top of page
Zdjęcie autoraMichał Nosowski

Poważne incydenty w rozumieniu NIS2, czyli kiedy incydent wymaga zgłoszenia do CSIRT


pomieszczenie monitoringu


W UE trwa wielki proces prawnego regulowania różnych kwestii związanych z cyberbezpieczeństwem. Unijni prawodawcy zakładają bowiem, że obowiązek dbałości o bezpieczeństwo systemów informatycznych powinien wynikać bezpośrednio z regulacji prawnych.


Kluczowym punktem tych regulacji jest nowa unijna dyrektywa, zwana dyrektywą NIS2 - jej pełna nazwa to dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80) [NIS2].


O dyrektywie NIS2 pisałem na blogu już kilka razy:


Jednym z obowiązków, który wynika z dyrektywy NIS2 jest konieczność obsługi incydentów z zakresu cyberbezpieczeństwa


Czym jest incydent w rozumieniu dyrektywy NIS2


Incydentem z zakresu cyberbezpieczeństwa jest zdarzenie, które narusza:

  • dostępność,

  • autentyczność,

  • integralność,

  • poufność,

przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem.


Jeżeli więc jakiś podmiot ważny albo kluczowy:

  • przechowuje, przesyła albo przetwarza jakieś dane za pomocą sieci lub systemów informatycznych,

  • świadczy usługi za pomocą sieci i systemów informatycznych,

i dojdzie do naruszenia bezpieczeństwa tych danych lub usług, np. poprzez naruszenie ich poufności (uzyskanie dostępu przez jakieś osoby niepowołane, upublicznienie ich w Internecie itp) albo np. czasową utratę dostępności do nich, to mamy do czynienia z incydentem w rozumieniu przepisów dyrektywy NIS2.


To stosunkowo niewiele aby uznać, że doszło do incydentu.


Co trzeba zrobić w przypadku wystąpienia incydentu w zakresie cyberbezpieczeństwa?


Podmioty ważne i kluczowe muszą prowadzić działania mające na celu zapobieganie incydentom w zakresie cyberbezpieczeństwa - tak aby występowało ich jak najmniej.

NIS2 wskazuje, że musimy "obsługiwać incydenty" - zapobiegać im, wykrywać je i analizować ich konsekwencje. Powinniśmy przy tym próbować ograniczyć występowanie incydentu i ewentualnych negatywnych skutków. Elementem obsługi incydentów jest również wdrożenie odpowiednich procedur, które wskazują co musi zrobić organizacja w przypadku pojawienia się takiego incydentu.


Z każdego incydentu powinniśmy wyciągać wnioski i prowadzić na tej podstawie działania zwiększające poziom cyberbezpieczeństwa.


Dodatkowo, niektóre incydenty wymagają również zgłaszania ich do CSIRT (Computer Security Incident Response Team).



kod do drzwi


Incydenty poważne w rozumieniu NIS2


Obowiązek zgłaszania incydentów do CSIRT dotyczy tylko tzw. poważnych incydentów.


Poważne incydenty to takie, które mają istotny wpływ na świadczenie przez usług przez podmiot ważny lub kluczowy.

NIS2 precyzuje, że poważnymi incydentami są incydenty, które:

  • powodują lub mogą spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;

  • wpływają lub są w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.


To dość ogólne przesłanki.


Na szczęście 17 października 2024 r. ukazało się rozporządzenie wykonawcze Komisji Europejskiej ustanawiające zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania.


Nazwa jest bardzo długa - ja będę je nazywał w skrócie rozporządzeniem Komisji).


Rozporządzenie Komisji rozwija definicję poważnych incydentów z NIS2.


