożenia na gruncie obecnego systemu prawnego, o tyle poważne zastrzeżenia budzi wprowadzenie i realizacja kontroli sądowej w przypadku obowiązków nałożonych na organy administracji publicznej. Należy w tym miejscu wskazać, iż w warunkach polskich nie istnieje jeden zespół reagowania na incydenty komputerowe (w rozumieniu art. 7 ust. 1 niniejszej dyrektywy), lecz szereg CERT-ów, zajmujących się kwestią szeroko rozumianego bezpieczeństwa teleinformatycznego, wśród których wymienić należy m.in.: - rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL funkcjonujący w ramach Departamentu Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego. Poza podejmowaniem interwencji w sytuacjach zagrożenia bezpieczeństwa cyberprzestrzeni RP, w szczególności o podłożu kryminalnym, zespół ten publikuje na swoich stronach internetowych informacje o istotnych zagrożeniach dla bezpieczeństwa teleinformatycznego, zalecenia, narzędzia, poprawki, aktualizacje, itp., - resortowe Centrum Zarządzania Bezpieczeństwem Usług i Sieci Teleinformatycznych Ministerstwa Obrony Narodowej funkcjonujący w resorcie obrony narodowej, zajmujący się zapobieganiem incydentom mogących wpłynąć na obronność RP, - zespoły utworzone przez środowisko telekomunikacyjne, m.in. CERT POLSKA - funkcjonujący w ramach Naukowej i Akademickiej Sieci Komputerowej (będącej instytutem badawczym, jak i operatorem sieci transmisji danych). Podejmowanie działań na rzecz bezpieczeństwa teleinformatycznego przez szereg instytucji oraz powołanych w tym celu zespołów (CERT-ów), skutkuje podejmowaniem przez nie współpracy, w szczególności międzynarodowej, o różnym zakresie i skali. Wydaje się, że mnogość podmiotów podejmujących się zadań na rzecz bezpieczeństwa teleinformatycznego, w tym Zespołów CERT oraz ich niejednolita podległość, będą stać na przeszkodzie szybkiej implementacji rozwiązań proponowanych w niniejszej dyrektywie, opierających się na centralizacji działań i powierzeniu wszelkich kompetencji w tym zakresie jednemu organowi. 16

17 Art. 9 bezpieczny system wymiany informacji Wątpliwości budzi ponownie delegowanie określenia wymogów dla państw członkowskich oraz CERTów do przyszłych, o nieznanym na dzień dzisiejszy zakresie i poziomie szczegółowości, aktów delegowanych. W związku z powyższym należy przedmiotowe rozwiązanie, pomimo zgody co do zasadności jego szczegółowego określenia umożliwiającego dokonanie oceny skutków regulacji, w takiej formie ocenić negatywnie. Art. 10 i 11 wczesne ostrzeżenia i skoordynowana reakcja Należy wyrazić wątpliwości względem zaproponowanych kryteriów, które mają na celu zdefiniowanie stosowanego w ramach projektu znaczącego wpływu lub znaczących konsekwencji w odniesieniu do identyfikowanych zagrożeń lub incydentów, które z kolei kwalifikować będą określone zdarzenia do wczesnego ostrzeżenia. Wprawdzie Komisja Europejska uprawniona będzie na mocy art. 10 ust. 5 do przyjęcia aktów delegowanych dotyczących sprecyzowania zagrożeń i incydentów prowadzących do wczesnych ostrzeżeń, natomiast na chwilę obecną określone w art. 10 ust. 1 kryteria utrudniają dokonanie rzetelnej oceny propozycji; kryteria tj.: - skala (zagrożeń lub incydentów) szybko rośnie lub może szybko wzrosnąć; - przekraczają (zagrożenia lub incydenty) lub mogą przekroczyć krajowe zdolności reagowania; - mają (zagrożenia lub incydenty) wpływ lub mogą mieć wpływ na więcej niż jedno państwo członkowskie. Należy wskazać, iż tak dalece nieprecyzyjne kryteria, w związku z subiektywną oceną dokonywaną przez państwa członkowskie, doprowadzić w efekcie mogą do poważnej nierówności wagi zgłoszeń, co w konsekwencji nie wpłynie pozytywnie na zakładaną przez projektodawcę efektywność narzędzia wczesnych ostrzeżeń. W konsekwencji powyższego należy również w tym przypadku postulować przedstawienie stosownego projektu aktu wykonawczego lub, co wydaje się bardziej zasadne, unikać nadmiernego delegowania regulacji do aktów o nieznanym na dzień dzisiejszy kształcie. W związku z tym za zasadne uznaje się dokonanie próby określenia warunków dotyczących precyzowania zagrożeń i incydentów prowadzących do wczesnych ostrzeżeń, na poziomie dyrektywy. Na marginesie należy również zauważyć, iż w odniesieniu m.in. do znaczącego wpływu incydentów w zakresie obowiązków określonych dla przedsiębiorców telekomunikacyjnych na podstawie dyrektywy ramowej, ENISA przedstawiła stosowne zalecenia 11. Odnosząc się natomiast do przepisu art. 11 dotyczącego uzgadniania przez właściwe organy skoordynowanej reakcji zgodnie z planem, o którym mowa w art. 12 i przekazywaniu do sieci współpracy informacji o różnych środkach przyjętych na poziomie krajowym należy uznać, iż brak jest określenia znaczeniowego skoordynowanej reakcji, brak jest również określenia terminu jej podjęcia oraz w szczególności zasad określających jej podejmowanie. Należy również wskazać, iż dokonanie oceny następstw przekazywania wczesnych ostrzeżeń, bez 11 https://resilience.enisa.europa.eu/article-13/guideline-for-incident-reporting/technical-guideline-on-incidentreporting-v

