Cyberbezpieczeństwo

O specjalizacji

Znaczenie cyberbezpieczeństwa wzrasta z dnia na dzień. O ile jeszcze kilka lat temu nie było ono priorytetem przedsiębiorców i podmiotów publicznych, dzisiaj, w dobie rozwiązań chmurowych, pracy zdalnej i gospodarki opartej na danych, ich ochrona jest wręcz kluczowa. Dostrzega to także polski i unijny ustawodawca. Coraz to nowe regulacje mają na celu zapewnienie bezpieczeństwa informacji i danych. Dotyczą także systemów teleinformatycznych, w których dane te są przetwarzane. 

Nasi specjaliści zagadnienia prawne na tle cyberbezpieczeństwa zgłębiają od lat. W toku praktyki wypracowaliśmy praktyczne rozwiązania, z których efektywnie korzystają nasi Klienci. Współpracujemy m.in. z operatorami usług kluczowych, dostawcami usług cyfrowych, dostawcami IT, zamawiającymi systemy IT i podmiotami publicznymi. 

Zagadnień dotyczących cyberbezpieczeństwa nie można ignorować. Przedsiębiorstwa, które dbają o bezpieczeństwo przetwarzanych danych, w ten sposób także budują swoją przewagę konkurencyjną. 

Co robimy?
  • przeprowadzamy szeroko rozumiane audyty zgodności, w tym w szczególności identyfikujemy właściwe regulacje prawne dotyczące działalności Klienta, wynikające z przepisów powszechnie obowiązujących oraz rekomendacji i wytycznych,
  • wspieramy we wdrażaniu wymogów  ustawy o krajowym systemie cyberbezpieczeństwa,
  • reprezentujemy Klientów w postępowaniach w sprawie wydania decyzji o uznaniu za operatorów usług kluczowych oraz w postępowaniach kontrolnych i nadzorczych, w tym dotyczących kar pieniężnych,
  • pomagamy w wypracowaniu relacji z kontrahentami (zamawiającymi, dostawcami IT) oraz pracownikami,
  • doradzamy w przypadkach zidentyfikowania incydentu naruszenia cyberbezpieczeństwa,
  • prowadzimy postępowania w zakresie dochodzenia roszczeń wobec sprawców incydentów cyberbezpieczeństwa,
  • prowadzimy specjalistyczne szkolenia z obszaru cyberbezpieczeństwa.
Korzyści ze współpracy

Przejmujemy od naszych Klientów wszelkie formalności natury prawnej związane z wdrożeniem i utrzymaniem cyberbezpieczeństwa w organizacji. To istotna korzyść, dzięki której przedsiębiorstwo lub instytucja publiczna, może w pełni skupić się na swoich zadaniach. To oszczędność czasu, a w dłuższej perspektywie – także środków finansowych. 

Nasi Klienci mogą skorzystać z pomocy adwokatów i radców prawnych, łączących kompetencje z obszaru cyberbezpieczeństwa, bezpieczeństwa informacji i danych osobowych oraz regulacji sektorowych. Pomoc kancelarii obejmuje również obszar techniczny. Na stałe współpracujemy z kilkoma firmami konsultingowymi specjalizującymi się w cyberbezpieczeństwie oraz brokerami oferującymi ubezpieczenia od cyberzagrożeń. Znamy rozwiązania występujące na rynku i wspieramy Klientów w skutecznym zabezpieczeniu przed ewentualnymi cyberzagrożeniami – także od strony biznesowej. 

Niedopatrzenia w zakresie cyberbezpieczeństwa mogą mieć bardzo poważne konsekwencje finansowe i wizerunkowe. Współpraca z nami znacznie minimalizuje, a w wielu przypadkach całkowicie wyklucza to ryzyko.

