Zakres sektorów objętych regulacją Ostatnie propozycje zakresu dyrektywy NIS 5 zakładają objęcie zakresem dyrektywy następujących sektorów:
Wielkość: px
Rozpocząć pokaz od strony:

Download "Zakres sektorów objętych regulacją Ostatnie propozycje zakresu dyrektywy NIS 5 zakładają objęcie zakresem dyrektywy następujących sektorów:"

Transkrypt

1 Informacja i ankieta nt. dyrektywy Parlamentu Europejskiego i Rady w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii [COM(2013)48] oraz kształtu krajowego systemu bezpieczeństwa cyberprzestrzeni RP I. Opis propozycji Komisji Europejskiej W dniu 14 lutego 2013 r. KE przedstawiła wniosek dotyczący dyrektywy w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii [COM(2013)48] (dalej: dyrektywa NIS). Projekt dyrektywy został przedstawiony łącznie ze wspólnym komunikatem Komisji i Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa w sprawie europejskiej strategii bezpieczeństwa cybernetycznego, zatytułowanej: Otwarta, bezpieczna i chroniona cyberprzestrzeń (dalej: Strategia ) 1. Przyjęcie dyrektywy ma służyć realizacji głównego celu Strategii, jakim jest osiągnięcie odporności na zagrożenia cybernetyczne. Zgodnie z obecnymi ramami regulacyjnymi w wyniku przyjęcia przez Unię Europejską tzw. pakietu telekomunikacyjnego 2 jedynie przedsiębiorstwa telekomunikacyjne są zobowiązane do przyjmowania środków przeciwdziałania zagrożeniom i zgłaszania poważnych incydentów w zakresie bezpieczeństwa sieci i informacji. Przepisy ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne 3 regulują m.in. kwestie wymagań bezpieczeństwa teleinformatycznego w sektorze telekomunikacji oraz warunki zgłaszania do Urzędu Komunikacji Elektronicznej najważniejszych incydentów cybernetycznych w sieciach telekomunikacyjnych 4. Projekt dyrektywy NIS formułuje obowiązki służące zapewnieniu bezpieczeństwa sieci i informacji w sektorach rynkowych, tj. w energetyce, transporcie, bankowości i instytucjach finansowych, sektorach zdrowia i zaopatrzenia w wodę. II. Zakres sektorów objętych regulacją Ostatnie propozycje zakresu dyrektywy NIS 5 zakładają objęcie zakresem dyrektywy następujących sektorów: 1. Energetyka a) energia elektryczna: przedsiębiorstwa energetyczne w rozumieniu przepisów art. 2(35) dyrektywy PE i Rady Nr 2009/72/WE z dnia 13 lipca 2009 r. z dnia 13 lipca 2009 r. dotyczącej wspólnych zasad rynku wewnętrznego energii elektrycznej realizujące funkcję dostawy energii elektrycznej art. 2(19), 6 operatorzy systemów dystrybucyjnych zgodnie z definicją art. 2(6) dyrektywy 2009/72/WE, 1 Join (2013) 1 Final, Dz. U. z 2004r. Nr 171 poz z późn. zm. 4 Do dnia 30 kwietnia każdego roku Prezes UKE przekazuje sprawozdania z działalności do Ministra Administracji i Cyfryzacji. 5 Dokument 13754/15 z dnia 5 listopada 2015 r. 6 Dyrektywa Nr 2009/72/WE - Dz.U.UE.L

2 operatorzy systemów przesyłowych energii elektrycznej, zgodnie z definicją art. 2(4) dyrektywy 2009/72/WE. b) ropa naftowa podmioty eksploatujące rurociągi przesyłowe, operatorzy zajmujący się produkcją, rafinacją, magazynowaniem i przesyłem ropy naftowej, obiekty służące obróbce ropy naftowej,. c)gaz dostawcy (przedsiębiorcy dostarczający gaz), zgodnie z definicją art. 2(8) dyrektywy PE i Rady Nr 2009/73/WE z dnia 13 lipca 2009 r. dotyczącej wspólnych zasad rynku wewnętrznego gazu ziemnego 7, operatorzy systemów dystrybucyjnych zgodnie z definicją art. 2(6) dyrektywy 2009/73/WE, operatorzy systemów przesyłowych gazu ziemnego zgodnie z definicją art. 2(4) dyrektywy 2009/73/WE, operatorzy systemu magazynowania zgodnie z definicją art. 2(10) dyrektywy 2009/73/WE, operatorzy systemów LNG zgodnie z definicją art. 2(12) dyrektywy 2009/73/WE, przedsiębiorstwa gazowe zgodnie z definicją art. 2(1) dyrektywy 2009/73/WE, rafinerie i oczyszczalnie gazu ziemnego. 