18 znajomości szczegółów na ich temat, jest w świetle dość ogólnej formy przepisów zaproponowanych przez Komisję Europejską, na chwilę obecną niemożliwe. Inne wątpliwości interpretacyjne w stosunku do przepisu art. 11 omówione zostały szczegółowo w dalszej części Stanowiska RP. Art. 12 unijny plan współpracy w zakresie bezpieczeństwa sieci i informacji W konsekwencji uwag do przepisów art. 10 oraz 11, negatywne stanowisko należy również zająć w stosunku do przepisu art. 12, na podstawie którego Komisja Europejska uprawniona będzie do przyjęcia, w drodze aktów wykonawczych, unijnego planu współpracy w zakresie bezpieczeństwa sieci i informacji, który stosownie do projektowanego przepisu art. 12 ust. 2 obejmował będzie: a) do celów art. 10: określenie formatu i procedur gromadzenia i wymiany kompatybilnych i porównywalnych informacji na temat zagrożeń i incydentów przez właściwe organy; określenie procedur i kryteriów oceny zagrożeń i incydentów przez sieć współpracy; b) procedury, jakie należy stosować w przypadku skoordynowanych reakcji na mocy art. 11, w tym określenie funkcji i obowiązków oraz procedur współpracy; c) plan działania dotyczący ćwiczeń i szkoleń w zakresie bezpieczeństwa sieci i informacji, mający na celu wzmocnienie, zatwierdzenie i sprawdzenie głównego planu; d) program dotyczący transferu wiedzy między państwami członkowskimi w odniesieniu do budowy zdolności i wzajemnego uczenia się; e) program dotyczący działań informacyjnych i szkoleń między państwami członkowskimi. Zakres proponowanej regulacji jest na chwilę obecną nieznany (z powodu delegowania kilku regulacji szczegółowych w ramach aktów wykonawczych), podobnie jak fakt uwzględnienia w sieci współpracy regulatorów rynków telekomunikacyjnych oraz informacji o incydentach dotyczących infrastruktury i usług telekomunikacyjnych (o czym szeroko w dalszej części Stanowiska RP). Nie są także znane kryteria dokonywania oceny zagrożeń i incydentów przez poszczególne państwa członkowskie. Jednocześnie należy zwrócić uwagę na brzmienie art. 12 ust. 3, zgodnie z którym unijny plan współpracy w zakresie bezpieczeństwa sieci i informacji przyjmuje się nie później niż jeden rok po wejściu w życie niniejszej dyrektywy i regularnie poddaje się przeglądowi. Po pierwsze brak jest doprecyzowania regularności dokonywania przeglądu planu. Po drugie natomiast, w związku z nieznanym terminem publikacji poszczególnych aktów delegowanych, półtorarocznym terminem na wdrożenie przez państwa członkowskie przepisów projektowanej dyrektywy oraz brakiem informacji na temat terminu opracowania przez państwa członkowskie krajowych strategii i planów (oraz dokonania ich oceny przez Komisję Europejską w kontekście opracowania efektywnego modelu współpracy) należy wyrazić wątpliwość co do intencji projektodawcy w przedmiocie harmonogramu działań na poziomie europejskim, Wydaje się, że wszystkie te wątpliwości powinny zostać rozwiązane na poziomie omawianego projektu. 18

19 Art. 14 wymogi w zakresie bezpieczeństwa i zgłaszanie incydentów Główne wątpliwości w zakresie tej jednostki redakcyjnej dotyczą udziału regulatorów rynków telekomunikacyjnych oraz braku informacji na temat incydentów dotyczących infrastruktury i usług telekomunikacyjnych. Wszystkie te wątpliwości zostały omówione w dalszej części Stanowiska RP. Niezależnie od powyższego należy wymóc na projektodawcy wyjaśnienie przepisu art. 14 ust. 3, w świetle którego przedsięwzięcie określonych środków mających na celu przeciwdziałanie zagrożeniom oraz obowiązek notyfikacji zagrożeń właściwym organom, ciążyć będzie na wszystkich podmiotach gospodarczych świadczących usługi w obrębie Unii Europejskiej. Wydaje się zatem, że bez znaczenia będzie fakt posiadania przez dany podmiot gospodarczy siedziby na terenie UE, przez co można domniemywać, iż adresatami wymogów z art. 14 ust. 1 i 2 będą również podmioty nieposiadające siedziby na terenie UE, a jedynie świadczące na jej terenie usługi. Oznacza to, że podmioty gospodarcze spoza terenu UE zobowiązane będą na gruncie dyrektywy do podejmowania określonych w art. 14 ust. 1 i 2 działań. W kontekście powyższego zasadniczym problemem wymagającym wyjaśnienia będzie zapewnienie skutecznego egzekwowania wdrożonych na podstawie dyrektywy przepisów narodowych wobec faktu powszechnej dostępności usług świadczonych przez Internet. Dodatkową wątpliwość należy wyrazić ponownie względem projektowanego na mocy art. 14 ust. 5 aktu delegowanego, w którym Komisja Europejska określi okoliczności, w których organy administracji publicznej i podmioty gospodarcze będą zobowiązane do zgłaszania incydentów. Wątpliwości budzi w szczególności relacja projektowanego aktu i jego zakresu do krajowych strategii i planów, do przyjęcia których państwa członkowskie zobowiązane będą na mocy art. 5 projektowanej dyrektywy, a które będą miały w szczególności określać cele strategiczne i konkretne środki polityczne i regulacyjne mające na celu osiągnięcie i utrzymanie wysokiego poziomu bezpieczeństwa sieci i informacji. Można domniemywać, iż skoro Komisja Europejska dopiero zamierza określić okoliczności dokonywania zgłoszeń, to w takiej sytuacji identyfikowane przez poszczególne państwa członkowskie zagrożenia, a następnie podejmowane przez nie działania okażą się rozbieżne, co stawia pod znakiem zapytania zasadność ich uprzedniego opracowywania, do czasu wydania przez Komisję Europejską wszystkich przewidzianych w projekcie aktów delegowanych. Art. 16 normalizacja Nie negując oczywistej potrzeby wskazania i stosowania odpowiednich norm lub specyfikacji, czego skutkiem ma być zapewnienie jednolitego poziomu ochrony sieci i systemów teleinformatycznych na terenie UE, należy wyjaśnić dwie zasadnicze kwestie, które wobec kształtu omawianego projektu, budzą uzasadnione wątpliwości. Po pierwsze należy wskazać, iż międzynarodowych organizacji normalizacyjnych jest przynajmniej kilkanaście 12, w związku z czym nie jest na obecnym etapie jasne, które normy 12 Międzynarodowe organizacje normalizacyjne Międzynarodowa Komisja Elektrotechniczna (IEC) Europejski Komitet Normalizacyjny (CEN) Europejski Komitet Normalizacji Elektrotechnicznej (CENELEC) Europejski Instytut Norm Telekomunikacyjnych (ETSI) 19

