Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku.

Podobne dokumenty
Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Ustawa o Krajowym Systemie Cyberbezbieczeństwa

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

Polityka Ochrony Cyberprzestrzeni RP

Dyrektywa NIS i jej znaczenie dla cyberbezpieczeństwa

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

Krajowy System Cyberbezpieczeństwa. Krzysztof Silicki p.o. Dyrektora NASK PIB, Wiceprzewodniczący Rady Zarządzającej ENISA

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Funkcjonowanie KSC oraz plany jego rozwoju. Tomasz Wlaź

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Zakres sektorów objętych regulacją Ostatnie propozycje zakresu dyrektywy NIS 5 zakładają objęcie zakresem dyrektywy następujących sektorów:

Europejska inicjatywa dotycząca przetwarzania w chmurze. budowanie w Europie konkurencyjnej gospodarki opartej na danych i wiedzy

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

PL Zjednoczona w różnorodności PL A8-0206/618

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

Cybersecurity Forum 2018 SPOTKANIE MENADŻERÓW CYBERBEZPIECZEŃSTWA

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

Ochrona infrastruktury krytycznej

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

Warszawa, dnia 13 sierpnia 2018 r. Poz. 1560

USTAWA. z dnia. o krajowym systemie cyberbezpieczeństwa. Rozdział 1. Przepisy ogólne

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

Uzasadnienie I. Potrzeba i cel regulacji

NARODOWA PLATFORMA CYBERBEZPIECZEŃ STWA

Analiza Ustawa o krajowym systemie cyberbezpieczeństwa 27 sierpnia 2018

Ustawa o krajowym systemie cyberbezpieczeństwa

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego

DZIENNIK URZĘDOWY. Warszawa, 17 kwietnia 2019 r. Poz. 20. ZARZĄDZENIE Nr 20 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Wdrożenie wymagań ustawy o krajowym systemie cyberbezpieczeństwa jako operator usługi kluczowej - omówienie działań

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

ZALECENIE KOMISJI. z dnia r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę

z dnia. o krajowym systemie cyberbezpieczeństwa 1) Rozdział 1 Przepisy ogólne

Asseco dla Zdrowia r.

(Akty ustawodawcze) DYREKTYWY

POLITYKA SPÓJNOŚCI NA LATA

ZARZĄDZANIE KRYZYSOWE W ŚWIETLE NOWYCH UWARUNKOWAŃ PRAWNYCH

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

ZAŁĄCZNIKI ROZPORZĄDZENIA DELEGOWANEGO KOMISJI

Projekt załącznika do ustawy z dnia. (poz..) SEKTORY I PODSEKTORY DO CELÓW IDENTYFIKACJI OPERATORÓW USŁUG KLUCZOWYCH

z dnia. o krajowym systemie cyberbezpieczeństwa

Spis treści Przedmowa Wykaz skrótów Bibliografia Wprowadzenie Rozdział I. Polityczne uwarunkowania regulacji europejskiego rynku usług finansowych

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY. Europejski program bezpieczeństwa lotniczego

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Informacja Banku Spółdzielczego w Chojnowie

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

DOKUMENT ROBOCZY SŁUŻB KOMISJI STRESZCZENIE OCENY SKUTKÓW. Towarzyszący dokumentowi. Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Bezpieczeństwo Automatyki Przemysłowej w kontekście Infrastruktury Krytycznej

OCHRONA CYBERPRZESTRZENI RZECZPOSPOLITEJ POLSKIEJ A WSPÓŁPRACA PAŃSTW CZŁONKOWSKICH UNII EUROPEJSKIEJ. Marta STEMPIEŃ 8

Wytyczne dotyczące rozporządzenia w sprawie nadużyć na rynku Osoby, do których są adresowane badania rynku

Bezpieczeństwo systemów SCADA oraz AMI

ROZPORZĄDZENIE KOMISJI (UE) NR

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

Powiatowy Bank Spółdzielczy w Tomaszowie Mazowieckim

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

- o zmianie ustawy o zarządzaniu kryzysowym.

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Dostosowanie niektórych aktów prawnych przewidujących stosowanie procedury regulacyjnej połączonej z kontrolą do art. 290 i 291

POLITYKA SPÓJNOŚCI na lata

WYTYCZNE EUROPEJSKIEGO BANKU CENTRALNEGO (UE)

Dziennik Urzędowy Unii Europejskiej ZALECENIA

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

"Rozporządzenie GDPR w praktyce e-administracji oraz biznesu w Polsce i UE" dr Magdalena Marucha-Jaworska Expert of Innovations and New Technology

Rozporządzenie Rady Ministrów w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa

RADA UNII EUROPEJSKIEJ. Bruksela, 12 lutego 2013 r. (13.02) (OR. en) 6342/13. Międzyinstytucjonalny numer referencyjny: 2013/0027 (COD)

