06.07.2016 r. Parlament Europejski przyjął dyrektywę (Dyrektywa NIS) w sprawie bezpieczeństwa sieci i informacji NIS. Jest to pierwsze w historii UE prawo, które ma zapewnić wysoki wspólny poziom bezpieczeństwa sieci. NIS ma również poprawić poziom współpracy między członkami Zjednoczonej Europy.
Skomasowane ataki na bezpieczeństwo komputerowe bardzo często mają charakter transgraniczny. Ta dyrektywa ustanawia wspólny poziom bezpieczeństwa sieci i informacji oraz wzmacnia współpracę między członkami UE, która pomoże zapobiegać w przyszłości cyberatakom na wzajemnie ze sobą powiązane, europejskie systemy.
Do kogo jest skierowana Dyrektywa NIS?
Nowe unijne przepisy nakładają obowiązki na tzw. “operatorów usług kluczowych”, to znaczy firm działających w krytycznych branżach takich, jak: energia, transport, bankowość i ochrona zdrowia oraz usługi cyfrowe (wyszukiwarki, przechowywanie danych w chmurze). “Operatorzy kluczowi” to podmioty działające w kluczowych sektorach gospodarki, a także istotne dla społeczeństwa i tych powodów wymagające szczególnej ochrony. Firmy te będą musiały spełnić nowe unijne standardy dotyczące wytrzymałości ich systemów na ataki hakerów.
Państwa członkowskie UE będą miały obowiązek zidentyfikować działające w tych dziedzinach podmioty, kierując się określonymi w dyrektywie kryteriami. Na liście znajdą się np. Podmioty u których występujące incydenty w dziedzinie bezpieczeństwa sieci miałby “istotny skutek zakłócający dla świadczenia tej usługi”. Poza tym niektórzy usługodawcy nieuznani za “kluczowych” będą zobowiązani do zapewnienia bezpieczeństwa swojej infrastruktury i zgłaszania poważnych incydentów organom krajowym. Mikro i małe przedsiębiorstwa będą zwolnione z tych wymogów.
Zasady idą “od góry”
Każdy kraj UE przyjmie krajową strategię bezpieczeństwa sieci i informacji. Powstaną strategiczne “grupy współpracy” w celu wymiany informacji i wspierania państw członkowskich w budowaniu potencjału bezpieczeństwa sieci i systemów informatycznych. Państwa członkowskie będą musiały także utworzyć Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA) będzie odgrywać kluczową rolę we wdrażaniu dyrektywy, w szczególności w zakresie koordynowania współpracy między państwami w ramach sieci CSIRT.
Dyrektywa wejdzie w życie dwudziestego dnia po opublikowaniu. Począwszy od tego momentu państwa członkowskie będą miały 21 miesięcy na wdrożenie postanowień dyrektywy.
[button font_size=”15″ color=”#g9232p” text_color=”#ffffff” icon=”umbrella” url=”https://www.netcomplex.pl/blog/ustawa-o-cyberbezpieczenstwie-gotowa-do-konca-roku/” width=”” target=”_blank”]Ustawa o cyberbezpieczeństwie Polski[/button]
Redaktorka Net Complex Blog