20 lub specyfikacje oraz w szczególności których organizacji normalizacyjnych zostaną wskazane przez Komisję Europejską jako obligatoryjne do stosowania na podstawie art. 16 ust. 2 w wykazie norm (oraz jak się wydaje specyfikacji, ponieważ ust. 2 już do specyfikacji się nie odwołuje, co również powinno zostać wyjaśnione na dalszym etapie prac), co znacznie utrudnia na tym etapie dokonanie oceny skutków regulacji. Oceniając kierunkową propozycję Komisji należy wskazać, iż nałożenie na podmioty realizujące zadania publiczne oraz podmioty gospodarcze obowiązku stosowania określonych norm lub specyfikacji wiązać się będzie z zaangażowaniem trudnych do oceny na dzień dzisiejszy środków budżetowych, co przełoży się również na możliwy do realizacji termin wdrożenia i operacyjności przepisów dyrektywy. Po drugie należy jednocześnie zauważyć, iż obok organizacji o zasięgu regionalnym (np. europejskim) lub ogólnoświatowym funkcjonują również organizacje narodowe, które również mogą ustanawiać normy lub specyfikacje. Jest to szczególnie ważne w przypadku przepisu art. 14 ust. 3 projektu, w świetle którego wymogi określone w art. 14 ust. 1 (w tym zmierzające do wskazania odpowiednich norm lub specyfikacji do stosowania) dotyczyć będą wszystkich podmiotów gospodarczych świadczących usługi w obrębie Unii Europejskiej. Zasadniczy problem dotyczył będzie zatem możliwości egzekwowania stosowania odpowiednich norm lub specyfikacji przez podmioty posiadające siedzibę poza terenem UE, oraz w szczególności konsekwencji braku realizacji przez takie podmioty gospodarcze wymogów przedmiotowej dyrektywy. Po trzecie, w konsekwencji odwołania do obowiązku określonego w art. 14 ust. 1, wydaje się, że spod rygoru stosowania norm lub specyfikacji, które zostaną wskazane przez Komisję Europejską w przyszłym akcie delegowanym, wyłączeni są przedsiębiorcy telekomunikacyjni oraz incydenty identyfikowane w warstwie infrastrukturalnej oraz warstwie usług telekomunikacyjnych, co budzi poważne wątpliwości ze względu na realizację celu przedmiotowej regulacji. Problem ten szczegółowo omówiony jest w dalszej części Stanowiska RP. Art. 17 sankcje Międzynarodowa Organizacja Normalizacyjna (ISO) Międzynarodowy Związek Telekomunikacyjny (ITU) Organizacje normalizacyjne o zasięgu światowym European Computer Manufacturers Association (ECMA) Internet Engineering Task Force (IETF) Object Management Group (OMG) Organization for the Advancement of Structured Information Standards (OASIS) Institute of Electrical and Electronics Engineers (IEEE) World Wide Web Consortium (W3C) National Institute of Standards and Technology (NIST) 20

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 2013/0027(COD) 2.9.2013 PROJEKT OPINII Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Bardziej szczegółowo

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia XVII Forum Teleinformatyki Sesja Europejska droga do nowego ładu informacyjnego 22-23 września 2011 r. Miedzeszyn Nota:

Bardziej szczegółowo

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY. Europejski program bezpieczeństwa lotniczego

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY. Europejski program bezpieczeństwa lotniczego KOMISJA EUROPEJSKA Bruksela, dnia 7.12.2015 r. COM(2015) 599 final SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY Europejski program bezpieczeństwa lotniczego PL PL 1. KOMUNIKAT KOMISJI Z 2011

Bardziej szczegółowo

PARLAMENT EUROPEJSKI 2009-2014. Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

PARLAMENT EUROPEJSKI 2009-2014. Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 21.11.2013 2013/0165(COD) PROJEKT OPINII Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Bardziej szczegółowo

KOMENTARZ DO PROJEKTU POLITYKA OCHRONY CYBERPRZESTRZENI RP

KOMENTARZ DO PROJEKTU POLITYKA OCHRONY CYBERPRZESTRZENI RP KOMENTARZ DO PROJEKTU POLITYKA OCHRONY CYBERPRZESTRZENI RP Warszawa, grudzień 2012 WSTĘP Do konsultacji publicznej przekazany został dokument Polityka ochrony Cyberprzestrzeni RP 1 jest to kolejna w ostatnich

Bardziej szczegółowo

Warszawa, dnia 19 maja 2009 r.

Warszawa, dnia 19 maja 2009 r. Warszawa, dnia 19 maja 2009 r. Opinia do ustawy o zmianie ustawy o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz o

Bardziej szczegółowo

RADA UNII EUROPEJSKIEJ. Bruksela, 12 lutego 2013 r. (13.02) (OR. en) 6342/13. Międzyinstytucjonalny numer referencyjny: 2013/0027 (COD)

RADA UNII EUROPEJSKIEJ. Bruksela, 12 lutego 2013 r. (13.02) (OR. en) 6342/13. Międzyinstytucjonalny numer referencyjny: 2013/0027 (COD) RADA UNII EUROPEJSKIEJ Bruksela, 12 lutego 2013 r. (13.02) (OR. en) Międzyinstytucjonalny numer referencyjny: 2013/0027 (COD) 6342/13 TELECOM 24 DATAPROTECT 14 CYBER 2 MI 104 CODEC 313 WNIOSEK Od: Komisja

Bardziej szczegółowo

PROCEDURA TRANSPOZYCJI AKTÓW PRAWNYCH UNII EUROPEJSKIEJ,

PROCEDURA TRANSPOZYCJI AKTÓW PRAWNYCH UNII EUROPEJSKIEJ, PROCEDURA TRANSPOZYCJI AKTÓW PRAWNYCH UNII EUROPEJSKIEJ, W TYM WYKONYWANIA ZOBOWIĄZAŃ LEGISLACYJNYCH WYNIKAJĄCYCH Z ORZECZEŃ TRYBUNAŁU SPRAWIEDLIWOŚCI UNII EUROPEJSKIEJ I POSTĘPOWAŃ KOMISJI EUROPEJSKIEJ

Bardziej szczegółowo

Program ochrony cyberprzestrzeni RP założenia

Program ochrony cyberprzestrzeni RP założenia Program ochrony cyberprzestrzeni RP założenia Departament Bezpieczeństwa Teleinformatycznego ABW Departament Infrastruktury Teleinformatycznej MSWiA www.cert.gov.pl slajd 1 www.cert.gov.pl slajd 2 Jakie

Bardziej szczegółowo

EUROPEJSKI BANK CENTRALNY

EUROPEJSKI BANK CENTRALNY 22.2.2014 Dziennik Urzędowy Unii Europejskiej C 51/3 III (Akty przygotowawcze) EUROPEJSKI BANK CENTRALNY OPINIA EUROPEJSKIEGO BANKU CENTRALNEGO z dnia 19 listopada 2013 r. w sprawie wniosku dotyczącego

Bardziej szczegółowo

STANOWISKO RZĄDU. Data przyjęcia stanowiska przez Komitet do Spraw Europejskich 20 grudnia 2012 r. 4 lutego 2013 r.

STANOWISKO RZĄDU. Data przyjęcia stanowiska przez Komitet do Spraw Europejskich 20 grudnia 2012 r. 4 lutego 2013 r. STANOWISKO RZĄDU I. METRYKA DOKUMENTU Tytuł KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO, RADY, EUROPEJSKIEGO KOMITETU EKONOMICZNO-SPOŁECZNEGO I KOMITETU REGIONÓW: Plan działania w dziedzinie e-zdrowia

Bardziej szczegółowo

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR L 134/32 ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR 463/2014 z dnia 5 maja 2014 r. ustanawiające, na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 223/2014 w sprawie Europejskiego Funduszu

Bardziej szczegółowo

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI Warszawa, dnia 17 września 2015 r. RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI BM-WP.072.315.2015 Pani Małgorzata Kidawa-Błońska Marszałek Sejmu RP Szanowna Pani Marszałek, w nawiązaniu do

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP Dokument przyjęty przez Zespół Zadaniowy ds. bezpieczeństwa cyberprzestrzeni Rzeczypospolitej Polskiej i zatwierdzony przez Komitet

Bardziej szczegółowo

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r.