Komisja uznała, że incydent uznaje się za poważny, jeżeli zostanie spełnione co najmniej jedno z następujących kryteriów:

  1. Incydent spowodował lub może spowodować stratę finansową dla danego podmiotu, która przekracza 500 000 EUR lub 5% całkowitego rocznego obrotu danego podmiotu w poprzednim roku obrotowym, w zależności od tego, która z tych wartości jest niższa;

  2. Incydent spowodował lub może spowodować wyciek tajemnic przedsiębiorstwa danego podmiotu;

  3. Incydent spowodował lub może spowodować śmierć osoby fizycznej;

  4. incydent spowodował lub może spowodować znaczny uszczerbek na zdrowiu osoby fizycznej;

  5. miał miejsce skuteczny, prawdopodobnie złośliwy i nieuprawniony dostęp do sieci i systemów informatycznych, który może spowodować poważne zakłócenia operacyjne;

  6. doszło do kilku incydentów, pojedynczo nieuznawanych za poważne, które wystąpiły co najmniej 2 razy w ciągu 6 miesięcy, mają tę samą widoczną podstawową przyczynę i spowodowały lub mogą spowodować stratę finansową dla danego podmiotu, która przekracza 500 000 EUR i 5% całkowitego rocznego obrotu danego podmiotu w poprzednim roku obrotowym;

  7. incydent spełnia co najmniej jedno z kryteriów określonych w art. 5-14 rozporządzenia - opisałem je w tabeli powyżej.


Dalsze kryteria ustalenia charakteru incydentu, o których mowa w pkt 7 powyżej dotyczą poszczególnych rodzajów podmiotów podlegających przepisom NIS2. Zebraliśmy je w poniższej tabeli:

Rodzaj podmiotu

Kryteria (do uznania za incydent poważny wystarczy spełnienie co najmniej jednego z nich)

Dostawcy usług DNS

  • rekurencyjna lub autorytatywna usługa rozpoznawania nazw domen jest całkowicie niedostępna przez ponad 30 minut;

  • przez okres dłuższy niż 1 godzina średni czas odpowiedzi rekurencyjnej lub autorytatywnej usługi rozpoznawania nazw domen na żądanie DNS wynosi ponad 10 sekund;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych ze świadczeniem autorytatywnej usługi rozpoznawania nazw domen zostały naruszone, z wyjątkiem przypadków, w których dane dotyczące mniej niż 1 000 nazw domen zarządzanych przez dostawcę usług DNS, stanowiących nie więcej niż 1% nazw domen zarządzanych przez dostawcę usług DNS, nie są prawidłowe z powodu niewłaściwej konfiguracji.

Rejestry nazw TLD

  • autorytatywna usługa rozpoznawania nazw domen jest całkowicie niedostępna;

  • przez okres dłuższy niż 1 godzina średni czas odpowiedzi autorytatywnej usługi rozpoznawania nazw domen na żądanie DNS wynosi ponad 10 sekund;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych z technicznym funkcjonowaniem TLD zostały naruszone.

Dostawcy usług chmurowych

  • usługa chmurowa jest całkowicie niedostępna przez ponad 30 minut;

  • dostępność usługi chmurowej dostawcy jest ograniczona dla ponad 5% użytkowników tej usługi chmurowej w Unii lub dla ponad miliona użytkowników tej usługi chmurowej w Unii, w zależności od tego, która z tych liczb jest mniejsza, przez okres dłuższy niż 1 godzina;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych ze świadczeniem usługi chmurowej zostały naruszone w wyniku podejrzewanego działania złośliwego;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych ze świadczeniem usługi chmurowej zostały naruszone, co ma wpływ na ponad 5% użytkowników tej usługi chmurowej w Unii lub na ponad milion użytkowników tej usługi chmurowej w Unii, w zależności od tego, która z tych liczb jest mniejsza.

Dostawcy usługi ośrodka przetwarzania danych

  • usługa ośrodka przetwarzania danych świadczona przez dostawcę jest całkowicie niedostępna;

  • dostępność usługi ośrodka przetwarzania danych świadczonej przez dostawcę jest ograniczona przez okres dłuższy niż 1 godzina;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych ze świadczeniem usługi ośrodka przetwarzania danych zostały naruszone w wyniku podejrzewanego działania złośliwego;

  • dostęp fizyczny do ośrodka przetwarzania danych obsługiwanego przez dostawcę został naruszony.

