KSC implementował unijną dyrektywę NIS do polskiego porządku prawnego. A jak to zrobiły inne państwa Unii Europejskiej?
W Polsce toczy się ostatnio burzliwa dyskusja na temat nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Ten akt prawny implementował unijną dyrektywę NIS do polskiego porządku prawnego. Jak w takim razie unijne prawo zostało zaimplementowane przez inne państwa Unii Europejskiej?
Dyrektywa Network and Information Systems (NIS) została przyjęta w 2016 roku i była pierwszym europejskim prawem w zakresie cyberbezpieczeństwa. Nałożyła na państwa członkowskie szereg obowiązków, między innymi wymagając od nich powołania konkretnych instytucji oraz wprowadzenia mechanizmów współpracy. Nowe prawo zobowiązało państwa członkowskie do zagwarantowania minimalnego poziomu krajowych zdolności w dziedzinie bezpieczeństwa teleinformatycznego. Tekst dokumentu koncentrował się na trzech głównych filarach:
- Instytucjach, które powinny powstać we wszystkich państwach członkowskich;
- Współpracy na poziomie europejskim;
- Zobowiązaniach w zakresie bezpieczeństwa sieci i informacji.
Dyrektywa jest aktem prawa unijnego, i jako taka zobowiązuje państwa członkowskie do wprowadzenie określonych regulacji prawnych, tak aby uzyskać zakładany cel, który jest identyczny dla wszystkich, ale środki i narzędzia są już wybierane osobno przez poszczególne państwa. Dokument został zaadresowany do dwóch kategorii organizacji:
- Operatorów usług kluczowych (operators of essential services) w następujących sektorach: energii, transportu, bankowości, infrastrukturze rynków finansowych, zdrowia, wody, infrastruktury informatycznej,
- Dostawców usług cyfrowych (digital services providers), czyli cyfrowych przedsiębiorstw, które są uznawane za ważne dla cyberbezpieczeństwa oraz tych określanych mianem cyfrowych rynków sprzedających swoje produkty w sieci.
Niemcy
Największe państwo Unii Europejskiej implementowało dyrektywę dość wcześnie, bo już 30 czerwca 2017 roku. Wdrożenie odbyło się poprzez nowelizację ustawy o Federalnym Urzędzie Bezpieczeństwa Informacyjnego, ustawy o energii atomowej, ustawy o energii oraz ustawy telekomunikacyjnej. Definicja dostawcy usług kluczowych została przedstawiona w ustawie o bezpieczeństwie informacyjnym oraz wyznaczono w niej wymagania dla nich związane z bezpieczeństwem i raportowaniem incydentów. Główne wymagania zawarte w dyrektywie NIS zostały wcześniej wdrożone do niemieckiego porządku prawnego przez ustawę o bezpieczeństwie IT w 2015 roku. Dlatego też zmiany wprowadzone w Niemczech przez dyrektywę NIS były relatywnie niewielkie.
Niemiecki regulator wyznaczył kryteria do identyfikacji operatorów usług kluczowych w następujących obszarach:
- Finanse i ubezpieczenia,
- Zdrowie,
- Transport,
- Energia,
- IT i telekomunikacja,
- Woda,
- Żywność.
Jeżeli chodzi o mechanizm informowania o incydentach to wygląda on w następujący sposób. Operatorzy infrastruktury krytycznej muszą natychmiast poinformować Federalny Urząd Bezpieczeństwa Informacyjnego (FOIS) o zakłóceniach i poważnych zakłóceniach w dostępności, integralności, poufności oraz autentyczności systemów IT, które mogą doprowadzić do problemów z działaniem infrastruktury krytycznej. Operatorzy usług cyfrowych muszą też natychmiast informować FOIS o wszystkich incydentach, które mają znaczący wpływ na oferowane przez nich usługi. Jeżeli jednak dostawca nie ma wystarczającego dostępu do informacji, wtedy próbuje dokonać oceny wpływu takiego incydentu bezpieczeństwa.
Niemcy przewidziały karty administracyjne w wysokości do 50 tys. euro dla operatorów usług kluczowych za zaniedbania w poprawnym wdrożeniu środków technicznych i operacyjnych, ukierunkowanych na zapobieganie zakłóceniom. Karany ma być również brak utworzenia punktu kontaktowego w odpowiednim czasie oraz niepoinformowanie o incydencie. Dostawcy usług cyfrowych mogą zaś zostać ukarani za brak wdrożenia odpowiednich środków technicznych i organizacyjnych w celu przeciwdziałania ryzyku bezpieczeństwa oraz za niewłaściwe poinformowanie o tym odpowiednich struktur.