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r. REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP Wstępne wyniki kontroli przeprowadzonej w 2014 r. Departament Porządku i Bezpieczeństwa Wewnętrznego NAJWYŻSZA IZBA KONTROLI

Bardziej szczegółowo

Komisji Przemysłu, Badań Naukowych i Energii. dla Komisji Ochrony Środowiska Naturalnego, Zdrowia Publicznego i Bezpieczeństwa Żywności

Komisji Przemysłu, Badań Naukowych i Energii. dla Komisji Ochrony Środowiska Naturalnego, Zdrowia Publicznego i Bezpieczeństwa Żywności PARLAMENT EUROPEJSKI 2009-2014 Komisja Przemysłu, Badań Naukowych i Energii 29.11.2011 2011/0156(COD) PROJEKT OPINII Komisji Przemysłu, Badań Naukowych i Energii dla Komisji Ochrony Środowiska Naturalnego,

Bardziej szczegółowo

Zgłaszanie przypadków nieprawidłowości i nadużyć finansowych do Komisji Europejskiej w Polsce

Zgłaszanie przypadków nieprawidłowości i nadużyć finansowych do Komisji Europejskiej w Polsce Tylko do użytku służbowego Zgłaszanie przypadków nieprawidłowości i nadużyć finansowych do Komisji Europejskiej w Polsce Seminarium na temat środków zwalczania korupcji i nadużyć finansowych w ramach europejskich

Bardziej szczegółowo

SKZ System Kontroli Zarządczej

SKZ System Kontroli Zarządczej SKZ System Kontroli Zarządczej KOMUNIKAT Nr 23 MINISTRA FINANSÓW z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych Na podstawie art. 69 ust. 3 ustawy z

Bardziej szczegółowo

Spis treści. Wykaz skrótów Czasopisma i inne publikatory... 7 Źródła prawa... 7 Inne skróty... 9

Spis treści. Wykaz skrótów Czasopisma i inne publikatory... 7 Źródła prawa... 7 Inne skróty... 9 Spis treści Wykaz skrótów Czasopisma i inne publikatory.......................................... 7 Źródła prawa........................................................ 7 Inne skróty..........................................................

Bardziej szczegółowo

Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki

Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki Warszawa, dn. 12.11.2013 r. Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki Szanowny Panie Ministrze, W związku ze skierowaniem do konsultacji społecznych Projektu ustawy o ułatwieniu

Bardziej szczegółowo

aktualny stan realizacji zadań ministra właściwego do spraw budownictwa, gospodarki przestrzennej i mieszkaniowej wynikających z przepisów ustawy z

aktualny stan realizacji zadań ministra właściwego do spraw budownictwa, gospodarki przestrzennej i mieszkaniowej wynikających z przepisów ustawy z aktualny stan realizacji zadań ministra właściwego do spraw budownictwa, gospodarki przestrzennej i mieszkaniowej wynikających z przepisów ustawy z dnia 4 marca 2010 r. o infrastrukturze informacji przestrzennej

Bardziej szczegółowo

BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO

BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO Tezy: Postęp w dziedzinie technologii informacyjnych i komunikacyjnych (ICT) przyniósł rozwój społeczeństwa informacyjnego

Bardziej szczegółowo

Wprowadzono również pojęcie pieczęć elektroniczna, która rozumiana jest jako

Wprowadzono również pojęcie pieczęć elektroniczna, która rozumiana jest jako UZASADNIENIE Projektowane rozporządzenie stanowi wykonanie upoważnienia ustawowego określonego w art. 20a ust. 3 pkt 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących

Bardziej szczegółowo

Państwowa Inspekcja Pracy Rzeczpospolitej Polskiej, reprezentowana przez p. Tadeusza Zająca Głównego Inspektora Pracy

Państwowa Inspekcja Pracy Rzeczpospolitej Polskiej, reprezentowana przez p. Tadeusza Zająca Głównego Inspektora Pracy SKRÓT POROZUMIENIA O WSPÓŁPRACY W ZAKRESIE WYMIANY INFORMACJI POMIĘDZY PAŃSTWOWĄ INSPEKCJĄ PRACY W RZECZYPOSPOLITEJ POLSKIEJ A INSPEKCJĄ PRACY I UBEZPIECZEŃ SPOŁECZNYCH W HISZPANII Państwowa Inspekcja

Bardziej szczegółowo

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA 9.9.2015 L 235/1 II (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2015/1501 z dnia 8 września 2015 r. w sprawie ram interoperacyjności na podstawie art. 12

Bardziej szczegółowo

SYSTEM WYMIANY INFORMACJI BEZPIECZEŃSTWA ŻEGLUGI (SWIBŻ)

SYSTEM WYMIANY INFORMACJI BEZPIECZEŃSTWA ŻEGLUGI (SWIBŻ) SYSTEM WYMIANY INFORMACJI BEZPIECZEŃSTWA ŻEGLUGI (SWIBŻ) System Wymiany Informacji Bezpieczeństwa Żeglugi (SWIBŻ) wraz z infrastrukturą teleinformatyczną, jest jednym z projektów współfinansowanych przez

Bardziej szczegółowo

Związek pomiędzy dyrektywą 98/34/WE a rozporządzeniem w sprawie wzajemnego uznawania

Związek pomiędzy dyrektywą 98/34/WE a rozporządzeniem w sprawie wzajemnego uznawania KOMISJA EUROPEJSKA DYREKCJA GENERALNA DS. PRZEDSIĘBIORSTW I PRZEMYSŁU Wytyczne 1 Bruksela, dnia 1.2.2010 r. - Związek pomiędzy dyrektywą 98/34/WE a rozporządzeniem w sprawie wzajemnego uznawania 1. WPROWADZENIE

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA ROLNICTWA I ROZWOJU WSI 1) z dnia.

ROZPORZĄDZENIE MINISTRA ROLNICTWA I ROZWOJU WSI 1) z dnia. ROZPORZĄDZENIE MINISTRA ROLNICTWA I ROZWOJU WSI 1) z dnia. w sprawie danych niezbędnych do właściwego monitorowania realizacji i ewaluacji Programu Rozwoju Obszarów Wiejskich na lata 2014-2020 Na podstawie

Bardziej szczegółowo

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin zasad funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach

Bardziej szczegółowo

UZASADNIENIE. Projektowane rozporządzenie zawiera następujące uregulowania:

UZASADNIENIE. Projektowane rozporządzenie zawiera następujące uregulowania: UZASADNIENIE Projektowane rozporządzenie Ministra Administracji i Cyfryzacji w sprawie obsługi innych numerów przez system powiadamiania ratunkowego wykonuje upoważnienie zawarte w art. 5 ust. 6 ustawy

Bardziej szczegółowo

Rekomendacje Stowarzyszenia Euro-Atlantyckiego dotyczące cyberprzestrzeni RP

Rekomendacje Stowarzyszenia Euro-Atlantyckiego dotyczące cyberprzestrzeni RP Rekomendacje Stowarzyszenia Euro-Atlantyckiego dotyczące cyberprzestrzeni RP Stowarzyszenie Euro-Atlantyckie, którego statutowym celem jest inicjowanie publicznej dyskusji oraz rozwijanie dialogu z instytucjami

