Bezpieczeństwo systemów teleinformatycznych jest obecnie jedną z kluczowych kwestii o które powinni zadbać operatorzy i dostawcy usług cyfrowych. Wprowadzona w tym celu dyrektywa NIS określa założenia prowadzące do osiągniecia ciągłości działania i odpowiedniego poziomu bezpieczeństwa, nakładając nowe obowiązki na podmioty z sektora energetyki, infrastruktury cyfrowej, a także bankowości, ochrony zdrowia i transportu. Polskie firmy zobowiązane do spełniania standardów dyrektywy NIS powinny dostosować się do zapisów Ustawy o krajowym systemie cyberbezpieczeństwa. Jakie wymagania wprowadza dyrektywa NIS i kto musi się do niej dostosować?
Europejskie i unijne standardy dla bezpieczeństwa systemów teleinformatycznych
Przyjęta w 2016 roku dyrektywa NIS jest pierwszym i podstawowym europejskim prawem w zakresie cyberbezpieczeństwa, wprowadzającym dla państw członkowskich obowiązki związane z dbałością o bezpieczeństwo systemów teleinformatycznych. Wymagania dyrektywy wskazują w szczególności na potrzebę zagwarantowania minimalnego poziomu krajowych zdolności w dziedzinie bezpieczeństwa teleinformatycznego przez stworzenie scentralizowanego systemu krajowego lub podzielenie kompetencji w zakresie ochrony pomiędzy różne, niezależne podmioty. W związku z dyrektywą NIS, w Polsce wprowadzona została ustawa o krajowym systemie cyberbezpieczeństwa realizująca założenia dyrektywy unijnej.
Dyrektywa NIS koncentruje swoje wymagania w obrębie trzech filarów: nakreśla instytucje, jakie powinny zostać powołane we wszystkich państwach członkowskich w celu zapewnienia bezpieczeństwa teleinformatycznego, wskazuje na konieczność współpracy na poziomie europejskim, a także definiuje zobowiązania w zakresie bezpieczeństwa sieci i informacji obowiązujące dla operatorów i dostawców usług cyfrowych. Te ostatnie będą interesowały nas najbardziej, przedstawiając konkretne rozwiązania i narzędzia do reagowania na incydenty.
Wymogi dla operatorów i dostawców w dyrektywie NIS
Jednym z podstawowych wyzwań, jakie stoją przed operatorami i dostawcami usług cyfrowych dostosowujących swoje działania do dyrektywy NIS jest zapewnienie odpowiednich środków technicznych do analizy i zarządzania ryzykiem w systemach teleinformatycznych, a także wprowadzenie systematycznej analizy i audytowania zarządzania ryzykiem oraz procedur zarządzania incydentami w zakresie ich identyfikacji i podejmowania działań naprawczych. Konkretne zobowiązania w zakresie bezpieczeństwa sieci i informacji, jakie nakłada dyrektywa NIS są zależne od aneksu dotyczącego konkretnych usługodawców. Operatorzy usług kluczowych korzystają z aneksu II, natomiast dostawcy usług cyfrowych z aneksu III dyrektywy.
Analizując wymienione wyżej aneksy, główne założenia dyrektywy NIS dla operatorów usług kluczowych skupiają się na konieczności oceny ryzyka zagrożeń cyfrowych oraz przyjęcia odpowiednich rozwiązań zapewniających bezpieczeństwo sieci i informacji. Operatorzy powinni zgłaszać odpowiednim organom wszystkie incydenty stanowiące poważne zagrożenie dla bezpieczeństwa teleinformatycznego, z raportami dotyczącymi incydentów o znaczącym wpływie na ciągłość działania operatorów.
Dostawcy usług cyfrowych, zgodnie z dyrektywą NIS, zostali objęci regulacją light touch approach, której założeniem jest kontrola po zaistnieniu incydentu przeprowadzana przez państwo, na terenie którego dostawca ma swoją siedzibę. Ze względu na powyższe nie są oni zobowiązani do regularnego raportowania incydentów i nie podlegają dokładniejszej identyfikacji, z uwagi na międzynarodowy charakter wielu dostawców i obawy, że wprowadzenie ostrzejszych wymagań podzieliłoby cyfrowy rynek europejski.
Kto musi dostosować się do założeń dyrektywy NIS?
Wprowadzając powyższy podział wymagań w dyrektywie NIS na dwa aneksy, odrębne dla dostawców i operatorów, konieczne jest zrozumienie jakie jednostki muszą stosować się do wymagań samej dyrektywy. W ogólnym rozumieniu, operatorzy usług kluczowych to wszystkie podmioty sektora prywatnego i publicznego dostarczające kluczowe usługi zależne od sieci teleinformatycznych. W przypadku wystąpienia incydentów, działanie tych sektorów mogłoby być poważnie zagrożone, stąd potrzeba wprowadzenia zaostrzonych regulacji i raportowania wszystkich incydentów. Do dyrektywy NIS i wymagań aneksu II powinni dopasować się firmy z sektora energetycznego, transportowego, bankowego i finansowego, służby zdrowia, infrastruktury cyfrowej, a także te zajmujące się zaopatrzeniem w wodę. Przez dostawców usług cyfrowych, dla których stosowana jest opisana wcześniej regulacja light touch approach, należy rozumieć serwisy zakupowe, wyszukiwarki internetowe oraz firmy świadczące usługi chmury obliczeniowej.