Główną strukturą odpowiedzialną za bezpieczeństwo informacyjne na poziomie federalnym jest wspomniane już FOIS, które podlega niemieckiemu Ministerstwu Spraw Wewnętrznych.
Niemcy planują w najbliższym czasie nowelizację ustawy o FOIS. Ma ona rozszerzyć zakres definiowania operatorów infrastruktury krytycznej włączając w to producentów i dostawców sprzętu, tak, aby chronić cały łańcuch dostaw. Dodatkowo planuje się poszerzyć sektory infrastruktury krytycznej o chemiczny i motoryzacyjny. FOIS ma również zostać wzmocnione i otrzymać prerogatywy pozwalające na lepszą ochronę konsumentów oraz rozszerzenie ich systemu ostrzegania.
Francja
Wdrożenie unijnego aktu prawnego w przypadku Paryża wyglądało inaczej. Pełna implementacja dyrektywy NIS nastąpiła dopiero 1 października 2018 roku i odbyła się ona za pomocą szeregu aktów prawnych: dekretu oraz 3 decyzji ministra. Dekret dotyczył bezpieczeństwa sieci i systemów informatycznych operatorów usług cyfrowych. Decyzje ministra określały m.in. zasady bezpieczeństwa oraz koszty przeprowadzania audytów przez National Agency for the Security of Information Systems, która jest głównym ciałem odpowiedzialnym za cyberbezpieczeństwo.
Jeżeli chodzi o wyznaczenie sektorów, za które odpowiedzialni są operatorzy usług kluczowych to Francuzi wskazali :
- Cywilną i wojskową działalność państwa,
- Wymiar sprawiedliwości,
- Żywność,
- Elektronikę, przekazy audiowizualne,
- Energię,
- Przestrzeń i badania,
- Finanse,
- Zarządzanie zasobami wodnymi,
- Przemysł,
- Zdrowie,
Lista ta jest o wiele szersza niż w przypadku Niemiec, ale też bardziej ogólna. Francuzi zdefiniowali też dokładnie, jakie kryteria muszą spełnić podmioty, aby zostać uznanym za operatorów usług kluczowych:
- Liczba użytkowników uzależnionych od danej usługi;
- Zależność kluczowych sektorów od tej usługi;
- Udział w rynku;
- Konsekwencje,jakie potencjalny incydent bezpieczeństwa może mieć na gospodarkę, społeczeństwo i bezpieczeństwo publiczne;
- Zasięg geograficzny, jaki może mieć potencjalny incydent;
- Możliwość zaoferowania alternatywnych rozwiązań, jeżeli dana usługa zostanie wyłączona.
Operatorzy są wyznaczani przez premiera, jeżeli jednak podmiot pełni ważne usługi dla kilku państw członkowskich, to jego wyznaczenie poprzedzą konsultacje z nimi. Muszą oni również mianować swoich przedstawicieli do National Agency for the Security of Information Systems (ANISSI), która jest francuskim punktem kontaktowym.
Jeżeli chodzi o system raportowania francuscy operatorzy usług kluczowych muszą powiadomić ANSSI o każdym incydencie, który może w poważny sposób wpłynąć na bezpieczeństwo sieci i systemów informacyjnych. Powiadomienie można wysłać pocztą albo poprzez środki elektroniczne. Formularz wypełniania takiego zgłoszenia dostępny jest w Internecie. Również dostawcy usług cyfrowych muszą raportować na temat incydentów bezpieczeństwa w taki sam sposobów jak operatorzy usług kluczowych. Operatorzy muszą również przesłać ANSSI listę sieci i systemów informacyjnych razem z ich opisem, charakterystyką technologiczną oraz środkami zapewnienia bezpieczeństwa.
Francuzi przewidzieli kary dla operatorów usług kluczowych za niedostosowanie się do nowych przepisów. Dyrektorzy, którzy nie dostosują się do nowych regulacji bezpieczeństwa mogą zostać ukarani karą nawet 100 tys. euro. Osoby, które nie poinformują o incydencie będą musiały zapłacić karą w wysokości 75 tys., a ci którzy przeszkadzają w prowadzeniu śledztwa mogą zostać ukarani grzywną w wysokości 125 tys. Przewidziano również kary dla dostawców usług cyfrowych, różnią się tylko wysokością kwoty. Można odpowiednio zostać ukaranym w wysokości 75 tys. euro, 50 tys. i 100 tys. Główną rolę odgrywa tutaj agencja ANISSI, która może prowadzić śledztwa oraz wymagać od podmiotów spełnienia zasad bezpieczeństwa. Paryż na razie nie stworzył kompleksowych planów reformy prawa jak zostało to zrobione w przypadku Niemiec.