Bardziej szczegółowo

Zarządzanie projektami a zarządzanie ryzykiem

Zarządzanie projektami a zarządzanie ryzykiem Ewa Szczepańska Zarządzanie projektami a zarządzanie ryzykiem Warszawa, dnia 9 kwietnia 2013 r. Agenda Definicje Wytyczne dla zarządzania projektami Wytyczne dla zarządzania ryzykiem Miejsce ryzyka w zarządzaniu

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Karta audytu Uniwersytetu Śląskiego w Katowicach

Karta audytu Uniwersytetu Śląskiego w Katowicach Załącznik do zarządzenia Rektora UŚ nr 38 z dnia 28 lutego 2012 r. Uniwersytet Śląski w Katowicach Zatwierdzam: Rektor Uniwersytetu Śląskiego Karta audytu Uniwersytetu Śląskiego w Katowicach Katowice,

Bardziej szczegółowo

Konwencja nr 187 dotycząca struktur promujących bezpieczeństwo i higienę pracy

Konwencja nr 187 dotycząca struktur promujących bezpieczeństwo i higienę pracy Konwencja nr 187 dotycząca struktur promujących bezpieczeństwo i higienę pracy Konferencja Ogólna Międzynarodowej Organizacji Pracy, zwołana do Genewy przez Radę Administracyjna Międzynarodowego Biura

Bardziej szczegółowo

Zadania komórek organizacyjnych BMWP KGP

Zadania komórek organizacyjnych BMWP KGP 13 Załącznik nr 2 Zadania komórek organizacyjnych BMWP KGP 1. Wydział Współpracy Pozaoperacyjnej: 1) opracowywanie projektów głównych kierunków międzynarodowej współpracy Policji, w tym opiniowanie propozycji

Bardziej szczegółowo

MINISTERSTWO FINANSÓW S P R A W O Z D A N I E

MINISTERSTWO FINANSÓW S P R A W O Z D A N I E MINISTERSTWO FINANSÓW Pełnomocnik Rządu do Spraw Wprowadzenia Euro przez Rzeczpospolitą Polską S P R A W O Z D A N I E za okres od dnia 26 stycznia do dnia 31 marca 2009 r. z działalności Pełnomocnika

Bardziej szczegółowo

projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. w sprawie zakresu i warunków korzystania z Elektronicznej Platformy Usług Administracji Publicznej Na podstawie art. 19a

Bardziej szczegółowo

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich Załącznik do Uchwały Zarządu Nr 11/XLI/14 z dnia 30 grudnia 2014r. Załącznik do uchwały Rady Nadzorczej Nr 8/IX/14 z dnia 30 grudnia 2014r. Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym

Bardziej szczegółowo

Warszawa, dnia 13 sierpnia 2013 r. Poz. 927 OBWIESZCZENIE PREZESA RADY MINISTRÓW. z dnia 29 kwietnia 2013 r.

Warszawa, dnia 13 sierpnia 2013 r. Poz. 927 OBWIESZCZENIE PREZESA RADY MINISTRÓW. z dnia 29 kwietnia 2013 r. DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 13 sierpnia 2013 r. Poz. 927 OBWIESZCZENIE PREZESA RADY MINISTRÓW z dnia 29 kwietnia 2013 r. w sprawie ogłoszenia jednolitego tekstu rozporządzenia

Bardziej szczegółowo

Wniosek ROZPORZĄDZENIE WYKONAWCZE RADY

Wniosek ROZPORZĄDZENIE WYKONAWCZE RADY KOMISJA EUROPEJSKA Bruksela, dnia 24.11.2014 r. COM(2014) 710 final 2014/0336 (NLE) Wniosek ROZPORZĄDZENIE WYKONAWCZE RADY określające jednolite warunki stosowania rozporządzenia Parlamentu Europejskiego

Bardziej szczegółowo

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK

Bardziej szczegółowo

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r.

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r. Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r. Instrukcja dokonywania samooceny oraz sporządzania oświadczenia o stanie kontroli zarządczej w Szkole Podstawowej nr 4 im. Kawalerów

Bardziej szczegółowo

PROJEKT STANOWISKA RP

PROJEKT STANOWISKA RP PROJEKT STANOWISKA RP przygotowany w związku z art. 7 ustawy z dnia 8 października 2010 r. o współpracy Rady Ministrów z Sejmem i Senatem w sprawach związanych z członkostwem Rzeczypospolitej Polskiej

Bardziej szczegółowo

System Kontroli Wewnętrznej w Banku BPH S.A.

System Kontroli Wewnętrznej w Banku BPH S.A. System Kontroli Wewnętrznej w Banku BPH S.A. Cel i elementy systemu kontroli wewnętrznej 1. System kontroli wewnętrznej umożliwia sprawowanie nadzoru nad działalnością Banku. System kontroli wewnętrznej

Bardziej szczegółowo

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r. DZIENNIK URZĘDOWY MINISTRA SPRAW ZAGRANICZNYCH Warszawa, dnia 6 maja 2015 r. Poz. 16 Z A R Z Ą D Z E N I E N R 15 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r. w sprawie Karty

Bardziej szczegółowo

Nazwa projektu projekt rozporządzenia Ministra Pracy i Polityki Społecznej zmieniającego rozporządzenie w sprawie warunków wynagradzania za pracę i przyznawania innych świadczeń związanych z pracą dla

Bardziej szczegółowo

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Edyta Bielak-Jomaa Warszawa, dnia 12 maja 2016 r. DOLiS-033-133/16 Podsekretarz Stanu w Ministerstwie Spraw Wewnętrznych i Administracji w związku z zamieszczeniem

Bardziej szczegółowo

Komisja Kultury i Edukacji. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

Komisja Kultury i Edukacji. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów PARLAMENT EUROPEJSKI 2009-2014 Komisja Kultury i Edukacji 14.6.2013 2012/0340(COD) PROJEKT OPINII Komisji Kultury i Edukacji dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów w sprawie wniosku dotyczącego

Bardziej szczegółowo

Warszawa, dnia 12 maja 2016 r. Poz. 20

Warszawa, dnia 12 maja 2016 r. Poz. 20 Warszawa, dnia 12 maja 2016 r. Poz. 20 Z A R Z Ą D Z E N I E N R 15 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 10 maja 2016 r. w sprawie Karty audytu wewnętrznego w Ministerstwie Spraw

Bardziej szczegółowo

Plan kontroli zarządczej na rok 2012 dla Urzędu Gminy Pruszcz Gdański w Pruszczu Gdańskim. Planowa na wartość

Plan kontroli zarządczej na rok 2012 dla Urzędu Gminy Pruszcz Gdański w Pruszczu Gdańskim. Planowa na wartość Plan kontroli zarządczej na rok 2012 dla Urzędu Gminy Pruszcz Gdański w Pruszczu Gdańskim Lp. CEL Nazwa 1. Przejrzysty proces zatrudniana zapewniający wybór najlepszego kandydata na dane stanowisko Wskaźnik