Dostawcy sieci dostarczania treści

  • sieć dostarczania treści jest całkowicie niedostępna przez ponad 30 minut;

  • dostępność sieci dostarczania treści jest ograniczona dla ponad 5% użytkowników tej sieci dostarczania treści w Unii lub dla ponad miliona użytkowników tej sieci dostarczania treści w Unii, w zależności od tego, która z tych liczb jest mniejsza, przez okres dłuższy niż 1 godzina;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych z udostępnianiem sieci dostarczania treści zostały naruszone w wyniku podejrzewanego działania złośliwego;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych z udostępnianiem sieci dostarczania treści zostały naruszone, co ma wpływ na ponad 5% użytkowników tej sieci dostarczania treści w Unii lub na ponad milion użytkowników tej sieci dostarczania treści w Unii, w zależności od tego, która z tych liczb jest mniejsza.

Dostawcy internetowych platform handlowych

  • internetowa platforma handlowa jest całkowicie niedostępna dla ponad 5% użytkowników internetowej platformy handlowej w Unii lub dla ponad miliona użytkowników internetowej platformy handlowej w Unii, w zależności od tego, która z tych liczb jest mniejsza;

  • ograniczona dostępność internetowej platformy handlowej ma wpływ na ponad 5% użytkowników tej internetowej platformy handlowej w Unii lub ponad milion użytkowników tej internetowej platformy handlowej w Unii, w zależności od tego, która z tych liczb jest mniejsza;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych z udostępnianiem internetowej platformy handlowej zostały naruszone w wyniku podejrzewanego działania złośliwego;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych z udostępnianiem internetowej platformy handlowej zostały naruszone, co ma wpływ na ponad 5% użytkowników tej internetowej platformy handlowej w Unii lub na ponad milion użytkowników tej internetowej platformy handlowej w Unii, w zależności od tego, która z tych liczb jest mniejsza.

Dostawcy wyszukiwarek internetowych

  • wyszukiwarka internetowa jest całkowicie niedostępna dla ponad 5% użytkowników tej wyszukiwarki internetowej w Unii lub dla ponad miliona użytkowników tej wyszukiwarki internetowej w Unii, w zależności od tego, która z tych liczb jest mniejsza;

  • ograniczona dostępność wyszukiwarki internetowej ma wpływ na ponad 5% użytkowników tej wyszukiwarki internetowej w Unii lub ponad milion użytkowników tej wyszukiwarki internetowej w Unii, w zależności od tego, która z tych liczb jest mniejsza;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych z udostępnianiem wyszukiwarki internetowej zostały naruszone w wyniku podejrzewanego działania złośliwego;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych z udostępnianiem wyszukiwarki internetowej zostały naruszone, co ma wpływ na ponad 5 % użytkowników tej wyszukiwarki internetowej w Unii lub na ponad milion użytkowników tej wyszukiwarki internetowej w Unii, w zależności od tego, która z tych liczb jest mniejsza.

Dostawcy platform usług sieci społecznościowych

  • platforma usług sieci społecznościowych jest całkowicie niedostępna dla ponad 5% użytkowników tej platformy usług sieci społecznościowych w Unii lub dla ponad miliona użytkowników tej platformy usług sieci społecznościowych w Unii, w zależności od tego, która z tych liczb jest mniejsza;

  • ograniczona dostępność platformy usług sieci społecznościowych ma wpływ na ponad 5% użytkowników tej platformy usług sieci społecznościowych w Unii lub ponad milion użytkowników tej platformy usług sieci społecznościowych w Unii, w zależności od tego, która z tych liczb jest mniejsza;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych ze świadczeniem platformy usług sieci społecznościowych zostały naruszone w wyniku podejrzewanego działania złośliwego;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych ze świadczeniem platformy usług sieci społecznościowych zostały naruszone, co ma wpływ na ponad 5% użytkowników tej platformy usług sieci społecznościowych w Unii lub na ponad milion użytkowników tej platformy usług sieci społecznościowych w Unii, w zależności od tego, która z tych liczb jest mniejsza.