2. Transport a) transport lotniczy przewoźnicy lotniczy zgodnie z definicją art. 3(4) Rozporządzenia PE i Rady (WE) Nr 300/2008 z dnia 11 marca 2008 r. w sprawie wspólnych zasad w dziedzinie ochrony lotnictwa cywilnego 8, porty lotnicze zgodnie z definicją art. 2(1) dyrektywy PE i Rady Nr 2009/12/WE z dnia 11 marca 2009 r. w sprawie opłat lotniskowych 9, w tym główne porty lotnicze wymienione w załączniku 2 Rozporządzenia PE i Rady Nr 1315/2013 z dnia 11 grudnia 2013 r. w sprawie unijnych wytycznych dotyczących rozwoju transeuropejskiej sieci transportowej i uchylające decyzję nr 661/2010/UE 10, operatorzy zarządzający ruchem, pełniący służbę kontroli ruchu lotniczego, zgodnie z definicją art. 2(1) Rozporządzenia PE i Rady Nr 549/2004 z dnia 10 marca 2004 r. ustanawiające ramy tworzenia Jednolitej Europejskiej Przestrzeni Powietrznej 11, b) transport kolejowy przedsiębiorstwa odpowiedzialne za tworzenie i utrzymanie infrastruktury kolejowej, lub jej części zgodnie z art. 3(b) dyrektywą PE i Rady Nr 2004/49/WE z dnia 29 kwietnia 2004 r. w sprawie bezpieczeństwa kolei wspólnotowych 12, 7 Dyrektywa 2009/73/WE - Dz.U.UE.L Rozporządzenie 300/ Dz.U.UE.L Dyrektywa 2009/12/WE - Dz.U.UE.L Rozporządzenie 1315/2013/UE Dz. U. UE.L Rozporządzenie 549/ Dz.U.UE.L z późn. zm. 12 Dyrektywa Nr 2004/49/WE - Dz.U.UE.L

3 przedsiębiorstwa kolejowe zgodnie z definicją art. 3(c) dyrektywy 2004/49/WE, c) transport wodny przedsiębiorstwa świadczące usługi pasażerskiego i towarowego transportu morskiego, przybrzeżnego i żeglugi śródlądowej 13, zgodnie z definicją transportu morskiego w Rozporządzeniu PE i Rady z dnia 31 marca 2004 r. 14 za wyjątkiem statków wykorzystywanych przez te przedsiębiorstwa, porty morskie zgodnie z definicją art. 3(1) dyrektywy Nr 2005/65/WE z dnia 26 października 2005 r. w sprawie wzmocnienia ochrony portów 15, operatorzy zarządzający kontrolą ruchem, d) transport drogowy operatorzy zarządzający kontrolą ruchem, 3. Bankowość: instytucje kredytowe zgodnie z definicją art. 4 rozporządzenia PE i Rady Nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych 16. Instytucja kredytowa oznacza przedsiębiorstwo, którego działalność polega na przyjmowaniu depozytów pieniężnych lub innych funduszy podlegających zwrotowi od klientów oraz na udzielaniu kredytów na swój własny rachunek 4. Rynki finansowe: rynki regulowane zgodnie z definicją art. 4 dyrektywy PE i Rady Nr 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych 17. Zgodnie z tą definicją rynek regulowany oznacza system wielostronny prowadzony lub zarządzany przez operatora rynku, który kojarzy lub ułatwia kojarzenie wielu deklaracji gotowości zakupu i sprzedaży instrumentów finansowych przez osoby trzecie, rynki instrumentów pochodnych. Dyrektywa będzie obejmować Central counterparty (CCP) zgodnie z Rozporządzeniem PE i Rady Nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji czyli osoby prawne, które działają pomiędzy kontrahentami kontraktów będących w obrocie na co najmniej jednym rynku finansowym, 5. Sektor zdrowia: podmioty świadczące opiekę zdrowotną (w tym szpitale) w rozumieniu art. 3(g) dyrektywy Nr 2011/24/WE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjentów w transgranicznej 13 Nie ma przepisów wspólnotowych, które precyzowałyby zakres zobowiązanych podmiotów. Dominują rozwiązania konwencyjne. 14 Rozporządzenie 725/2004/WE - Dz.U.UE.L Dyrektywa Nr 2005/65/WE Dz.U.UE.L Rozporządzenie Nr 575/ Dz.U.UE.L Dyrektywa Nr 2014/65/UE Dz.U.UE.L