Dlaczego warto?
  • ekspercka, stale aktualizowana wiedza z obszaru cyberbezpieczeństwa,
  • gwarancja uzyskania szybkiej pomocy w krytycznych przypadkach – incydentach, wyciekach danych, przełamaniach zabezpieczeń,
  • monitoring przepisów i najnowszego orzecznictwa,
  • kompleksowe wsparcie, zarówno w obszarze regulacji prawnych, jak i w obszarze technicznym (IT), 
  • interdyscyplinarne podejście do rozwiązywanych problemów, przejawiające się m.in we współpracy z brokerami oferującymi ubezpieczenia od cyberzagrożeń i dogłębnej znajomości biznesowej specyfiki branży.

Doradcy

Powiązane artykuły

25 paź 2022

NFT a cyberbezpieczeństwo

NFT (ang. non-fungible token), czyli niewymienny token, tak jak inne rozwiązania cyfrowe narażony jest na cyberzagrożenia.

14 maj 2022

Jak przedsiębiorcy telekomunikacyjni powinni informować użytkowników o cyberzagrożeniach?

10 marca 2022 r. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opublikowała wytyczne dotyczące informowania przez przedsiębiorców telekomunikacyjnych użytkowników o cyberzagrożeniach[1]. Opublikowanie wytycznych jest konsekwencją obowiązywania w Unii Europejskiej od grudnia 2020 r. Europejskiego kodeksu łączności elektronicznej (EKŁE), który na podstawie art. 40 ust. 3 zobowiązuje przedsiębiorców telekomunikacyjnych do informowania o występujących cyberzagrożeniach. Przedstawione przez ENISA wytyczne zawierają rekomendacje dotyczące tworzenia polityk informowania użytkowników o cyberzagrożeniach, a także case studies procedur już stosowanych przez wybranych przedsiębiorców telekomunikacyjnych.

13 maj 2022

Nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa – jakie wprowadza zmiany?

25 marca 2022 r. na stronie internetowej Rządowego Centrum Legislacji opublikowany został kolejny już siódmy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, zapowiadany od wielu tygodni przez Pełnomocnika Rządu ds. Cyberbezpieczeństwa Janusza Cieszyńskiego. Projekt ten, choć pozostaje w dużej części zbieżny z proponowanymi dotychczas rozwiązaniami, zawiera szereg istotnych zmian i nowych obowiązków, które mają zostać nałożone na przedsiębiorców komunikacji elektronicznej.

16 lut 2022

Regulacyjne cybertsunami

Na przestrzeni ostatnich lat – w szczególności od transpozycji dyrektywy NIS przez państwa członkowskie Unii Europejskiej w 2018 r. – kwestia regulacji cyberbezpieczeństwa i określenia wspólnych cyberstandardów dla konkretnych branż nabiera coraz większego znaczenia. Najlepszym przykładem tej tendencji jest fakt, że już dwa lata po implementacji dyrektywy NIS do krajowych porządków prawnych, pod koniec 2020 r., Komisja Europejska opublikowała projekt tzw. dyrektywy NIS 2. Ma ona zastąpić obowiązującą od ponad trzech lat dyrektywę NIS, aby dokładniej uporządkować kwestie cyberbezpieczeństwa w całej Unii Europejskiej.
Jednak zarówno dyrektywa NIS, jak i przygotowywana w Brukseli dyrektywa NIS 2 stanowią tylko preludium regulacyjnego cybertsunami, które jest coraz bardziej zauważalne w tym obszarze, ponieważ dotyczy nie tylko legislacji na poziomie europejskim i krajowym, lecz także

21 gru 2021

Jak migrować do chmury zgodnie z prawem?

Prawne aspekty migracji do chmury publicznej ze szczególnym uwzględnieniem przepisów i wytycznych z zakresu cyberbezpieczeństwa

14 gru 2021

Rekomendacje Ministerstwa Klimatu i Środowiska w zakresie cyberbezpieczeństwa dla sektora energii

15 października 2021 r. Ministerstwo Klimatu i Środowiska przedstawiło rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa w sektorze energii oraz wytyczne sektorowe dotyczące zgłaszania incydentów. Rekomendacje, opracowane na podstawie art. 42 ust. 1 pkt 5 Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, powstały w drodze konsultacji z CSIRT NASK, CSIRT GOV, CSIRT MON oraz z operatorami usług kluczowych sektora energii.

