Transpozycja dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych UE

STRESZCZENIE

W dniu 21 kwietnia 2016 r. Rada Unii Europejskiej opublikowała ostateczną wersję dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych. Chociaż dyrektywa ma zostać formalnie zatwierdzona przez Parlament Europejski latem, sam tekst został uzgodniony przez trzy najważniejsze instytucje europejskie i nie przewiduje się jego zmiany. Państwa członkowskie są zobowiązane do transpozycji dyrektywy do prawa krajowego w ciągu 21 miesięcy od czasu jej przyjęcia. Aby wesprzeć ten proces, w poniższym załączniku przedstawiamy wytyczne dotyczące najlepszych praktyk w zakresie wdrażania aspektów związanych z sektorem technologii i skutecznego uwzględnienia intencji autorów projektu.

Dyrektywa w sprawie bezpieczeństwa sieci i systemów informatycznych UE jest pierwszym ogólnoeuropejskim aktem ustawodawczym dotyczącym bezpieczeństwa cybernetycznego, którego głównymi celami są wzmocnienie organów odpowiedzialnych za bezpieczeństwo cybernetyczne na szczeblu krajowym, lepsza koordynacja między nimi i wprowadzenie wymogów bezpieczeństwa w kluczowych sektorach przemysłu.

Wszelkie krajowe przepisy wykonawcze powinny uwzględniać dwa główne cele dyrektywy: (1) zapewnienie wysokiego poziomu bezpieczeństwa cybernetycznego krajowej infrastruktury krytycznej; (2) ustanowienie skutecznego mechanizmu współpracy między państwami członkowskimi UE sprzyjającego temu celowi. Środki powinny zostać przeznaczone przede wszystkim na osiągnięcie tych dwóch ważnych celów.

W przypadku sektora technologii szczególne znaczenie mają przepisy dotyczące tzw. dostawców usług cyfrowych. W dyrektywie jasno określono, że między operatorami usług kluczowych a dostawcami usług cyfrowych występują podstawowe różnice. Dostawców usług cyfrowych nie uznaje się za infrastrukturę krytyczną. Zgodnie z przepisami incydentowi zakłócającemu usługi cyfrowe jest przypisany znacznie mniejszy poziom ryzyka dla bezpieczeństwa gospodarczego i publicznego danego kraju. Utrzymanie tego rozróżnienia ma kluczowe znaczenie dla skutecznego wykorzystania niewielkich zasobów organów, które będą odpowiedzialne za nadzorowanie i egzekwowanie przepisów.

W konsekwencji zalecamy zwrócenie szczególnej uwagi na zamierzony zakres przedmiotowy usług oraz wezwanie decydentów do nieuwzględniania w przepisach krajowych sektorów innych niż określone jako dostawcy usług cyfrowych lub operatorzy usług kluczowych.

W kwestii jurysdykcji dostawcy usług cyfrowych powinni podlegać prawu obowiązującemu w kraju swojej głównej jednostki organizacyjnej, nawet w przypadkach zaangażowania właściwych organów z więcej niż jednego kraju. W kwestii kontroli właściwe organy powinny stosować podejście ex-post w miejsce narzucania ogólnego obowiązku nadzorowania dostawców usług cyfrowych. Ponadto powinny skoncentrować się na wynikach i utrzymać rozróżnienie między operatorami usług kluczowych a dostawcami usług cyfrowych, powstrzymując się od nakładania na tych drugich wymogów nieprzewidzianych w dyrektywie, takich jak audyt i wiążące instrukcje.

Środki bezpieczeństwa dotyczące dostawców usług cyfrowych powinny różnić się od środków przewidzianych dla operatorów usług kluczowych, mając na uwadze, że zgodnie z dyrektywą podlegają oni zdecydowanie mniejszemu ryzyku dla bezpieczeństwa. Decydenci powinni mieć świadomość celu harmonizacji tych usług, uznawać istniejące międzynarodowe normy obowiązujące w sektorze, unikać nakładania uprawnień technologicznych i przestrzegać przewidzianego w dyrektywie prawa dostawców usług cyfrowych do określania środków bezpieczeństwa najbardziej odpowiednich dla ich systemów. Zgłaszanie incydentów również należy możliwie jak najbardziej zharmonizować na szczeblu europejskim. Powinno ono koncentrować się na incydentach mających wpływ na ciągłość usługi, odbywać się w poszanowaniu elastyczności w kwestii czasu zgłaszania i stwarzać godne zaufania środowisko, które zachęca do wymiany informacji bez narażania zgłaszającego na większą odpowiedzialność.

Środki nałożone na operatorów usług kluczowych będą miały również wpływ na inne sektory i, podobnie jak środki bezpieczeństwa oraz zgłaszanie incydentów, znajdą odzwierciedlenie w postanowieniach umownych. Dotyczy to w szczególności usług w chmurze. W konsekwencji dostawcy usług cyfrowych mogą pośrednio podlegać przepisom krajowym swoich klientów, stąd duże zainteresowanie możliwością stosowania do tych usług środków bezpieczeństwa o międzynarodowym uznaniu. Proponujemy również możliwie jak największy stopień koordynacji i synergii między wymogami dotyczącymi zgłaszania, zarówno wobec operatorów usług kluczowych, jak i dostawców usług cyfrowych , mając na uwadze, że ci ostatni mogą być przedmiotem podwójnego zgłoszenia.

Dyrektywa stawia sobie za cel osiągnięcie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych dla poprawy funkcjonowania rynku wewnętrznego. Aby osiągnąć ten ambitny cel, organy krajowe odpowiedzialne za transpozycję powinny przyjąć międzynarodowe, zharmonizowane podejście oparte na ocenie ryzyka, które zapewnia podmiotom z sektora prywatnego elastyczność w dostosowywaniu się do nieustannie zmieniającego się charakteru zagrożeń, umożliwia organom odpowiedzialnym za bezpieczeństwo cybernetyczne skierowanie ograniczonych zasobów na najbardziej kluczowe wyzwania i uznaje potrzebę znalezienia globalnego rozwiązania dla problemu o charakterze ponadgranicznym. Mamy nadzieję, że niniejsze wytyczne okażą się przydatne w dążeniu do tego celu i z chęcią odpowiemy na wszelkie pytania.