Bardziej szczegółowo

POMOC PUBLICZNA ogólne wytyczne dla Instytucji Pośredniczących

POMOC PUBLICZNA ogólne wytyczne dla Instytucji Pośredniczących POMOC PUBLICZNA ogólne wytyczne dla Instytucji Pośredniczących Zgodnie z art. 87 ust. 1 Traktatu ustanawiającego Wspólnotę Europejską, wsparcie dla podmiotów prowadzących działalność gospodarczą podlega

Bardziej szczegółowo

System Zachowania Ciągłości Funkcjonowania Grupy KDPW

System Zachowania Ciągłości Funkcjonowania Grupy KDPW System Zachowania Ciągłości Funkcjonowania Grupy KDPW Dokument Główny Polityka SZCF (wyciąg) Warszawa, dnia 21 czerwca 2013 r. Spis treści 1. Wprowadzenie... 3 2. Założenia ogólne SZCF... 3 2.1. Przypadki

Bardziej szczegółowo

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 15.3.2013 2012/0192(COD) PROJEKT OPINII Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Bardziej szczegółowo

Zalecenie nr 197 dotyczące struktur promujących bezpieczeństwo i higienę pracy

Zalecenie nr 197 dotyczące struktur promujących bezpieczeństwo i higienę pracy Zalecenie nr 197 dotyczące struktur promujących bezpieczeństwo i higienę pracy Konferencja Ogólna Międzynarodowej Organizacji Pracy, zwołana do Genewy przez Radę Administracyjną Międzynarodowego Biura

Bardziej szczegółowo

P6_TA-PROV(2005)0329 Ochrona zdrowia i bezpieczeństwo pracy: narażenie pracowników na promieniowanie optyczne ***II

P6_TA-PROV(2005)0329 Ochrona zdrowia i bezpieczeństwo pracy: narażenie pracowników na promieniowanie optyczne ***II P6_TA-PROV(2005)0329 Ochrona zdrowia i bezpieczeństwo pracy: narażenie pracowników na promieniowanie optyczne ***II Rezolucja legislacyjna Parlamentu Europejskiego w sprawie wspólnego stanowiska Rady mającego

Bardziej szczegółowo

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych. ABI nie tylko audytor i koordynator Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych Andrzej Rutkowski Stowarzyszenie Administratorów Bezpieczeństwa Informacji

Bardziej szczegółowo

Trwałość projektów 7 osi PO IG

Trwałość projektów 7 osi PO IG Warszawa, 6 października 2015 r. Konferencja podsumowująca wdrażanie 7 i 8 osi priorytetowej PO IG Trwałość projektów 7 osi PO IG Paweł Oracz Departament Strategii Systemu Informacyjnego Ministerstwo Finansów

Bardziej szczegółowo

Z dnia 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej

Z dnia 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej ROZPORZĄDZENIE Projekt 03.06.2016 r. MINISTRA CYFRYZACJI 1) Z dnia 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej Na podstawie art. 19a ust.

Bardziej szczegółowo

POPRAWKI 8-23. PL Zjednoczona w różnorodności PL 2013/0024(COD) 9.9.2013. Projekt opinii Nirj Deva. PE516.923v01-00

POPRAWKI 8-23. PL Zjednoczona w różnorodności PL 2013/0024(COD) 9.9.2013. Projekt opinii Nirj Deva. PE516.923v01-00 PARLAMENT EUROPEJSKI 2009-2014 Komisja Rozwoju 2013/0024(COD) 9.9.2013 POPRAWKI 8-23 Projekt opinii Nirj Deva (PE516.643v01-00) w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady

Bardziej szczegółowo

PARLAMENT EUROPEJSKI

PARLAMENT EUROPEJSKI PARLAMENT EUROPEJSKI 2004 Komisja Prawna 2009 24.7.2008 DOKUMENT ROBOCZY w sprawie wdrożenia dyrektywy 2006/43/WE w sprawie ustawowych badań rocznych sprawozdań finansowych i skonsolidowanych sprawozdań

Bardziej szczegółowo

OCENA SKUTKÓW REGULACJI

OCENA SKUTKÓW REGULACJI Nazwa projektu Projekt ustawy o zmianie ustawy o rejestracji i ochronie nazw i oznaczeń produktów rolnych i środków spożywczych oraz o produktach tradycyjnych oraz o zmianie niektórych innych ustaw Ministerstwo

Bardziej szczegółowo

Program Operacyjny Innowacyjna Gospodarka

Program Operacyjny Innowacyjna Gospodarka Program Operacyjny Innowacyjna Gospodarka Cel główny: Rozwój polskiej gospodarki w oparciu o innowacyjne przedsiębiorstwa Cele szczegółowe: zwiększenie innowacyjności przedsiębiorstw, wzrost konkurencyjności

Bardziej szczegółowo

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 7 sierpnia 2015 r. Poz. 1128 OBWIESZCZENIE PREZESA RADY MINISTRÓW z dnia 15 lipca 2015 r. w sprawie ogłoszenia jednolitego tekstu rozporządzenia

Bardziej szczegółowo

Proponowane rozwiązania regulują warunki, na jakich udzielane będzie zezwolenie na zamieszkanie na czas oznaczony w celu podjęcia w Rzeczypospolitej

Proponowane rozwiązania regulują warunki, na jakich udzielane będzie zezwolenie na zamieszkanie na czas oznaczony w celu podjęcia w Rzeczypospolitej UZASADNIENIE Celem opracowania projektowanej zmiany ustawy o cudzoziemcach jest konieczność transponowania do polskiego porządku prawnego postanowień przepisów prawa Unii Europejskiej. W dniu 16 grudnia

Bardziej szczegółowo

Rada Unii Europejskiej Bruksela, 16 grudnia 2015 r. (OR. en) Jeppe TRANHOLM-MIKKELSEN, Sekretarz Generalny Rady Unii Europejskiej

Rada Unii Europejskiej Bruksela, 16 grudnia 2015 r. (OR. en) Jeppe TRANHOLM-MIKKELSEN, Sekretarz Generalny Rady Unii Europejskiej Rada Unii Europejskiej Bruksela, 16 grudnia 2015 r. (OR. en) Międzyinstytucjonalny numer referencyjny: 2015/0296 (CNS) 15373/15 FISC 191 PISMO PRZEWODNIE Od: Data otrzymania: 14 grudnia 2015 r. Do: Nr

Bardziej szczegółowo

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r. Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r. w sprawie ustanowienia Polityki zarządzania ryzykiem w Państwowej Wyższej Szkole Zawodowej w Koninie

Bardziej szczegółowo

MINISTERSTWO Warszawa, dnia stycznia 2013 r. ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO Warszawa, dnia stycznia 2013 r. ADMINISTRACJI I CYFRYZACJI wnioskodawca Michał MINISTERSTWO Warszawa, dnia stycznia 2013 r. ADMINISTRACJI I CYFRYZACJI DSI-SOP-002 1-1 - 1/2012 PROTOKÓŁ Dotyczy: Przebiegu obrad Komitetu Rady Ministrów do spraw Cyfryzacji w dniu

