Cyberbezpieczeństwo Polski

Dyrektywa NIS zatwierdzona. Firmy muszą zastosować się do wymogów.

06.07.2016 r. Parlament Europejski przyjął dyrektywę w sprawie bezpieczeństwa sieci i informacji NIS. Jest to pierwsze w historii UE prawo, które ma zapewnić wysoki wspólny poziom bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. NIS ma również poprawić poziom współpracy między członkami Zjednoczonej Europy. 

Skomasowane ataki na bezpieczeństwo komputerowe bardzo często mają charakter transgraniczny. Ta dyrektywa ustanawia wspólny poziom bezpieczeństwa sieci i informacji oraz wzmacnia współpracę między członkami UE, która pomoże zapobiegać w przyszłości cyberatakom na wzajemnie ze sobą powiązane,  europejskie systemy.

Do kogo jest skierowana?

Nowe unijne przepisy nakładają obowiązki na tzw. “operatorów usług kluczowych”, to znaczy firm działających w krytycznych branżach takich, jak: energia, transport, bankowość i ochrona zdrowia oraz usługi cyfrowe (wyszukiwarki, przechowywanie danych w chmurze). „Operatorzy kluczowi” to podmioty działające w kluczowych sektorach gospodarki, a także istotne dla  społeczeństwa i tych powodów wymagające szczególnej ochrony. Firmy te będą musiały spełnić nowe unijne standardy dotyczące wytrzymałości ich systemów na ataki hakerów.

Państwa członkowskie UE będą miały obowiązek zidentyfikować działające w tych dziedzinach podmioty, kierując się określonymi w dyrektywie kryteriami. Na liście znajdą się na przykład podmioty u których występujące incydenty w dziedzinie bezpieczeństwa sieci miałby “istotny skutek zakłócający dla świadczenia tej usługi”. Poza tym niektórzy usługodawcy nieuznani za “kluczowych” będą zobowiązani do zapewnienia bezpieczeństwa swojej infrastruktury i zgłaszania poważnych incydentów organom krajowym. Niektórzy usługodawcy internetowi, choć nieuznani za kluczowych (operatorzy platform handlowych, wyszukiwarek i usług w chmurze) również będą zobowiązani, choć w mniejszym stopniu, do zapewnienia bezpieczeństwa swojej infrastruktury i zgłaszania poważnych incydentów organom krajowym. Mikro i małe przedsiębiorstwa będą zwolnione z tych wymogów.

Zasady idą „od góry”

Każdy kraj UE będzie zobowiązany do przyjęcia krajowej strategii bezpieczeństwa sieci i informacji. Powstaną strategiczne „grupy współpracy” w celu wymiany informacji i wspierania państw członkowskich w budowaniu potencjału bezpieczeństwa sieci i systemów informatycznych. Państwa członkowskie będą musiały także utworzyć Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA) będzie odgrywać kluczową rolę we wdrażaniu dyrektywy, w szczególności w zakresie koordynowania współpracy między państwami w ramach sieci CSIRT.

Dyrektywa wkrótce zostanie opublikowana w Dzienniku Urzędowym UE i wejdzie w życie dwudziestego dnia po opublikowaniu. Począwszy od tego momentu państwa członkowskie będą miały 21 miesięcy na wdrożenie postanowień dyrektywy do prawa krajowego i dodatkowe sześć miesięcy na opracowanie spisu operatorów usług kluczowych.

[button font_size=”15″ color=”#g9232p” text_color=”#ffffff” icon=”umbrella” url=”http://www.netcomplex.pl/blog/ustawa-o-cyberbezpieczenstwie-gotowa-do-konca-roku/” width=”” target=”_blank”]Ustawa o cyberbezpieczeństwie Polski[/button]




Dodaj komentarz

avatar
  Subscribe  
Powiadom o