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO. na podstawie art. 294 ust. 6 Traktatu o funkcjonowaniu Unii Europejskiej. dotyczący

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

INFORMACJA BANKU SPÓŁDZIELCZEGO W BIAŁEJ PODLASKIEJ

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Zespół do spraw Transformacji Przemysłowej Departament Innowacji

a) Punkty nieustawodawcze 14738/18 Obrady ustawodawcze (Obrady otwarte dla publiczności zgodnie z art. 16 ust. 8 Traktatu o Unii Europejskiej)

Zharmonizowane wymogi Część B. Dokument IV. Składowa opracowania Rekomendacji Agencji zgodnie z postanowieniami art. 15 Dyrektywy 2004/49/WE

INFORMACJA W GIŻYCKU

Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo

System nadzoru ubezpieczeniowego UE a działalność reasekuratorów w Polsce. Insert date with Firm Tools > Change Presentation 0

INFORMACJA BANKU SPÓŁDZIELCZEGO W ŁAŃCUCIE

Odpowiedzi Europejskiego Kongresu Finansowego 1 w konsultacjach Komisji Europejskiej dotyczących sprawiedliwego opodatkowania gospodarki cyfrowej 2

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO, RADY I EUROPEJSKIEGO KOMITETU EKONOMICZNO-SPOŁECZNEGO

Promotor: dr inż. Krzysztof Różanowski

INFORMACJA BANKU SPÓŁDZIELCZEGO W KOŻUCHOWIE

Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A.

ZAŁĄCZNIK KOMUNIKATU KOMISJI DO PARLAMENTU EUROPEJSKIEGO I RADY

Ochrona biznesu w cyfrowej transformacji

Dokument z posiedzenia PROJEKT REZOLUCJI. złożony w następstwie oświadczeń Rady i Komisji

9383/18 ADD 1 hod/pas/gt 1 DRI

Transkrypt:

Cyberpolicy http://cyberpolicy.nask.pl/cp/ramy-prawne/dyrektywa-nis/24,dyrektywa- Parlamentu-Europejskiego-i-Rady-UE-20161148-z-dnia-6-lipca-2016-r-wsp.html 2018-12-28, 23:10 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Dyrektywa NIS (Directive concerning measures for a high common level of security of network and information systems across the Union) została przyjęta 6 lipca 2016 r. Jest pierwszym prawem europejskim w zakresie cyberbezpieczeństwa, wprowadzającym transsektorowe regulacje. Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku. Tekst dyrektywy koncentruje się wokół trzech filarów: - Instytucjach, jakie powinny powstać we wszystkich państwach członkowskich; - Współpracy na poziomie europejskim;

- Zobowiązaniach w zakresie bezpieczeństwa sieci i informacji. W zakresie filaru pierwszego każde państwo członkowskie jest zobligowane do ustanowienia organów właściwych ds. bezpieczeństwa sieci i informacji (National Competent Authorities). Kompetencje organu właściwego mogą być także przyznane już istniejącym instytucjom. Zadaniem organu właściwego jest monitorowanie wdrożenia przepisów Dyrektywy na poziomie krajowym, we wszystkich sektorach objętych regulacją. Do państw członkowskich należy decyzja, czy będzie za to odpowiadał jeden organ, czy kilka. Jest to istotne w przypadku państw, w których istnieją regulatorzy sektorowi. Wtedy to te instytucje mogą odpowiadać za wdrożenie przepisów dyrektywy we właściwych sobie sektorach. Organy właściwe ds. bezpieczeństwa sieci i informacji będą miały uprawnienia do: badania przypadków niewypełniania przez operatorów zobowiązań z zakresu bezpieczeństwa sieci i informacji; oceny wyników audytów bezpieczeństwa teleinformatycznego; wydawania wytycznych w zakresie bezpieczeństwa teleinformatycznego oraz wprowadzenia sankcji za nieprzestrzeganie przepisów. Ponadto każde państwo członkowskie musi ustanowić Pojedynczy Punkt Kontaktowy (PPK) Single Point of Contact. Zadaniem