13 gru 2021

Nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

W październiku, po wielu tygodniach zapowiedzi, opublikowany został nowy, kolejny już rządowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Budzi on dużo emocji i kontrowersji, w szczególności ze względu na wprowadzenie procedury dotyczącej uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka oraz na możliwość wydawania przez ministra właściwego do spraw informatyzacji poleceń zabezpieczających.

26 sty 2021

Dyrektywa NIS2 – propozycja nowej regulacji w zakresie cyberbezpieczeństwa

Pod koniec 2020 r. Komisja Europejska zakończyła proces rewizji dyrektywy NIS i przedstawiła propozycję nowej, kompleksowej regulacji, która została nazwana „dyrektywą NIS2”. Przepisy te mają całkowicie zastąpić dyrektywę NIS, eliminując jej słabości i znaczące różnice w implementacji pomiędzy poszczególnymi państwami członkowskimi. Komisja nie zdecydowała się przy tym na propozycję rozporządzenia, bezpośrednio stosowanego w krajach UE, choć była to jedna z rozważanych dróg.

24 lis 2020

Cyberbezpieczeństwo w umowach wdrożeniowych systemów IT

Wdrożenia systemów informatycznych to niezwykle złożone procesy, trwające często miesiącami, a nawet latami. W zależności od rodzaju wdrożenia oprócz samego dostarczenia systemu często obejmuje ono również świadczenie szeregu dodatkowych usług po ukończeniu wdrożenia, takich jak utrzymanie czy rozwój oprogramowania. Z tych powodów umowy na rozwiązania IT zwykle są rozbudowane i wyczerpująco opisują funkcjonalności i cechy, które powinien mieć wdrażany system informatyczny, jak również szczegółowo określają wymagania techniczne, które powinien spełniać. Mimo bardzo dokładnego uregulowania tych aspektów często pomijana jest kwestia, która ma coraz większe znaczenie dla prawidłowego i niezakłóconego funkcjonowania oprogramowania – jego odpowiednie zabezpieczenie, uniemożliwiające wyciek danych oraz zapobiegające dostępowi nieuprawnionych osób trzecich.

12 paź 2020

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Zapowiadana od dłuższego czasu nowelizacja Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (dalej: „ustawa o KSC”) niedługo stanie się faktem – 7 września 2020 r. do konsultacji publicznych przekazano jej projekt. Chociaż projekt przepisów nie zmienia podstawowych zagadnień regulowanych ustawą (np. obowiązków operatorów usług kluczowych czy dostawców usług cyfrowych), to propozycja nowelizacji spotkała się z dużym zainteresowaniem przedsiębiorców – na prośbę zrzeszających ich organizacji branżowych Ministerstwo Cyfryzacji przedłużyło termin konsultacji publicznych do 6 października 2020 r.

19 sie 2020

Europejskie programy certyfikacji cyberbezpieczeństwa – chmura i produkty ICT

ENISA rozpoczęła konsultacje dwóch programów certyfikacji cyberbezpieczeństwa – programu opartego na Common Criteria, mającego zastosowanie do produktów ICT, oraz programu certyfikacji usług chmurowych. To pierwsze programy opracowane na podstawie aktu o cyberbezpieczeństwie.

23 gru 2019

Operatorzy usług kluczowych w państwach członkowskich UE – uwagi na gruncie sprawozdania Komisji Europejskiej i raportu ENISA

Dyrektywa NIS[1] oraz implementujące ją krajowe regulacje identyfikują operatorów usług kluczowych (OUK) działających w sektorach wskazanych we właściwych przepisach. Są to podmioty, które powinny reprezentować wysoki poziom odporności na incydenty cyberbezpieczeństwa ze względu na społeczne i gospodarcze znaczenie świadczonych przez nie usług. Dla prawidłowego i efektywnego wdrożenia dyrektywy NIS konieczne jest zapewnienie spójnego podejścia do identyfikacji tych podmiotów przez państwa członkowskie. Problematyka podejścia do OUK na poziomie krajowym była w ostatnim czasie przedmiotem dwóch unijnych raportów.