Dostawcy usług zaufania

  • usługa zaufania jest całkowicie niedostępna przez ponad 20 minut;

  • usługa zaufania jest niedostępna dla użytkowników lub stron ufających przez okres dłuższy niż 1 godzina w tygodniu kalendarzowym;

  • ograniczona dostępność usługi zaufania ma wpływ na ponad 1% użytkowników lub stron ufających w Unii lub ponad 200 000 użytkowników lub stron ufających w Unii, w zależności od tego, która z tych liczb jest mniejsza;

  • fizyczny dostęp do obszaru, na którym znajdują się sieci i systemy informatyczne i do którego dostęp ma wyłącznie zaufany personel dostawcy usług zaufania, lub ochrona takiego fizycznego dostępu zostały naruszone;

  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych ze świadczeniem usługi zaufania zostały naruszone, co ma wpływ na ponad 0,1% użytkowników lub stron ufających lub ponad 100 użytkowników lub stron ufających, w zależności od tego, która z tych liczb jest mniejsza, korzystających z usługi zaufania w Unii.

Jak widzisz, Komisja zdecydowanie uszczegółowiła pojęcie incydentów poważnych.


Co ważne - aby weryfikować to, że doszło do wystąpienia poważnego incydentu, musimy być w stanie sprawdzić np. ilu użytkowników odczuło jego skutki albo jak długo utrzymywały się skutki incydentu. To wymusza szczegółowe monitorowanie stanu usługi, realizowane na bieżąco. Dotyczy to w szczególności incydentów poważnych występujących w organizacjach działających w ramach konkretnych sektorów, opisanych w tabeli powyżej.



laptop

Co robić w przypadku wystąpienia incydentu poważnego?


Pamiętaj, że incydenty o charakterze poważnym należy zgłosić do właściwego CSIRT. Incydenty należy zgłaszać bez zbędnej zwłoki, w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie (jest to tzw. wczesne ostrzeżenie, w którym wskazuje się wstępnie określone przyczyny wystąpienia incydentu i ewentualny wpływ transgraniczny),


Następnie w ciągu 72 godzin należy dokonać zgłoszenia z aktualizacją informacji i ze wskazaniem wstępnej oceny incydentu oraz jego skutków.


Podsumowanie


Chociaż termin na implementację dyrektywy NIS2 minął 18 października, w Polsce brakuje odpowiednich przepisów. Dyrektywa NIS2 ma zostać implementowana do naszego porządku prawnego poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Na dzień sporządzenia niniejszej notatki projekt znowelizowanej ustawy jest już gotowy, jednak nie trafił jeszcze do Sejmu. Ze strony internetowej Ministerstwa Cyfryzacji dowiadujemy się, że skierowanie projektu ustawy do prac w Sejmie jest planowane do końca roku.


Jeżeli potrzebujesz prawnego wsparcia w ustaleniu, czy w ramach Twojej organizacji doszło do wystąpienia poważnego incydentu, skontaktuj się z nami. Możesz to zrobić, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego na www.bytelaw.pl.

 

 

Comments


Image by Scott Rodgerson

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

michał nosowski

O Autorze:

Nazywam się Michał Nosowski i jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT oraz prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

O czym piszę najczęściej?  RODO | Umowy IT | Prawo autorskie | Prawo nowych technologii.

Zachęcam do obserwowania moich profili w mediach społecznościowych:

  • Facebook
  • LinkedIn
  • YouTube
Masz jakieś pytania? Możesz się ze mną skontaktować przez poniższy formularz

Wiadomość przesłana! Dziękuję :)

bottom of page