Pojedynczego Punktu Kontaktowego jest wzmacnianie współpracy pomiędzy państwami członkowskimi. PPK będzie pełnił rolę brokera informacji w skali kraju (gromadzenie informacji o incydentach) i poprzez kontakt ze swoimi odpowiednikami z zagranicy wzmacniał wymianę informacji o znaczących, transnarodowych incydentach. Rola PPK może być także przypisana do już istniejącej instytucji. Kiedy państwo, w procesie implementacji, powoła tylko jeden organ właściwy, będzie on jednocześnie pełnił rolę PPK. Ostatnią wymaganą przez Dyrektywę instytucją jest CSIRT, obejmujący cały zakres podmiotowy regulacji. Państwa członkowskie mogą wskazać kilka CSIRT, mogą także wskazać jeden, na przykład w obrębie organu właściwego. Dyrektywa zachowuje dużą elastyczność jeśli chodzi o wewnętrzne struktury sytemu cyberbezpieczeństwa. Oznacza to, że kraje członkowskie mogą wyznaczyć jeden CSIRT narodowy dla całego kraju, bądź zbudować sieć CSIRT-ów sektorowych, obejmujących sektory rynkowe. Jednak w obu przypadkach, konieczne jest ustanowienie Pojedynczego Punktu Kontaktowego. Państwa ze słabiej rozwiniętymi zdolnościami w zakresie cyberbezpieczeństwa mogą zwrócić się o pomoc w rozwoju CSIRT do Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA).

Zakres podmiotowy Dyrektywy NIS ujęty został w dwa aneksy. Aneks II dotyczy tzw. operatorów usług kluczowych (operators of essential services), Aneks III natomiast reguluje dostawców usług cyfrowych (digital services providers). W odniesieniu do operatorów wskazanych w każdym z aneksów obowiązywać będą inne wymagania. Operatorzy usług kluczowych (Aneks II) to - zgodnie z Dyrektywą - podmioty sektora prywatnego lub publicznego, dostarczające kluczowe usługi (ang. essential services). Zgodnie z definicją są to usługi zależne od sieci teleinformatycznych, w przypadku których potencjalne incydenty bezpieczeństwa teleinformatycznego mogą mieć istotny wpływ na możliwość dostarczania tych usług. W wyniku negocjacji ustalono, że regulacje obejmą następujące sektory: - Energetyczny (m.in. energia elektryczna, ropa naftowa, gaz); - Transportowy (lotniczy, kolejowy, morski); - Bankowy (m.in. instytucje kredytowe); - Finansowy (m.in. giełda); - Zdrowia (m.in. podmioty świadczące opiekę zdrowotną, w tym szpitale); - Zaopatrzenia w wodę; - Infrastruktury cyfrowej (digital infrastructure; m.in. punkty wymiany ruchu internetowego, dostawcy usług

systemu nazw domen oraz rejestry nazw domen najwyższego poziomu). Warto przy tym zaznaczyć, że dostawcy usług kluczowych to pojęcie szersze niż operatorzy infrastruktury krytycznej. W pierwszym projekcie Dyrektywy przedstawionym przez Komisję, była mowa o regulowaniu operatorów infrastruktury krytycznej. W toku negocjacji tekst uległ jednak znaczącej zmianie. Proces identyfikacji operatorów przebiegać będzie w sześciu etapach. W pierwszej kolejności sprawdzane będzie, czy operatorzy prowadzą działalność wymienioną w Aneksie II lista sektorów i podsektorów. W drugim kroku, przeprowadzona zostanie weryfikacja, czy operatorzy ci zostali objęci lex specialis. W trzecim etapie państwa członkowskie muszą zdecydować, czy operator dostarcza usługi kluczowe (essential services). W tym celu, każde państwo powinno najpierw stworzyć listę kluczowych dla siebie usług. Czwartym etapem jest określenie, czy dostarczanie usługi, zaklasyfikowanej jako kluczowa, jest uzależnione od systemów IT. Jeśli tak, to w piątym kroku brane są pod uwagę konkretne kryteria. Najpierw transsektorowe: liczba użytkowników zależnych od usługi, zależność innych sektorów od usługi świadczonej przez operatora, wpływ, jaki incydent może mieć na gospodarkę, działania społeczne oraz bezpieczeństwo

publiczne, zasięg geograficzny, a także to, jak istotny jest dany operator dla zapewnienia właściwego poziomu świadczenia usługi w skali kraju. W drugiej kolejności natomiast, stosowane są kryteria sektorowe. Każde państwo określa je samodzielnie, ponieważ Dyrektywa podaje tylko przykłady, takie jak wielkość produkowanej energii lub udział tej produkcji w skali kraju (sektor energetyczny), czy liczba pacjentów obsługiwanych w ciągu roku przez dany podmiot (sektor zdrowia). Szóstym etapem identyfikacji jest sprawdzenie, czy dany operator dostarcza usługi także na obszarze innego państwa członkowskiego. Jeśli tak, Dyrektywa nakłada na państwa obowiązek konsultacji, jednak bez konieczności uwzględnienia ich wyniku. Należy dodać, że Dyrektywa przewiduje dodatkowe 6 miesięcy (poza wskazanymi 21 miesiącami na jej implementację) na identyfikację operatorów usług kluczowych. W przypadku dostawców usług cyfrowych (Aneks III) obowiązywać będzie tzw. light touch approach, polegający na kontroli ex post, tzn. po zaistnieniu incydentu i tylko przez to państwo, na terenie którego dostawca usługi ma swoją siedzibę. Tym samym, podmioty z Aneksu III nie będą podlegały ani opisanemu wcześniej procesowi identyfikacji, ani raportowania, jak w przypadku operatorów usług kluczowych. Takie podejście spowodowane jest