Unijne raporty

Pierwszy z raportów został opublikowany 28 października 2019 r. przez Komisję Europejską. Raport ten to w istocie sprawozdanie oceniające spójność podejść przyjętych przez państwa członkowskie w procesie identyfikacji OUK (dalej: Sprawozdanie KE)[2]. Miesiąc później, 27 listopada 2019 r., Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała raport na temat zarządzania incydentami w państwach członkowskich (dalej: Raport ENISA)[3].

Powodem do prezentacji analiz poświęconych tym obszarom była stosunkowo niedawna implementacja dyrektywy NIS do prawodawstwa państw członkowskich i chęć przeglądu regulacji krajowych, zwłaszcza pod kątem ich spójności. W obydwu wspomnianych dokumentach przedstawiono między innymi ciekawe wnioski dotyczące systemów cyberbezpieczeństwa indywidualnych państw członkowskich oraz szczególnej pozycji i znaczenia OUK. Sporo uwagi poświęcono w nich nieraz znacząco odmiennym podejściom prezentowanym przez poszczególne kraje.

Operatorzy usług kluczowych w ustawie o KSC

Jak wskazano w Sprawozdaniu KE[4], spójne unijne podejście do identyfikacji OUK ma doniosłe znaczenie z kilku powodów. Może ono zmniejszyć ryzyka związane z transgranicznymi zależnościami i rozbieżnościami w interpretacji dyrektywy NIS oraz zapewnić równe warunki działania operatorów na rynku wewnętrznym.

Przed omówieniem kontekstu europejskiego warto przedstawić, jak wygląda pozycja OUK w polskiej implementacji dyrektywy NIS, czyli w ustawie o KSC[5].

Zgodnie z tą regulacją dany podmiot będzie kwalifikował się jako operator usługi kluczowej, jeżeli spełnia trzy kryteria[6]:

  1. ustrojowe – jest podmiotem, o którym mowa w załączniku nr 1 do ustawy o KSC i który dodatkowo posiada jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej;
  2. formalne – organ właściwy ds. cyberbezpieczeństwa wydał w stosunku do niego decyzję;
  3. materialne – spełnia wymagania określone w art. 5 ust. 2 ustawy o KSC, tj.: świadczy usługę kluczową; świadczenie tej usługi zależy od systemów informacyjnych; incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora (zgodnie z progami wynikającymi z przepisów wykonawczych).

Przyjmując perspektywę Raportu ENISA i Sprawozdania KE, należy zwrócić szczególną uwagę na kryterium ustrojowe, z którego jasno wynika, że operatorem usługi kluczowej może być tylko podmiot mieszczący się w katalogu ujętym w załączniku nr 1 do ustawy o KSC.

Warto przy tym zaznaczyć, że z porównania katalogów zawartych w dyrektywie NIS i polskiej ustawie o KSC wynika, iż co do zasady pokrywają się one, jeśli chodzi o rodzaje sektorów działalności. Pewne różnice w tym względzie zostaną omówione w dalszej części artykułu.

Poniżej przedstawiamy w formie tabeli sektory, podsektory oraz przykładowe usługi zawarte w załączniku nr 1 do ustawy o KSC oraz w rozporządzeniu dotyczącym wykazu usług kluczowych (dalej: Rozporządzenie)[7].

tabela1

Jednocześnie należy podkreślić, że kwalifikacja danego podmiotu jako OUK jest zależna od spełnienia przezeń progów istotności skutku zakłócającego incydentu. Oznacza to, że nie każdy podmiot działający w określonym sektorze i wykonujący usługę kluczową zostanie uznany za OUK. Jeżeli usługodawca zostanie zidentyfikowany jako OUK, ale z uwagi na różne czynniki – np. dotyczące skali prowadzonej działalności – jego działalność przestanie po pewnym czasie spełniać określone progi, organ właściwy ds. cyberbezpieczeństwa może stwierdzić wygaśnięcie decyzji. Proces identyfikacji OUK ma zatem charakter ciągły, a skład grupy zidentyfikowanych podmiotów może się zmieniać.

