Nadchodzące zmiany w cyberbezpieczeństwie

Wraz z pędzącym postępem technologicznym koniecznym jest, aby wprowadzać coraz to nowsze rozwiązania prawne, które muszą niejako nadążyć za światem techniki. Rozwiązania w tym zakresie często przyjmowane są na stopniu międzynarodowym, przede wszystkim w ustawodawstwie Unii Europejskiej. W ostatnim czasie Komisja Europejska przedstawiła projekt nowego pakietu cyberbezpieczeństwa, który ma być odpowiedzią na zachodzącą transformację cyfrową, która dodatkowo przyspieszyła przez pandemię.

W założeniu propozycja Komisji Europejskiej ma nie tylko poprawić obowiązującą Dyrektywę Parlamentu Europejskiego i Rady z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dalej „Dyrektywa NIS”) ale przede wszystkim wprowadzić rozwiązania wieloletnie. W swoim komunikacie Komisja określiła je nawet jako „future-proof” (dosłownie odporne na przyszłość).

Pakiet proponowany przez Komisję Europejską składa się z kilku odrębnych dokumentów:

  • Strategii cyberbezpieczeństwa Unii Europejskiej;
  • Dyrektywę w sprawie odporności infrastruktury krytycznej;
  • Dyrektywę w sprawie działań na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii
  • Raport na temat wpływu rekomendacji KE z 26 marca 2019 r. na cyberbezpieczeństwo sieci 5G

Głównym celem Strategii [1] jest zapewnienie silnych środków bezpieczeństwa w globalnym i otwartym internecie, przed narażeniem Europejczyków na zagrożenia związane z ich bezpieczeństwem i fundamentalnymi prawami. Aby to osiągnąć Komisja Europejska proponuje zastosowanie trzech podstawowych środków działania, czyli inicjatywy regulacyjne, inwestycyjne  i polityczne w zakresie:

  • Odporności, technologicznej suwerenności i przywództwa
  • Zdolności operacyjnej do zapobiegania, odstraszania i reagowania na incydenty naruszenia cyberbezpieczeństwa;
  • Kooperacji w celu rozwoju globalnej i otwartej cyberprzestrzeni

Drugi z proponowanych dokumentów to Dyrektywa w sprawie odporności infrastruktury krytycznej [2], jej głównym założeniem ma być rozwój i poprawa zabezpieczeń najistotniejszych usług społecznych funkcjonujących w cyberprzestrzeni, oraz podmiotów zapewniających te usługi. Poprzednia dyrektywa w zakresie odporności infrastruktury krytycznej dotyczyła jedynie sektora energii oraz transportu. Nowa dyrektywa [2] ma stanowczo rozszerzyć swój zakres działania, obejmując bankowość, infrastrukturę rynku finansowego, zdrowie, wodę pitną, ścieki, infrastrukturę cyfrową, administracje publiczną oraz technologie kosmiczne.

Dyrektywę w sprawie działań na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii [3] często nazywa się Dyrektywą NIS2, ma bowiem stanowić rewizję obowiązującej dziś Dyrektywy NIS. Zmiany proponowane przez Komisję Europejską przewidują zaostrzenie wymogi dotyczące cyberbezpieczeństwa i sprawozdawczości dla przedsiębiorstw. Surowsze wymagania mają również objąć organy państw członkowskich, które w zamyśle Dyrektywy mają zintensyfikować transgraniczną współpracę operacyjną. Podobnie jak w swojej poprzedniczce Dyrektywa NIS2 dużą role przywiązuje do zespołów reagowania na incydenty bezpieczeństwa komputerowego tzw. CSIRT, które za zadanie mają między innymi monitorowanie cyberzagrożeń, podatności i incydentów na poziomie krajowym, wczesne ostrzeganie i alarmowanie podmiotów niezbędnych i istotnych oraz innych zainteresowanych stron o cyberzagrożeniach, podatnościach i incydentach, a także kierowanie do nich ogłoszeń oraz przekazywanie im informacji dotyczących cyberzagrożeń, podatności i incydentów czy przeprowadzanie, na wniosek podmiotu, aktywnego skanowania sieci i systemów informatycznych wykorzystywanych przez dany podmiot do świadczenia usług. CSIRT mają łączyć się w sieć krajową, która ma przyczyniać się do rozwijania pewności i zaufania oraz promować szybką i skuteczną współpracę operacyjną między państwami członkowskimi.

W celu lepszego zrozumienia celów jakie ma realizować Dyrektywa NIS2 warto przeanalizować przedstawione w projekcie wskaźniki dotyczące realizacji celów. Zgodnie z tymi wskazaniami, sukces wprowadzanych zmian będzie oceniany między innymi poprzez badanie, czy na jej skutek doszło do skrócenia średniego czasu potrzebnego do wykrycia incydentu, jaki jest czas, jakiego organizacje potrzebują przeciętnie do przywrócenia normalnego działania po incydencie, oraz jaki jest średni koszt szkód spowodowanych incydentem. Celem Dyrektywy NIS2 jest również, aby doszło do podniesienia świadomości kadry kierowniczej najwyższego szczebla przedsiębiorstw na temat ryzyka w cyberprzestrzeni, które będzie badane w jakim stopniu przedsiębiorstwa objęte zakresem dyrektywy w sprawie bezpieczeństwa sieci i informacji traktują priorytetowo cyberbezpieczeństwo w swoich wewnętrznych politykach i procesach, co można ustalić na podstawie dokumentacji wewnętrznej, odpowiednich skierowanych do pracowników programów szkoleń i działań mających na celu podnoszenie świadomości, a także w jakim stopniu traktują one priorytetowo inwestycje w technologie informacyjno-komunikacyjne związane z bezpieczeństwem.

Ostatnim elementem nowego pakietu cyberbezpieczeństwa proponowanego przez Komisję Europejską jest raport na temat wpływu rekomendacji KE z 26 marca 2019 r. na cyberbezpieczeństwo sieci 5G [4]. Raport określa działania, jakie państwa członkowskie powinny podjąć w celu wprowadzenia koniecznych środków bezpieczeństwa w związku z wprowadzeniem sieci 5G. W dokumencie omówiono też dotychczasowe czynności przeprowadzone i wdrożone w celu zapewnienia odpowiedniego poziomu cyberbezpieczeństwa sieci 5G.

Wprowadzenie powyższych regulacji wymusi nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa ta już teraz ma przejść zdecydowaną przemianę na skutek projektowanych zmian z 20 stycznia 2021 r., które jednak budzą duże kontrowersje w związku z zapisami dotyczącymi wprowadzenia w Polsce sieci 5G. Eksperci wskazują bowiem, że projektowane przepisy nie odpowiadają w pełni realiom rynku i są wymierzone w ograniczenie działania Chińskich producentów tej technologii ale to już temat na osobny wpis.

Konrad Lach

Student V roku prawa na Uniwersytecie Śląskim w Katowicach.

W ramach seminarium magisterskiego z prawa gospodarczego przygotowuję pracę pt. „Inwestycje transportowe realizowane w trybie Partnerstwa Publiczno-Prywatnego w Europie”.

Dotychczasowe doświadczenie zdobywał na gruncie prawa administracyjnego oraz prawa zamówień publicznych. Na co dzień zajmuje się również wsparciem Kancelarii w realizacji bieżących zadań z zakresu obsługi inwestycji infrastrukturalnych.

Interesuje się szeroko pojętym prawem gospodarczym oraz zagadnieniami prawnymi w obszarze implementacji nowych technologii.

W wolnym czasie pasjonat gry w piłkę nożną oraz gier wideo.