4 opiece zdrowotnej 18 czyli osoby fizyczne lub prawne lub inne jednostki organizacyjne legalnie świadczące opiekę zdrowotną na terenie państwa członkowskiego, 6. Sektor zaopatrzenia w wodę: dostawcy i producenci wody przeznaczonej do spożycia przez ludzi, zgodnie z definicją art. 2(1)(a) dyrektywy Nr 98/83/WE z dnia 3 listopada 1998 r. w sprawie jakości wody przeznaczonej do spożycia przez ludzi 19, z wyłączeniem dystrybutorów, w przypadku których dystrybucja wody jest jedynie częścią prowadzonej działalności. 7. Infrastruktura cyfrowa (digital infrastructure) punkty wymiany ruchu internetowego, dostawcy usług systemu nazw domen, rejestry nazw domen najwyższego poziomu. W wyniku ostatniego trilogu z Parlamentem Europejskim Prezydencja uzgodniła m.in. zasady tworzenia kryteriów służących określeniu zakresu podmiotowego dyrektywy spośród wymienionych wyżej sektorów. Zaakceptowane na poziomie Grupy roboczej ds. telekomunikacji i społeczeństwa informacyjnego (H.05) Rady TTE kryteria zakładają, że do stosowania przepisów będą zobowiązani operatorzy usług czyli publiczne bądź prywatne podmioty świadczące drogą elektroniczną kluczowe usługi z punktu widzenia społeczno-gospodarczych działań państwa, a incydent w systemach teleinformatycznych wywołuje znaczne skutki zakłócające ich świadczenie oraz wpływa na bezpieczeństwo publiczne. Państwo członkowskie ma określać zarówno katalog kluczowych usług jak i uzupełniające kryteria służące określeniu znacznych skutków zakłócających świadczenie danej usługi. Kryteria obejmowałyby liczbę użytkowników których dana usługa dotyczy, skutki braku dostępności, integralności i poufności usługi, udział w rynku i pozycję rynkową podmiotu świadczącego usługę, obszar geograficzny jej świadczenia czy też fakt wykorzystania usługi w procesie produkcyjnym. Obecnie na poziomie Grupy roboczej trwają dyskusje nt. objęcia ograniczonym reżimem regulacyjnym dyrektywy dostawców usług cyfrowych (digital service providers), a więc platform handlu elektronicznego, internetowych portali płatniczych, portali społecznościowych, wyszukiwarek, usług chmurowych, sklepów z aplikacjami. III. Wymagania z zakresu bezpieczeństwa teleinformatycznego dla sektorów, ramy instytucjonalne i współpraca w dziedzinie cyberbezpieczeństwa Projekt dyrektywy zobowiązuje wszystkie państwa członkowskie do zagwarantowania minimalnego poziomu krajowych zdolności poprzez ustanowienie właściwych organów ds. bezpieczeństwa sieci i informacji, powołanie zespołów reagowania na incydenty komputerowe (CERT) oraz przyjęcie krajowych strategii w zakresie bezpieczeństwa sieci i informacji. Proponowane przepisy, umożliwiają zarówno stworzenie bardziej scentralizowanego systemu na poziomie krajowym, jak i podzielenie kompetencji pomiędzy różne podmioty wymieniające informacje w oparciu o zbudowane mechanizmy współpracy. Przepisy przewidują powołanie jednego krajowego podmiotu ds. 18 Dyrektywa Nr 2011/24/WE - Dz.U.UE.L Dyrektywa Nr 98/83/WE - Dz.U.UE.L z późn. zm. 4