Zgodnie z informacjami dotyczącymi stanu na połowę października, przedstawionymi 14 listopada 2019 r. przez delegatów Ministerstwa Cyfryzacji na konferencji Advanced Threat Summit, wyznaczono 156 podmiotów, w tym w sektorze:

  1. zdrowia – 28 (identyfikacja niezakończona),
  2. energii – 69 (identyfikacja niezakończona),
  3. zaopatrzenia w wodę – 4 (identyfikacja niezakończona),
  4. transportu – 27 (identyfikacja zasadniczo zakończona),
  5. bankowym – 20 (identyfikacja zasadniczo zakończona),
  6. infrastruktury cyfrowej – 8 (identyfikacja zasadniczo zakończona).

OUK graf

Na marginesie warto odnotować, że w ustawie o KSC zawarto definicję operatora usługi kluczowej (art. 5 ust. 1 ustawy o KSC), a nie definicję operatora usług kluczowych (art. 4 pkt 4 dyrektywy NIS). Ten niuans językowy ma spore znaczenie, ponieważ „identyfikacja takiego operatora dotyczy danej świadczonej usługi i wiąże się z obowiązkami w zakresie cyberbezpieczeństwa dotyczącymi tej usługi”[8]. Jeżeli zatem operator świadczy kilka usług, to względem każdej konkretnej usługi, która kwalifikuje się jako usługa kluczowa, powinna zostać wydana odrębna decyzja o uznaniu za operatora usługi kluczowej[9]. Będzie to miało duże znaczenie w odniesieniu do identyfikacji danego podmiotu jako OUK, jeśli określona usługa kluczowa znajdzie się w przyszłości poniżej lub powyżej progów wskazanych w Rozporządzeniu. To właśnie kryterium będzie bowiem rozstrzygające dla uznania, czy dany podmiot pozostaje OUK w zakresie danej usługi, czy też status ten utracił (por. również rozważania powyżej).

Identyfikacja operatorów usług kluczowych w kontekście Sprawozdania KE

Jak wskazano w Sprawozdaniu KE, państwa członkowskie przyjęły odmienne metody identyfikacji OUK – zróżnicowanie dotyczy takich elementów jak: rodzaje usług kluczowych, progi istotności skutku zakłócającego incydentu, stopień centralizacji, organy odpowiedzialne za identyfikację oraz ocena zależności od sieci i systemów informatycznych[10].

Przykładowo: ustawa o KSC zawiera szerszy niż określony w dyrektywie NIS katalog podsektorów w obrębie sektora energetycznego (wydobywanie kopalin i ciepło), a w ślad za tym – długą listę operatorów usług kluczowych w tym obszarze. Jest to następstwem określenia w dyrektywie NIS minimalnego poziomu harmonizacji, co oznacza, że państwa członkowskie muszą wdrożyć co najmniej takie rozwiązania, jakie przewidziano w dyrektywie, lecz w pozostałym zakresie mają pewną swobodę, z której – jak wynika ze Sprawozdania KE – rzeczywiście korzystają.

Co ciekawe, różnice można także zauważyć w liczbie zidentyfikowanych usług kluczowych. Waha się ona w państwach członkowskich od 12 (Węgry i Holandia) do 87 (Polska). Średnio na każde państwo członkowskie przypada 35 usług[11].