Bardziej szczegółowo

Zbiór wytycznych do kontroli zarządczej w Akademii Pedagogiki Specjalnej im. Marii Grzegorzewskiej

Zbiór wytycznych do kontroli zarządczej w Akademii Pedagogiki Specjalnej im. Marii Grzegorzewskiej Załącznik Nr 1 do zarządzenia Nr 203/14-15 Rektora APS z dnia 17 lutego 2015 r. Zbiór wytycznych do kontroli zarządczej w Akademii Pedagogiki Specjalnej im. Marii Grzegorzewskiej 1. Zbiór wskazówek do

Bardziej szczegółowo

31.5.2016 A8-0126/2 POPRAWKI PARLAMENTU EUROPEJSKIEGO * do wniosku Komisji ---------------------------------------------------------

31.5.2016 A8-0126/2 POPRAWKI PARLAMENTU EUROPEJSKIEGO * do wniosku Komisji --------------------------------------------------------- 31.5.2016 A8-0126/2 Poprawka 2 Roberto Gualtieri w imieniu Komisji Gospodarczej i Monetarnej Sprawozdanie Markus Ferber Rynki instrumentów finansowych COM(2016)0056 C8-0026/2016 2016/0033(COD) A8-0126/2016

Bardziej szczegółowo

Trybunał Sprawiedliwości orzekł, że dyrektywa w sprawie zatrzymywania danych jest nieważna

Trybunał Sprawiedliwości orzekł, że dyrektywa w sprawie zatrzymywania danych jest nieważna Trybunał Sprawiedliwości Unii Europejskiej KOMUNIKAT PRASOWY nr 54/14 Luksemburg, 8 kwietnia 2014 r. Kontakty z Mediami i Informacja Wyrok w sprawach połączonych C-293/12 i C-594/12 Digital Rights Ireland

Bardziej szczegółowo

Prawo interwencji (ang. step in right) w projektach ppp w Polsce wprowadzenie, proponowane zmiany prawne

Prawo interwencji (ang. step in right) w projektach ppp w Polsce wprowadzenie, proponowane zmiany prawne Grupa Robocza Platformy PPP przy Ministerstwie Infrastruktury i Rozwoju Prawo interwencji (ang. step in right) w projektach ppp w Polsce wprowadzenie, proponowane zmiany prawne Marcin Jędrasik Naczelnik

Bardziej szczegółowo

e-zdrowie perspektywa lekarzy CPME (Stały Komitet Lekarzy Europejskich) Konstanty Radziwiłł, prezydent www.cpme.eu

e-zdrowie perspektywa lekarzy CPME (Stały Komitet Lekarzy Europejskich) Konstanty Radziwiłł, prezydent www.cpme.eu e-zdrowie perspektywa lekarzy Konstanty Radziwiłł, prezydent CPME (Stały Komitet Lekarzy Europejskich) CPME Federacja 27 europejskich narodowych najbardziej reprezentatywnych organizacji lekarskich Reprezentuje

Bardziej szczegółowo

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Na podstawie art. 66 ust. 2 ustawy z dnia 27 lipca 2005 r. - Prawo o szkolnictwie

Bardziej szczegółowo

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy. ANKIETA / KWESTIONARIUSZ DLA JEDNOSTEK PODLEGŁYCH / NADZOROWANYCH PRZEZ MINISTRA NAUKI I SZKOLNICTWA WYŻSZEGO W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ Kontrola zarządcza stanowi ogół działań

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA FINANSÓW 1) z dnia. 2011 r.

ROZPORZĄDZENIE MINISTRA FINANSÓW 1) z dnia. 2011 r. Projekt z dnia 1 czerwca 2011 r. ROZPORZĄDZENIE MINISTRA FINANSÓW 1) z dnia. 2011 r. zmieniające rozporządzenie w sprawie określenia szczegółowych warunków technicznych i organizacyjnych dla firm inwestycyjnych,

Bardziej szczegółowo

Wniosek DECYZJA RADY

Wniosek DECYZJA RADY KOMISJA EUROPEJSKA Bruksela, dnia 8.4.2016 r. COM(2016) 183 final 2016/0094 (NLE) Wniosek DECYZJA RADY w sprawie stanowiska, jakie należy przyjąć w imieniu Unii Europejskiej w odniesieniu do międzynarodowego

Bardziej szczegółowo

U Z A S A D N I E N I E

U Z A S A D N I E N I E U Z A S A D N I E N I E 1. Potrzeba i cel ratyfikacji poprawki do Konwencji Konwencję o dostępie do informacji, udziale społeczeństwa w podejmowaniu decyzji oraz dostępie do sprawiedliwości w sprawach

Bardziej szczegółowo

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015 Wykorzystanie elementów systemu EMAS w SZŚ według ISO 14001:2015 dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP Agenda Elementy SZŚ według EMAS (Rozporządzenie UE 1221/2009) i odpowiadające im

Bardziej szczegółowo

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów RAPORT OCENA KONTROLI ZARZĄDCZEJ Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów raport za rok: 2015 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA ZDROWIA 12. z dnia.. r. w sprawie sposobu prowadzenia Rejestru Dawców Komórek Rozrodczych i Zarodków

ROZPORZĄDZENIE MINISTRA ZDROWIA 12. z dnia.. r. w sprawie sposobu prowadzenia Rejestru Dawców Komórek Rozrodczych i Zarodków ROZPORZĄDZENIE MINISTRA ZDROWIA 12 z dnia.. r. w sprawie sposobu prowadzenia Rejestru Dawców Komórek Rozrodczych i Zarodków Na podstawie art. 31 ust. 9 ustawy z dnia niepłodności (Dz. U. Nr.., poz.,) zarządza

Bardziej szczegółowo

Pytania dotyczące CZĘŚCI III DPSN - DOBRE PRAKTYKI CZŁONKÓW RAD NADZORCZYCH

Pytania dotyczące CZĘŚCI III DPSN - DOBRE PRAKTYKI CZŁONKÓW RAD NADZORCZYCH Pytania dotyczące CZĘŚCI III DPSN - DOBRE PRAKTYKI CZŁONKÓW RAD NADZORCZYCH 1. (Ad. III. 1) Jakie informacje powinna zawierać samoocena rady nadzorczej jako odrębny dokument (punkt III.1.2 Dobrych Praktyk)

Bardziej szczegółowo

Pracodawcy Rzeczypospolitej Polskiej

Pracodawcy Rzeczypospolitej Polskiej Pracodawcy Rzeczypospolitej Polskiej Stanowisko Pracodawców RP do projektu ustawy o zmianie ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz niektórych innych ustaw Pracodawcy