5 bezpieczeństwa sieci i informacji na poziomie centralnym bądź dają możliwość poszerzenia kompetencji organów sektorowych (np. regulatorów rynku). Umożliwiają wyznaczenie jednego CERTu narodowego dla całego kraju bądź zbudowanie CERT-ów sektorowych obejmujących sektory rynkowe, jak również ustanowienie jednolitego punktu kontaktowego służącego wymianie informacji międzysektorowej i międzynarodowej. Projekt dyrektywy przewiduje stworzenie sieci wymiany informacji na poziomie strategicznopolitycznym między państwami członkowskimi UE (Grupy Współpracy), jak również sieci CERT-ów z państw członkowskich UE za pośrednictwem jednolitego punktu kontaktowego. Projektowana dyrektywa zawiera przepisy szczegółowe, przewidujące wyłączenia wymiany informacji w wymiarze międzynarodowym, gdyby dotyczyła bezpieczeństwa narodowego, zachowania tajemnicy przedsiębiorstwa, utrzymania porządku publicznego i prowadzenia postępowań karnych. Projekt zawiera klauzulę lex specialis, zakładającą właściwość prawodawstwa sektorowego, gdyby zawierało szczegółowe wymagania w zakresie bezpieczeństwa sieci i informacji. Ponadto, opierając się na modelu, jakim jest dyrektywa ramowa w sprawie łączności elektronicznej, wniosek ma na celu zapewnienie rozwoju kultury wspierającej przeciwdziałanie zagrożeniom oraz wymiany informacji między sektorem prywatnym i publicznym. Podmioty publiczne i przedsiębiorstwa w wymienionych powyżej sektorach będą zobowiązane do dokonania oceny zagrożeń, na jakie są narażone, oraz do przyjęcia odpowiednich i proporcjonalnych środków mających na celu zapewnienie bezpieczeństwa sieci i informacji. Podmioty te będą zobowiązane do zgłaszania właściwym organom wszelkich incydentów poważnie zagrażających ich sieciom i systemom informatycznym oraz mogących znacząco zakłócić ciągłość działania kluczowych usług. Właściwe organy ds. bezpieczeństwa sieci i informacji miałyby natomiast uprawnienia do badania przypadków niewypełniania przez operatorów zobowiązań z zakresu bezpieczeństwa sieci i informacji, oceny wyników audytów bezpieczeństwa teleinformatycznego, wydawania wytycznych w zakresie bezpieczeństwa teleinformatycznego i wprowadzenia sankcji za nieprzestrzeganie przepisów. IV. Ankieta nt. organizacji systemu bezpieczeństwa sieci i informacji w Polsce 1. Czy Państwa urząd/instytucja nadzoruje/działa w sektorze rynkowym wskazanym w projekcie dyrektywy w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii, zgodnie z informacją w pkt. II. Jakie są najważniejsze akty prawne regulujące ten obszar. Proszę w szczególności wskazać regulacje wdrażające rozporządzenia (jeśli potrzeba) i dyrektywy unijne wskazane w tym punkcie. Polska Izba Informatyki i Telekomunikacji (PIIT) działa na podstawie ustawy o izbach gospodarczych i zrzesza między innymi przedsiębiorstwa działające w uregulowanym już prawem telekomunikacyjnym obszarze. Ponadto w Izbie zrzeszone są organizacje należące do sektora Infrastruktura cyfrowa (np. NASK) objęte propozycją Dyrektywy NIS, jak również dostawcy usług cyfrowych (np. Allegro, mpay) rozważani obecnie do objęcia ograniczonym reżimem regulacyjnym dyrektywy. 2. Proszę wskazać, czy przyjęte regulacje sektorowe zawierają wymagania w zakresie bezpieczeństwa sieci i informacji systemów teleinformatycznych? Jakie są obowiązki w tym zakresie 5

6 nadzorowanych podmiotów i organów nadzorczych? Czy przepisy przewidują współpracę z organami ścigania bądź innymi podmiotami odpowiedzialnymi za zapewnienie bezpieczeństwa wewnętrznego? Współpraca z organami ścigania odbywa na podstawie uprawnionych prawnie organów na pisemny wniosek o udostępnienie danych. 