Istotne rozbieżności dotyczą również ogólnej liczby OUK zidentyfikowanych w 25 krajach UE w ramach poszczególnych sektorów i podsektorów. Liczba OUK zgłoszonych Komisji Europejskiej przez poszczególne państwa członkowskie waha się od 20 do 10 897, co daje średnią na poziomie 633 OUK na państwo członkowskie. W Polsce do czasu przekazania danych do KE zidentyfikowano 142 OUK (jak jednak wynika z przedstawionych wyżej statystyk, liczba ta rośnie). W świetle tych danych zastanawiać może, który kraj – i dlaczego – osiągnął wynik zidentyfikowanych OUK na poziomie 10 897? Taką właśnie liczbę OUK zgłosiła Finlandia ze względu na metodę identyfikacji stosowaną tam w sektorze opieki zdrowotnej.

[Identyfikacja operatorów usług kluczowych w kontekście Raportu ENISA]

Raport ENISA, choć poświęcony jest głównie kwestiom dotyczącym incydentów, zawiera także cenne obserwacje z perspektywy OUK. W jednym z kluczowych wniosków wskazano, że wdrożenie dyrektywy NIS stawia przed państwami członkowskimi wyzwania operacyjne i regulacyjne, związane przede wszystkim z prawnymi i administracyjnymi aspektami wyznaczenia operatorów usług kluczowych.

Proces ten może być bardzo złożony, zwłaszcza w przypadku dużych przedsiębiorstw, które prowadzą więcej niż jeden rodzaj działalności. W Raporcie ENISA przywołano przykład podmiotu świadczącego usługi w zakresie wymiany ruchu internetowego (IXP), który może również działać jako dostawca usług chmurowych (czyli – na gruncie dyrektywy NIS – jako dostawca usługi cyfrowej).

Takie przypadki mogą rodzić szczególne problemy w tych państwach członkowskich, w których stosuje się zdecentralizowany model zarządzania incydentami, ponieważ operator usług kluczowych może być zobowiązany do raportowania incydentów kilku organom sektorowym, co z kolei może powodować nakładanie się i powielanie działań właściwych organów. Polski ustawodawca uregulował tę kwestię, przewidując zdecentralizowany model w zakresie organów właściwych do spraw cyberbezpieczeństwa (właściwi ministrowie oraz KNF); jeśli zaś chodzi o raportowanie incydentów, zdecydowana większość OUK powinna przekazywać informacje do CSIRT NASK.

Wymiana informacji w zakresie zarządzania incydentami jako wyzwanie regulacyjne

W Raporcie ENISA zwrócono też uwagę na kwestię usytuowania CSIRT względem krajowych organów ochrony danych osobowych. W przypadku naruszenia bezpieczeństwa związanego z danymi osobowymi o incydencie powiadomić należy nie tylko krajowy CSIRT, lecz także krajowe organy ochrony danych – zgodnie z odrębnymi w tym zakresie regulacjami RODO. Obowiązek ten będzie szczególnie istotny dla sektora bankowego czy sektora zdrowia, w których przetwarzane są duże zbiory danych zawierające informacje wrażliwe.

W części państw może jednak brakować powiązania między krajowym CSIRT a krajowym organem ochrony danych na poziomie regulacji prawnych, dlatego też zasadne jest wprowadzenie przynajmniej praktycznych, organizacyjnych zasad wymiany informacji i ustalenia kanału komunikacji między organami właściwymi w sprawach incydentów cyberbezpieczeństwa, w których naruszeniu ulegają także dane osobowe.

Na mocy art. 34 ust. 2 ustawy o KSC, polskie CSIRT, koordynując obsługę incydentu, który doprowadził do naruszenia ochrony danych osobowych, współpracują z organem właściwym do spraw ochrony danych osobowych. CSIRT powinny poinformować Prezesa UODO o zgłoszonych incydentach, które doprowadziły do naruszenia ochrony danych osobowych[12]. Warto odnotować, że ze względu na znaczną intensywność oparcia gospodarki o dane, współpraca między wskazanymi tu organami jest niezbędna, ponieważ wiele incydentów będzie stanowiło jednocześnie naruszenie przepisów RODO.