Niderlandy
Analizując sposoby wprowadzenia dyrektywy NIS do porządku prawnego państw członkowskich warto zająć się też innymi państwami niż dwa największe należące do UE. Jednym z nich są Niderlandy, które słyną z wysokiego poziomu cyfryzacji i cyberbezpieczeństwa. Dyrektywa została wdrożona 9 listopada 2018 poprzez ustawę o nazwie Network and Information Security Act. Podobnie jak w przypadku Niemiec i Francji wyodrębniono szereg obszarów, za które odpowiedzialni są operatorzy usług kluczowych. Wśród nich znalazły się:
- Energia,
- Transport,
- Bankowość,
- Rynki finansowe,
- Dostawy wody pitnej,
- Infrastruktura cyfrowa.
Ciekawą kwestią jest fakt, że nie zaliczono do tych obszarów sektora medycznego, który przez holenderski rząd został uznany, jako nienarażony na wysokie ryzyko. Trzeba też podkreślić, że w Holandii jest on zdecentralizowany.
Operatorzy usług krytycznych muszą natychmiast powiadomić National Cyber Security Center na temat incydentów, które mogą mieć poważne konsekwencje dla ciągłości działania kluczowych serwisów, przełamania zabezpieczeń sieci i systemów informacyjnych, co może mieć poważne konsekwencje dla ciągłości działania usług krytycznych.
Dostarczyciele usług cyfrowych muszą raportować o każdym incydencie, który może mieć wpływ na ciągłość działania kluczowych usług. Informują jednak oni Ministerstwo Spraw Gospodarczych i Polityki Klimatycznej oraz Holenderską Agencję Radiokomunikacyjną. Holendrzy przewidzieli również o wiele większe kary za naruszenia niż Francja i Niemcy. Maksymalna kara przewidziana to 5 milionów euro za wykryte naruszenie w implementacji dyrektywy przez operatorów usług kluczowych i dostawców usług cyfrowych. Maksymalna kara w wysokości miliona euro może zostać nałożona za odmowę współpracy z National Cyber Security Centre i innymi organami władzy.
Estonia
Analiza porównująca wdrożenie dyrektywy NIS byłaby niekompletna bez uwzględnienia Estonii, która uważana jest za lidera cyfryzacji w Unii Europejskiej. Dyrektywa została zaimplementowana poprzez ustawę o cyberbezpieczeństwie. Estonia wyodrębniła następujące sektory usług kluczowych:
- Koleje,
- Lotnictwo,
- Porty,
- Firmy komunikacje dostarczające usługi światłowodowe dla więcej niż 10 tysięcy użytkowników końcowych,
- Właścicieli szpitali centralnych i regionalnych,
- Dostarczycieli komunikacji o krytycznym znaczeniu, morskiej komunikacji radiowej o operacji,
- Lekarze rodzinni,
- Administratorzy wybranych domen,
- Estoński Nadawca Publiczny.
Estońskie prawo mówi, że tylko ci dostawcy usług operujących w wyżej wymienionych sektorach mogą zostać uznani za operatorów usług kluczowych. Usługi kluczowe zostały zdefiniowane w Emergency Act i są to usługi, które mają wpływ na funkcjonowanie społeczeństwa i których przerwa w działaniu może stanowić zagrożenie dla zdrowia i życia ludzi lub wpłynąć na działanie innych usług kluczowych. Emergency Act wymienił 14 kategorii usług kluczowych, ale lista ta nie została upubliczniona.
Dostawcy usług cyfrowych muszą w przeciągu 24 godzin od czasu wykrycia incydentu poinformować odpowiedni organ – the Information System Authority (ISA) o incydencie cyberbezpieczeństwa, który ma znaczący wpływ na bezpieczeństwo systemu lub ciągłość świadczenia usług. Dodatkowo dostawcy muszą poinformować w rozsądnym okresie czasu osoby, który zostały poszkodowane w wyniku incydentów lub jeżeli nie ma takiej możliwości poinformować opinię publiczną. Estończycy przewidzieli jednak niewielkie kary (do 20 tys euro) za zaniedbania w implementacji dyrektywy.
Przykłady tych czterech państw pokazują, że każde z nich inaczej wprowadziło dyrektywę NIS do swojego porządku prawnego. Widzimy wiele podobieństw między nimi i jest to oczywiste, w końcu mówimy o dokumencie Unii Europejskiej, ale też występują znaczne różnice, jak np. w wysokości kar czy sposobie raportowania incydentów. Niewątpliwe doświadczenia z implementacji tego dokumentu zostaną wykorzystane przy pracach nad dyrektywą NIS2.