3. Czy w nadzorowanych przez Państwa urząd sektorze rynkowym/ czy w Państwa sektorze znajdują się podmioty, które są zobowiązane do stosowania ogólnych przepisów z zakresu bezpieczeństwa sieci i informacji (np. rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ramach Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych 20, przepisy ustawy o finansach publicznych z dnia 27 sierpnia 2009 r. o finansach publicznych 21 )? Nie. 4. Proszę wskazać jaki byłby pożądany model krajowego systemu cyberbezpieczeństwa (zdecentralizowany, pośredni, scentralizowany), jakie funkcje i role winien pełnić koordynator strategiczno-polityczny w dziedzinie cyberbezpieczeństwa. Jakie są Państwa opinie na temat umiejscowienia i roli przypisanej Pojedynczemu Punktowi Kontaktowemu (PPK)? Z punktu widzenia biznesu ważne jest, aby istniał jeden jasno zdefiniowany punkt Kontaktowy (PPK), odpowiedzialny za otrzymywanie i przetwarzanie informacji/raportów o Incydentach oraz zagrożeniach, do którego objęte Dyrektywą podmioty będą raportować. Taki podmiot powinien dysponować wiedzą, doświadczeniem i ekspertyzą niezbędną do zajmowania się poufnymi informacjami z zakresu bezpieczeństwa cyfrowego. Podmiot ten powinien być odpowiednio umocowany do współpracy z sektorem prywatnym służącym zapewnieniu bezpieczeństwa w teleinformatyce. Co więcej, uważamy, że wymiana informacji powinna mieć charakter dwustronny. Sytuacja, kiedy w jednostronnym modelu firmy prywatne raportują incydenty do określonych władz bez uzyskiwania jakiejkolwiek informacji zwrotnej będą nieefektywne i w zasadzie nie są wymianą informacji. PPK powinny udzielać informacji zwrotnej, bazującej na strategicznych analizach opracowanych na podstawie zebranych informacji o incydentach. Pomoże to sektorowi prywatnemu na lepsze przygotowanie się do zapobiegania przyszłym i nowym zagrożeniom. Państwo powinno wspierać dobrowolną wymianę informacji szczególnie, jeśli chodzi o informacje o naruszeniach bezpieczeństwa odnośnie użytych narzędzi, taktyk, technik i praktyk używanych przez atakujących. Stworzenie zaufanych platform wymiany informacji może być możliwe poprzez praktyczną i stałą współpracę z interesariuszami z sektora prywatnego. Uważamy, że jednym ze sposobów osiągnięcie tego celu powinno być tworzenie dobrowolnych porozumień zawieranych m.in. zwłaszcza pomiędzy przedsiębiorcami z branży Nowych Technologii zwłaszcza teleinformatycznej a Ministerstwem Administracji i Cyfryzacji 22 (PPK). 20 Dz. U. z 2012 r. Nr 526 z późn. zm. 21 Dz. U. z 2013 r. Nr 885 j.t. 22 Docelowo Ministerstwie Cyfryzacji powstałym w wyniku prowadzonych obecnie zmian organizacyjnych. 6

7 5. Czy w nadzorowanym przez Państwa urząd sektorze rynkowym / czy w Państwa sektorze budowane są partnerstwa publiczno-prywatne celem realizacji celów sektorowych, np. ukierunkowane na podniesienie bezpieczeństwa świadczonych usług (centra typu SOC, ISAC)? Obecnie nie, jednakże jeszcze wiele prac musi być wykonanych, aby podobny model działał w innych sektorach, które powinny współpracować również miedzy krajami członkowskimi. 6. Czy z punktu widzenia aktualnych uwarunkowań w nadzorowanych przez Państwa urząd sektorach rynkowych/ czy w Państwa sektorze możliwe będzie zbudowanie sektorowych zespołów reagowania na incydenty komputerowe (CERT), m.in. w ramach partnerstw, o których mowa w pkt. 4 czy właściwsze byłoby zbudowanie jednego CERT-u narodowego dla wszystkich sektorów. Jakie są według Państwa podstawowe ograniczenia działających obecnie w Polsce zespołów typu CERT? W naszym sektorze działania istnienie zespołów reagowania na incydenty jest rzeczą niezbędną, np. CERT Orange Polska, jako pierwszy dostawca usług telekomunikacyjnych zbudował jednostkę CERT, która zajmuje się monitorowaniem zagrożeń sieci Orange Polska i reaguje na wykryte zagrożenia, a także współpracuje, jako członek z organizacjami międzynarodowymi, co zaowocowało certyfikacją TF-CSIRT (najwyższy poziom członkostwa, aktualnie w Polsce, jako jedyny CERT). Dlatego uważamy, że ważnym jest, aby przy okazji działań organizacyjnych związanych z wdrożeniem Dyrektywy nie ucierpiał żaden z istniejących i działających w Polsce cywilnych CERTów (np. w ORANGE Polska, NASK, itp.), a pożądane byłoby zachęcanie przedsiębiorców do tworzenia kolejnych CERTów, które poprzez wzajemną wymianę informacji mogą szybko reagować na zagrożenia. Nie jest rzeczą organizacji biznesowych ocena organizacyjnego usytuowania CERTu rządowego i opowiadamy się tutaj za stabilizacją organizacyjną działania w strukturach rządowych z władztwem CERT gov. Wymiana informacji pomiędzy różnymi agendami rządowymi, a także pomiędzy sektorem prywatnym i publicznym wymagać będzie stworzenia jasnych mechanizmów zachęty i zabezpieczeń, jak również koniecznego określenia zasad poufności dostarczanych informacji. Opowiadamy się za systemem, w którym biznes będzie mógł otrzymywać wsparcie od istniejących i nowopowstałych CERTów cywilnych z całym ich profesjonalnym dorobkiem. Jesteśmy przeciwni regulacjom nakładanym na sektor prywatny, który potrafi sam zadbać o swoje bezpieczeństwo, a konkurencja pozwala na wybór różnych rozwiązań i technologii służących zapewnieniu bezpieczeństwa w teleinformatyce. 7. W świetle udzielonych odpowiedzi na pytania w pkt 1-5 jakie rozwiązanie w opinii Państwa urzędu/instytucji byłoby najbardziej uzasadnione: a) rozszerzenie kompetencji organów sektorowych o kompetencje w zakresie bezpieczeństwa sieci i informacji, wraz z zapewnieniem odpowiednich zasobów osobowych i finansowych; organy sektorowe mogłyby posiadać w swojej strukturze CERT sektorowy, współpracować z zewnętrznymi CERT-ami sektorowymi bądź narodowym zespołem typu CERT, 7

8 b) utworzenie jednego krajowego podmiotu ds. bezpieczeństwa sieci i informacji, z uprawnieniami regulacyjnymi (obejmującymi nakładanie sankcji) względem sektorów rynkowych; w zależności od możliwości podmiot ten współpracowałby z CERT-ami sektorowymi bądź w jego strukturze mógłby się znajdować CERT narodowy obsługujący wszystkie objęte dyrektywą NIS sektory rynkowe, c) utworzenie jednego krajowego podmiotu z szerokimi uprawnieniami w zakresie bezpieczeństwa sieci i informacji, cyberprzestępczości oraz bezpieczeństwa wewnętrznego, w tym uprawnieniami regulacyjnymi względem sektorów rynkowych; podmiot współpracowałby z CERT-ami sektorowymi bądź w jego strukturze mógłby się również znajdować CERT narodowy obsługujący wszystkie objęte dyrektywą NIS sektory rynkowe. Zdecydowanie jesteśmy za rozwiązaniem wymienionym w pkt. 7 c. Należy pamiętać jednak, że takie rozwiązanie powinno skupić się na tym, że istnieją obecnie istotne i zaufane mechanizmy współpracy między sektorami prywatnym i publicznym, jak również wewnątrz sektora prywatnego, jak chociażby te oparte o istniejące organizacje biznesowe jak ICASI (Industry Consortium for Advancement of Security on the Internet) lub współpracy firm z istniejącymi cywilnymi ośrodkami CERT (np. w ORANGE lub NASK), które powinny zostać podtrzymane i dalej rozwijane. Narodowy zespół CERT powinien obejmować swoim zasięgiem incydenty występujące w infrastrukturze krytycznej Państwa oraz współpracować na zasadzie wymienności informacji z certyfikowanymi CERTami prywatnymi. Jednakże CERT narodowy nie powinien mieć możliwości świadczenia żadnych komercyjnych usług na rynku sektora prywatnego. Jesteśmy za utworzeniem jednego krajowego podmiotu ds. bezpieczeństwa sieci i informacji, który kompetentnie będzie przetwarzał zgłaszane zagrożenia, lub incydenty, które wystąpiły, współpracował z sektorami prywatnymi w celu wyeliminowania zagrożeń, Jesteśmy przeciwni nadmiernej ilości raportów zbieranych od sektora prywatnego, które zawierają cykliczną potrzebę tych samych informacji do różnych jednostek rządowych. 8. Jakie są Państwa opinie na temat powołania Krajowego Centrum Analitycznego w dziedzinie cyberbezpieczeństwa zajmującego się analizą szczególnie trudnych incydentów oraz prowadzenia badań w obszarze cyberprzestrzeni. W naszej opinii współpraca międzynarodowa nadal jest niewystarczająca i ograniczona. Uważamy, że zagrożenia o skali ponadnarodowej w tym obszarze są olbrzymie. Powołując KCA należałoby jasno określić jego rolę koordynacyjną na poziomie krajowym i międzynarodowym, w tym relacje z sektorem prywatnym. Które obecnie dysponuje takimi centrami przygotowanymi merytorycznie do prowadzenia takiej działalności. Tego rodzaju działania będą efektywne, jeśli będą poparte pogłębioną współpracą międzynarodową, włączając w nią również sektor prywatny. 9. Jakie krajowe dokumenty o charakterze strategiczno-programowym bądź rekomendacje dotyczą nadzorowanych sektorów rynkowych/sektorów Państwa działalności? Czy ww. dokumenty przewidują podjęcie działań związanych z wdrożeniem w najbliższym czasie nowych rozwiązań systemowych i organizacyjnych dotyczących bezpieczeństwa sieci i informacji systemów informatycznych? 8

9 Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej" przyjęta w drodze uchwały Rady Ministrów w dniu 25 czerwca 2013 r. Doktryna Cyberbezpieczeństwa Rzeczpospolitej Polskiej 2015 z dnia 22 stycznia 2015 r. 10. Czy powinna być opracowana jedna krajowa strategia w zakresie bezpieczeństwa sieci i informacji obejmująca swoim zakresem zarówno, operatorów kluczowych usług elektronicznych, aktywów infrastruktury krytycznej, sferę administracji publicznej i kwestie zwalczania cyberprzestępczości? Jakie winny być powiązania ze sferą bezpieczeństwa narodowego? Opowiadamy się za systemem, w którym biznes będzie mógł otrzymywać wsparcie od istniejących i nowopowstałych CERTów cywilnych z całym ich profesjonalnym dorobkiem. Jesteśmy przeciwni regulacjom nakładanym na sektor prywatny, który potrafi sam zadbać o swoje bezpieczeństwo, a konkurencja pozwala na wybór różnych rozwiązań i technologii służących zapewnieniu bezpieczeństwa w teleinformatyce. Z punktu widzenia biznesu ważne jest, aby istniał jeden jasno zdefiniowany punkt kontaktowy, odpowiedzialny za otrzymywanie i przetwarzanie informacji/raportów o incydentach, do którego objęte Dyrektywą podmioty będą raportować. Strategia w zakresie bezpieczeństwa sieci i informacji powinna uwzględniać swobodny dostęp CERTów prywatnych do usług komercyjnych, nie wykluczać inicjatyw społecznych czy współpracy przedsiębiorstw. Ważne jest, aby wymiana informacji dotycząca zagrożeń odbywała się na zasadach wzajemności i współpracy, co spowoduje jej dobrowolność i chęć zaangażowania się każdej ze stron. Niezależenie od potrzeby przyjęcia Dyrektywy UE to w dobie szczególnych zagrożeń tak globalnych jak i związanych z obecna sytuacja Polska powinna ponownie rozważyć konieczność ratyfikowania Europejskiej Konwencji o zwalczania cyberprzestępczości tzw. budapesztańska, która zawiera zestaw konkretnych instrumentów prawnych do zwalczania cyberprzestępczości. Polska podpisała te konwencje. 9

Podobne dokumenty
2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres