Cyberpolicy http://cyberpolicy.nask.pl/cp/ramy-prawne/dyrektywa-nis/96,rozporzadz enie-wykonawcze-komisji-ue-2018151.html 2019-01-16, 02:05 Rozporządzenie Wykonawcze Komisji (UE) 2018/151 30 stycznia 2018 r. Komisja Europejska opublikowała Rozporządzenie Wykonawcze 2018/151. Dokument dotyczy trzeciego aneksu Dyrektywy NIS (dostawców usług cyfrowych DSP). Dyrektywa zakładała przyjęcie rozporządzenia ze względu na międzynarodowy charakter DSP. Ma to zapobiegać fragmentaryzacji Jednolitego Rynku Cyfrowego. Rozporządzenie obowiązuje od 10 maja 2018 roku. Rozporządzenie doprecyzowuje elementy bezpieczeństwa sieci i systemów informatycznych, które mają zostać uwzględnione przez dostawców usług cyfrowych przy oferowaniu usług, o których mowa w załączniku III do dyrektywy (UE) 2016/1148, tj. internetowa platforma handlowa, wyszukiwarka internetowa i usługa przetwarzania w chmurze. W załączniku do dyrektywy Komisja Europejska mówi o bezpieczeństwie systemów i obiektów, które obejmuje:
- Systematyczne zarządzanie sieciami i systemami informatycznymi, tj. mapowanie systemów informatycznych oraz ustanowienie zestawu polityk zarządzania bezpieczeństwem informacji (analizy ryzyka, zasobów ludzkich, bezpieczeństwa operacji, architektury bezpieczeństwa, zabezpieczenia danych, zarządzenie cyklem życia systemu, szyfrowanie). - Bezpieczeństwo fizyczne i środowiskowe, tj. zestaw środków przeciwdziałający awariom systemu spowodowanym przez błędy ludzkie, czy zjawiska naturalne. - Bezpieczeństwo dostaw, tj. zbiór polityk zapewniających dostępność krytycznych dostaw wykorzystywanych do świadczenia usług. - Kontrole dostępu do sieci i systemów informatycznych, tj. środki gwarantujące dostęp fizyczny i logiczny do sieci i systemów. W przypadku wystąpienia incydentu dostawca usług cyfrowych powinien zapewnić utrzymanie procesów wykrywania zagrożeń, system zgłaszania incydentów, reagowanie zgodnie z procedurami, a także ocenę powagi incydentu wraz z pełną dokumentacją. W miarę możliwości organizacja powinna utrzymać realizację usługi, lub też przywrócić ją po ustąpieniu zakłócenia. Zarządzanie
ciągłością działania obejmuje ustanowienie i wdrożenie odpowiednich planów awaryjnych, a także ocenę zdolności w zakresie przywracania gotowości do pracy. Sprawność systemu należy monitorować, a także ulepszać na podstawie wyników przeprowadzonych testów i audytów. Wpływ każdego incydentu oceniany jest na podstawie konkretnych czynników: 1. Liczba użytkowników liczba osób dotkniętych incydentem, z którymi zawarto umowę na świadczenie usługi, lub też którzy korzystali z danej usługi. 2. Czas trwania okres od wystąpienia zakłócenia do czasu przywrócenia stanu normalnego. 3. Zasięg geograficzny konieczność ustalenia zasięgu wystąpienia incydentu. 4. Zasięg incydentu ilość aspektów, które zostały osłabione z powodu wystąpienia incydentu. 5. Zasięg wpływu na działalność gospodarczą i społeczną konieczność oszacowania strat materialnych i niematerialnych, na przykład w obszarze zdrowia, bezpieczeństwa, uszkodzenia mienia. Powyższe czynniki pozwalają stwierdzić, czy wpływ danego incydentu kwalifikuje się jako istotny, czy też nie. Incydent o wpływie istotnym występuje, gdy pojawi się przynajmniej
jeden z elementów: usługa świadczona przez dostawcę była niedostępna przez ponad 5 000 000 użytkownikogodzin[1], ponad 100 000 użytkowników w Unii ucierpiało z powodu utraty integralności, autentyczności lub poufności danych, incydent spowodował ryzyko wystąpienia ofiar śmiertelnych lub zagrożenie dla bezpieczeństwa publicznego, przynajmniej jeden użytkownik Unii poniósł stratę materialną przekraczającą 1 000 000 EUR. [1] pojęcie użytkownikogodziny odnosi się do liczby dotkniętych incydentem użytkowników w Unii przez okres sześćdziesięciu minut. ZAŁĄCZNIKI Rozporządzenie Wykonawcze Komisji (UE) 2018/151 (pdf, 388.17 KB) 24.07.2018 07:48 Print tą stronę
Previous Generate PDF z tej stronie