międzynarodowym wymiarem operatorów dostarczających usługi cyfrowe, a tym samym obawą przed fragmentaryzacją jednolitego rynku cyfrowego UE. W wyniku negocjacji ustalono, że regulacjami zostaną objęte serwisy zakupowe, wyszukiwarki internetowe oraz usługi chmury obliczeniowej. Dyrektywa nie dotyczy bezpośrednio usług administracji publicznej, o ile nie są to usługi kluczowe wymienione w Dyrektywie. Najważniejsze jest jednak to, że Dyrektywa NIS stanowi harmonizację minimalną i nie ogranicza możliwości państw członkowskich do regulowania problematyki bezpieczeństwa teleinformatycznego administracji publicznej, a także objęcia zakresem większej liczby podmiotów. Wszystko to zależy od państw członkowskich. Drugi filar Dyrektywy, to współpraca pomiędzy państwami członkowskimi. NIS wprowadza mechanizmy współpracy na dwóch poziomach: technicznym i polityczno strategicznym. Współpraca techniczna ma być zapewniona poprzez europejską sieć CISRT (CSIRT network) oraz stworzenie mechanizmów wymiany informacji o incydentach transgranicznych pomiędzy CSIRT-ami wyznaczonymi dla operatorów usług kluczowych oraz dostawcami usług cyfrowych. Natomiast współpraca na poziomie polityczno-strategicznym ma być realizowana poprzez

utworzenie Grupy Współpracy (Cooperation Group), która zajmie się wypracowaniem wspólnych koncepcji strategicznych oraz będzie przyjmowała m.in. roczne raporty od właściwych organów. Tekst Dyrektywy nie ustala dokładnych mechanizmów działania obu forów. Zarówno Sieć CSIRT, jak i Grupa Współpracy mają określić je same. Trzeci filar Dyrektywy to zobowiązania w zakresie bezpieczeństwa sieci i informacji. Zobowiązania te są różne w zależności od Aneksu. Operatorzy usług kluczowych będą zobowiązani do dokonania oceny zagrożeń cybernetycznych, na jakie są narażeni, oraz do przyjęcia odpowiednich i proporcjonalnych środków, mających na celu zapewnienie bezpieczeństwa sieci i informacji. Podmioty te będą zobowiązane do zgłaszania właściwym organom wszelkich incydentów poważnie zagrażających ich sieciom i systemom informatycznym, mogących znacząco zakłócić ciągłość działania kluczowych usług (obowiązkowe raportowanie). Raportowaniu podlegały będą incydenty o "znaczącym wpływie na ciągłość działania operatorów", co de facto oznacza, że progi raportowania określą państwa członkowskie w procesie implementacji. Podmioty Aneksu III będą natomiast objęte wspomnianą już regulacją light touch approach. Dyrektywa nakłada także na państwa członkowskie obowiązek przyjęcia narodowej strategii

bezpieczeństwa sieci i informacji, w której określone zostaną m.in.: narodowe cele i priorytety w dziedzinie cyberbezpieczeństwa, role i obowiązki organów administracji publicznej w procesie osiągania wyznaczonych celów, zasady współpracy sektora publicznego i prywatnego oraz krajowa analiza ryzyka i zadania w zakresie edukacji na rzecz cyberbezpieczeństwa. Przepisy Dyrektywy umożliwiają stworzenie zarówno scentralizowanego systemu na poziomie krajowym, jak i podzielenie kompetencji pomiędzy różne podmioty wymieniające informacje w oparciu o zbudowane mechanizmy współpracy. Ponadto Dyrektywa zobowiązuje wszystkie państwa członkowskie do zagwarantowania minimalnego poziomu krajowych zdolności w dziedzinie bezpieczeństwa teleinformatycznego. Dyrektywa NIS daje organom publicznym konkretne narzędzie do przeciwdziała i reakcji na incydenty w cyberprzestrzeni. Będzie to możliwe m.in. dzięki nałożonym obowiązkom raportowania, poprzez obowiązek przygotowania krajowych strategii NIS, skoordynowanie przepływu informacji, czy też zinstytucjonalizowanie współpracy CSIRT-ów.

ZAŁĄCZNIKI Dyrektywa NIS (pdf, 592.79 KB) 08.01.2018 12:10 Print tą stronę Generate PDF z tej stronie Previous Next

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres