Kwestie cyberbezpieczeństwa mają dzisiaj szczególne znaczenie. Właśnie dlatego Parlament Europejski przyjął dyrektywę NIS. Co warto wiedzieć na temat tej dyrektywy unijnej?
Czym jest dyrektywa NIS?
Dyrektywa NIS (Network and Information Systems Directive) jest unijnym aktem prawnym, który dotyczy cyberbezpieczeństwa, a dokładnie bezpieczeństwa informacji i sieci. Pełna nazwa tego aktu prawnego to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 roku w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.
W Polsce aktem prawnym wdrażającym dyrektywę jest Ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560). Obowiązuje ona od 28 sierpnia 2018. Od 2020 roku trwają pracę nad udoskonaloną wersją dyrektywy określaną jako NIS 2, która ma zastąpić dyrektywę NIS. Precyzuje ona przepisy, a także pozwala na ujednolicenie zasad związanych z bezpieczeństwem w krajach członkowskich.
Dyrektywa NIS – od kiedy obowiązuje?
Akt prawny został przyjęty 6 lipca 2016 roku. W Polsce zapisy dyrektywy obowiązują na bazie wspomnianej wcześniej Ustawy z 2018 roku.
Co reguluje dyrektywa NIS?
Opracowana przez Parlament Europejski dyrektywa NIS odnosi się do szeroko pojętego cyberbezpieczeństwa i nakłada ona nowe obowiązki na określone rodzaje podmiotów. Dyrektywa narzuca na państwa członkowskie Unii Europejskiej obowiązek zapewnienia określonego poziomu bezpieczeństwa teleinformatycznego. Na jej podstawie tworzony jest centralny system zabezpieczeń lub można podzielić kompetencje na różne podmioty.
Dyrektywa nakazała powołanie organów odpowiadających za sprawy bezpieczeństwa sieci i informacji, które mają monitorować wdrożenie przepisów. Państwa muszą powołać CSIRT – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego oraz Pojedynczy Punkt Kontaktowy, którego celem jest współpraca z innymi krajami w ramach cyberbezpieczeństwa.
W ramach dyrektywy nowe obowiązki w zakresie cyberbezpieczeństwa nakładane są na operatorów usług kluczowych oraz dostawców usług cyfrowych. Podmioty te są zobowiązane do oceny ryzyka zagrożeń oraz do wdrożenia właściwych środków, by dzięki nim zadbać o bezpieczeństwo informacji oraz sieci. Są one też zobligowane do tego, by zgłaszać zagrożenia.
Kogo dotyczy dyrektywa NIS?
Dyrektywa NIS oraz projekt dyrektywy NIS 2 dotyczą dwóch grup podmiotów określanych jako operatorzy usług kluczowych oraz dostawcy usług cyfrowych. Dyrektywa wyróżnia przy tym dwie kategorie – podmiotów kluczowych, czyli essential entities, a także podmiotów istotnych, czyli important entities.
Operatorami usług kluczowych, inaczej essential entities, są podmioty związane z poniższymi sektorami:
- podmioty publiczne – bankowość
- zdrowie
- sektor energetyczny
- transport
- infrastruktura cyfrowa
- zaopatrzenie w wodę
Natomiast dostawcy usług cyfrowych w kategorii essential entities to firmy, które zajmują się dostawą:
- usług w chmurze
- cloud computing
- centrów danych
- content delivery network
- CDN
- usług łączności elektronicznej
- usług zaufania
Z kolei do kategorii important entities zaliczane są te, których usługi nie są aż tak krytyczne jak w przypadku kategorii essential entities. Są to między innymi operatorzy wyszukiwarek internetowych, platform handlu online, usług pocztowych, podmioty zajmujące się chemikaliami, dostawą żywności, zarządzaniem odpadami.
Jak wdrożyć zapisy dyrektywy NIS?
Podmioty zobowiązane do stosowania się do dyrektywy NIS mogą wdrożyć jej zapisy z pomocą specjalistów, którzy oferują kompleksowe wsparcie w tym obszarze.
Artykuł powstał we współpracy z https://ikgtechnology.org.pl/