Bardziej szczegółowo

UZASADNIENIE. Obecny stan prawny

UZASADNIENIE. Obecny stan prawny UZASADNIENIE Celem projektowanej ustawy jest przede wszystkim nowelizacja: art. 176 Kodeksu pracy w kierunku prawidłowej transpozycji przepisów dyrektywy 2006/54/WE Parlamentu Europejskiego i Rady w sprawie

Bardziej szczegółowo

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu Postanowienia ogólne 1 1. Kontrolę zarządczą w PUP stanowi ogół działań podejmowanych dla zapewnienia

Bardziej szczegółowo

1 Definicje. 1. Użyte w niniejszym regulaminie określenia posiadają następujące znaczenie:

1 Definicje. 1. Użyte w niniejszym regulaminie określenia posiadają następujące znaczenie: Regulamin Usługi Systemu lokalizacji GSP AlfaTRACK 1 Definicje 1. Użyte w niniejszym regulaminie określenia posiadają następujące znaczenie: Regulamin niniejszy regulamin. Użytkownik jest nim osoba, która

Bardziej szczegółowo

Warszawa, dnia 17lipca 2013 r. Pan Lech Czapla Szef Kancelarii Sejmu RP

Warszawa, dnia 17lipca 2013 r. Pan Lech Czapla Szef Kancelarii Sejmu RP 17.07.2013 3.2.0/6124 ZWIĄZEK BANKÓW POLSKICH 1111111111111111111111111111111111 00040040499 Do druku nr 1490 Warszawa, dnia 17lipca 2013 r. Pan Lech Czapla Szef Kancelarii Sejmu RP w związku z pismem

Bardziej szczegółowo

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r. DZIENNIK URZĘDOWY Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE z dnia 21 czerwca 2013 r. w sprawie ogłoszenia jednolitego tekstu uchwały Nr 384/2008 Komisji Nadzoru Finansowego w sprawie wymagań

Bardziej szczegółowo

AKTY PRZYJĘTE PRZEZ ORGANY UTWORZONE NA MOCY UMÓW MIĘDZYNARODOWYCH

AKTY PRZYJĘTE PRZEZ ORGANY UTWORZONE NA MOCY UMÓW MIĘDZYNARODOWYCH L 315/46 AKTY PRZYJĘTE PRZEZ ORGANY UTWORZONE NA MOCY UMÓW MIĘDZYNARODOWYCH DECYZJA WSPÓLNEGO KOMITETU WSPÓŁPRACY CELNEJ USTANOWIONEGO NA MOCY UMOWY MIĘDZY WSPÓLNOTĄ EUROPEJSKĄ A RZĄDEM CHIŃSKIEJ REPUBLIKI

Bardziej szczegółowo

U Z A S A D N I E N I E

U Z A S A D N I E N I E U Z A S A D N I E N I E W dniu 15 grudnia 2006 r. (znak: SG-Greffe (2006)D/2007989; zał. K(2006)6136) przekazane zostały Polsce zarzuty formalne na mocy art. 226 Traktatu ustanawiającego Wspólnotę Europejską,

Bardziej szczegółowo

OPINIA EUROPEJSKIEGO BANKU CENTRALNEGO

OPINIA EUROPEJSKIEGO BANKU CENTRALNEGO PL OPINIA EUROPEJSKIEGO BANKU CENTRALNEGO z dnia 2 sierpnia 2006 r. wydana na wniosek Marszałka Sejmu Rzeczypospolitej Polskiej w sprawie projektu ustawy zmieniającej ustawę o Narodowym Banku Polskim (CON/2006/39)

Bardziej szczegółowo

Zarządzenie nr 98/2012. Wójta Gminy Żórawina z dnia 26 stycznia 2012 w sprawie wprowadzenia standardów kontroli zarządczej w Gminie Żórawina

Zarządzenie nr 98/2012. Wójta Gminy Żórawina z dnia 26 stycznia 2012 w sprawie wprowadzenia standardów kontroli zarządczej w Gminie Żórawina Zarządzenie nr 98/2012 Wójta Gminy Żórawina z dnia 26 stycznia 2012 w sprawie wprowadzenia standardów kontroli zarządczej w Gminie Żórawina Na podstawie art. 53 ust. 1, art. 68 ust. 1 i art. 69 ust. 1

Bardziej szczegółowo

SPRAWOZDANIE Z REALIZACJI W ROKU 2010 ZADAŃ KOMITETU AUDYTU DLA DZIAŁÓW ADMINISTRACJI RZĄDOWEJ, KTÓRYMI KIERUJE MINISTER INFRASTRUKTURY

SPRAWOZDANIE Z REALIZACJI W ROKU 2010 ZADAŃ KOMITETU AUDYTU DLA DZIAŁÓW ADMINISTRACJI RZĄDOWEJ, KTÓRYMI KIERUJE MINISTER INFRASTRUKTURY Załącznik do Uchwały Nr 1/2011 Komitetu Audytu z dnia 14 lutego 2011 r. w sprawie przyjęcia Sprawozdania z realizacji zadań Komitetu Audytu w roku 2010 SPRAWOZDANIE Z REALIZACJI W ROKU 2010 ZADAŃ KOMITETU

Bardziej szczegółowo

PREZES URZĘDU OCHRONY KONKURENCJI I KONSUMENTÓW CEZARY BANASIŃSKI

PREZES URZĘDU OCHRONY KONKURENCJI I KONSUMENTÓW CEZARY BANASIŃSKI PREZES URZĘDU OCHRONY KONKURENCJI I KONSUMENTÓW CEZARY BANASIŃSKI DOK2-073-66/06/MKK Warszawa, dnia grudnia 2006 r. Pani Anna Streżyńska Prezes Urzędu Komunikacji Elektronicznej W związku z prowadzonym

Bardziej szczegółowo

U Z A S A D N I E N I E

U Z A S A D N I E N I E U Z A S A D N I E N I E 1. Istniejący stan rzeczy i cel wydania aktu W obecnym stanie prawnym, zgodnie z ustawą z dnia 8 września 2006 r. o Państwowym Ratownictwie Medycznym (Dz. U. Nr 191, poz. 1410,

Bardziej szczegółowo

Wniosek DECYZJA WYKONAWCZA RADY

Wniosek DECYZJA WYKONAWCZA RADY KOMISJA EUROPEJSKA Bruksela, dnia 29.5.2015 r. COM(2015) 231 final 2015/0118 (NLE) Wniosek DECYZJA WYKONAWCZA RADY zmieniająca decyzję 2009/790/WE w celu upoważnienia Polski do przedłużenia okresu stosowania

Bardziej szczegółowo

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r. DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r. w sprawie wymagań dla Systemu Informacji Medycznej 2) Na

Bardziej szczegółowo

Opinia do ustawy o organizacji rynku rybnego (druk nr 394)

Opinia do ustawy o organizacji rynku rybnego (druk nr 394) Warszawa, dnia 9 grudnia 2008 r. Opinia do ustawy o organizacji rynku rybnego (druk nr 394) I. Cel i przedmiot ustawy Celem uchwalonej na posiedzeniu Sejmu w dniu 5 grudnia ustawy o organizacji rynku rybnego

Bardziej szczegółowo