W UE trwa wielki proces prawnego regulowania różnych kwestii związanych z cyberbezpieczeństwem. Unijni prawodawcy zakładają bowiem, że obowiązek dbałości o bezpieczeństwo systemów informatycznych powinien wynikać bezpośrednio z regulacji prawnych.
Kluczowym punktem tych regulacji jest nowa unijna dyrektywa, zwana dyrektywą NIS2 - jej pełna nazwa to dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80) [NIS2].
O dyrektywie NIS2 pisałem na blogu już kilka razy:
Jednym z obowiązków, który wynika z dyrektywy NIS2 jest konieczność obsługi incydentów z zakresu cyberbezpieczeństwa
Czym jest incydent w rozumieniu dyrektywy NIS2
Incydentem z zakresu cyberbezpieczeństwa jest zdarzenie, które narusza:
dostępność,
autentyczność,
integralność,
poufność,
przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem.
Jeżeli więc jakiś podmiot ważny albo kluczowy:
przechowuje, przesyła albo przetwarza jakieś dane za pomocą sieci lub systemów informatycznych,
świadczy usługi za pomocą sieci i systemów informatycznych,
i dojdzie do naruszenia bezpieczeństwa tych danych lub usług, np. poprzez naruszenie ich poufności (uzyskanie dostępu przez jakieś osoby niepowołane, upublicznienie ich w Internecie itp) albo np. czasową utratę dostępności do nich, to mamy do czynienia z incydentem w rozumieniu przepisów dyrektywy NIS2.
To stosunkowo niewiele aby uznać, że doszło do incydentu.
Co trzeba zrobić w przypadku wystąpienia incydentu w zakresie cyberbezpieczeństwa?
Podmioty ważne i kluczowe muszą prowadzić działania mające na celu zapobieganie incydentom w zakresie cyberbezpieczeństwa - tak aby występowało ich jak najmniej.
NIS2 wskazuje, że musimy "obsługiwać incydenty" - zapobiegać im, wykrywać je i analizować ich konsekwencje. Powinniśmy przy tym próbować ograniczyć występowanie incydentu i ewentualnych negatywnych skutków. Elementem obsługi incydentów jest również wdrożenie odpowiednich procedur, które wskazują co musi zrobić organizacja w przypadku pojawienia się takiego incydentu.
Z każdego incydentu powinniśmy wyciągać wnioski i prowadzić na tej podstawie działania zwiększające poziom cyberbezpieczeństwa.
Dodatkowo, niektóre incydenty wymagają również zgłaszania ich do CSIRT (Computer Security Incident Response Team).
Incydenty poważne w rozumieniu NIS2
Obowiązek zgłaszania incydentów do CSIRT dotyczy tylko tzw. poważnych incydentów.
Poważne incydenty to takie, które mają istotny wpływ na świadczenie przez usług przez podmiot ważny lub kluczowy.
NIS2 precyzuje, że poważnymi incydentami są incydenty, które:
powodują lub mogą spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;
wpływają lub są w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.
To dość ogólne przesłanki.
Na szczęście 17 października 2024 r. ukazało się rozporządzenie wykonawcze Komisji Europejskiej ustanawiające zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania.
Nazwa jest bardzo długa - ja będę je nazywał w skrócie rozporządzeniem Komisji).
Rozporządzenie Komisji rozwija definicję poważnych incydentów z NIS2.
Komisja uznała, że incydent uznaje się za poważny, jeżeli zostanie spełnione co najmniej jedno z następujących kryteriów:
Incydent spowodował lub może spowodować stratę finansową dla danego podmiotu, która przekracza 500 000 EUR lub 5% całkowitego rocznego obrotu danego podmiotu w poprzednim roku obrotowym, w zależności od tego, która z tych wartości jest niższa;
Incydent spowodował lub może spowodować wyciek tajemnic przedsiębiorstwa danego podmiotu;
Incydent spowodował lub może spowodować śmierć osoby fizycznej;
incydent spowodował lub może spowodować znaczny uszczerbek na zdrowiu osoby fizycznej;
miał miejsce skuteczny, prawdopodobnie złośliwy i nieuprawniony dostęp do sieci i systemów informatycznych, który może spowodować poważne zakłócenia operacyjne;
doszło do kilku incydentów, pojedynczo nieuznawanych za poważne, które wystąpiły co najmniej 2 razy w ciągu 6 miesięcy, mają tę samą widoczną podstawową przyczynę i spowodowały lub mogą spowodować stratę finansową dla danego podmiotu, która przekracza 500 000 EUR i 5% całkowitego rocznego obrotu danego podmiotu w poprzednim roku obrotowym;
incydent spełnia co najmniej jedno z kryteriów określonych w art. 5-14 rozporządzenia - opisałem je w tabeli powyżej.
Dalsze kryteria ustalenia charakteru incydentu, o których mowa w pkt 7 powyżej dotyczą poszczególnych rodzajów podmiotów podlegających przepisom NIS2. Zebraliśmy je w poniższej tabeli:
Rodzaj podmiotu | Kryteria (do uznania za incydent poważny wystarczy spełnienie co najmniej jednego z nich) |
Dostawcy usług DNS |
|
Rejestry nazw TLD |
|
Dostawcy usług chmurowych |
|
Dostawcy usługi ośrodka przetwarzania danych |
|
Dostawcy sieci dostarczania treści |
|
Dostawcy internetowych platform handlowych |
|
Dostawcy wyszukiwarek internetowych |
|
Dostawcy platform usług sieci społecznościowych |
|
Dostawcy usług zaufania |
|
Jak widzisz, Komisja zdecydowanie uszczegółowiła pojęcie incydentów poważnych.
Co ważne - aby weryfikować to, że doszło do wystąpienia poważnego incydentu, musimy być w stanie sprawdzić np. ilu użytkowników odczuło jego skutki albo jak długo utrzymywały się skutki incydentu. To wymusza szczegółowe monitorowanie stanu usługi, realizowane na bieżąco. Dotyczy to w szczególności incydentów poważnych występujących w organizacjach działających w ramach konkretnych sektorów, opisanych w tabeli powyżej.
Co robić w przypadku wystąpienia incydentu poważnego?
Pamiętaj, że incydenty o charakterze poważnym należy zgłosić do właściwego CSIRT. Incydenty należy zgłaszać bez zbędnej zwłoki, w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie (jest to tzw. wczesne ostrzeżenie, w którym wskazuje się wstępnie określone przyczyny wystąpienia incydentu i ewentualny wpływ transgraniczny),
Następnie w ciągu 72 godzin należy dokonać zgłoszenia z aktualizacją informacji i ze wskazaniem wstępnej oceny incydentu oraz jego skutków.
Podsumowanie
Chociaż termin na implementację dyrektywy NIS2 minął 18 października, w Polsce brakuje odpowiednich przepisów. Dyrektywa NIS2 ma zostać implementowana do naszego porządku prawnego poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Na dzień sporządzenia niniejszej notatki projekt znowelizowanej ustawy jest już gotowy, jednak nie trafił jeszcze do Sejmu. Ze strony internetowej Ministerstwa Cyfryzacji dowiadujemy się, że skierowanie projektu ustawy do prac w Sejmie jest planowane do końca roku.
Jeżeli potrzebujesz prawnego wsparcia w ustaleniu, czy w ramach Twojej organizacji doszło do wystąpienia poważnego incydentu, skontaktuj się z nami. Możesz to zrobić, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego na www.bytelaw.pl.
Comments