Pozostałe wnioski z Raportu ENISA

W Raporcie ENISA zwrócono szczególną uwagę na kilka kluczowych wniosków, rozwiniętych w nim szerzej na gruncie zgromadzonych danych. Przede wszystkim kultura organizacyjna i zasoby państw członkowskich mają duży wpływ na ukształtowanie krajowego systemu zarządzania incydentami. Pozytywnym skutkiem wdrożenia dyrektywy NIS jest uporządkowanie, a także dokładne uregulowanie oraz wyjaśnienie roli i obowiązków podmiotów w ramach organizacji zarządzania incydentami cyberbezpieczeństwa.

Pozytywnym zjawiskiem jest również rosnąca liczba inicjatyw w obszarze współpracy sektorowej i wymiany informacji. Niestety zakres współpracy między danymi podmiotami nie zawsze jest jasno zdefiniowany, co może odbijać się negatywnie na skuteczności prowadzonych działań.

Podsumowanie

Przyjęcie dyrektywy NIS oraz jej implementacja do krajowych porządków prawnych zwiększyły świadomość potrzeby zapewnienia cyberbezpieczeństwa w branżach częściowo lub w całości opartych o dane. Nawet jeśli państwa członkowskie jeszcze nie wykonały wszystkich obowiązków w zakresie OUK[13], a podjęte dotychczas działania stanowią zaledwie początek drogi, trudno nie oceniać tych działań jako zdecydowanie potrzebnych i wpływających korzystnie na ekosystem cyberbezpieczeństwa.

Pozytywnym efektem wdrożenia dyrektywy NIS jest także rosnąca ilość transgranicznych inicjatyw dotyczących cyberbezpieczeństwa. Aby jednak zagwarantować jasny zakres działania podmiotów uczestniczących w tego typu przedsięwzięciach, należy zapewnić odpowiednie kanały przepływu informacji na poziomie zarówno organów krajowych, jak i państw członkowskich.

Podsumowując, można podkreślić, iż systemowe podejście do regulacji cyberbezpieczeństwa jest niezbędne w rzeczywistości Przemysłu 4.0. Tym bardziej więc cieszą podejmowane przez UE, w tym także właściwej w tym zakresie ENISA, inicjatywy dotyczące cyklicznego monitorowania stosowania dyrektywy w poszczególnych państwach członkowskich.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 194 z 19.07.2016, s. 1).

[2] Sprawozdanie Komisji dla Parlamentu Europejskiego i Rady oceniające spójność podejść przyjętych przez państwa członkowskie w procesie identyfikacji operatorów usług kluczowych zgodnie z art. 23 ust. 1 dyrektywy (UE) 2016/1148 w sprawie bezpieczeństwa sieci i informacji (COM(2019) 546 final); dostęp: https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:52019DC0546&from=EN.

[3] EU MS Incident Response Development Status Report; dostęp: https://www.enisa.europa.eu/publications/eu-ms-incident-response-development-status-report/.

[4] Zob. Sprawozdanie KE, s. 2–4.

[5] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2018 r., poz. 1560 ze zm.).

[6] Zob. M. Wilbrandt-Gotowicz, „Komentarz do art. 5 UKSC”, [w:] K. Czaplicki, A. Gryszczyńska, G. Szpor (red.), Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, WKP 2019, LEX.

[7] Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz. U. z 2018 r., poz. 1806).

[8] Por.: M. Wilbrandt-Gotowicz, „Komentarz do art. 5 UKSC”…

[9] Por.: Tamże.

[10] Sprawozdanie KE, s. 8.

[11] Tamże, s. 10.

[12] Zob.: K. Prusak-Górniak, K. Silicki, „Komentarz do art. 34 UKSC”, [w:] K. Czaplicki, A. Gryszczyńska, G. Szpor (red.), Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, WKP 2019, LEX.

[13] Jak zaznaczono powyżej, w Polsce wciąż trwa analiza i identyfikacja operatorów usług kluczowych w poszczególnych sektorach wskazanych w ustawie o KSC, mimo iż proces ten miał się zakończyć do 9 listopada 2018 r. (art. 86 ustawy o KSC).