16 stycznia rozpocz?? si? nowy rozdzia? w historii europejskiej polityki bezpiecze?stwa. W ?ycie wesz?a dyrektywa NIS 2, przebudowuj?ca ramy europejskiego porz?dku infrastruktury krytycznej i cyfrowej. Fabryki, elektrownie, wodoci?gi, a tak?e banki czy szpitale czekaj? spore zmiany.
Rok 2022 ukaza? nam szereg zagro?e? dla bezpiecze?stwa zbiorowego. Hakerzy sparali?owali czasowo du?skie koleje, przej?li kontrol? nad brytyjskimi wodoci?gami i zagrozili ?yciu pacjentów szpitala w Wersalu. Ich dzia?ania s? coraz cz??ciej porównywane do aktów terroru.
“Stoimy w obliczu nowego sposobu prowadzenia wojny. Powtarzaj?ce si? ataki o podobnym charakterze na wra?liwe cele infrastruktury krytycznej sta?y si? cz??ci? naszej rzeczywisto?ci. Stawka jest wysoka. Od tego, czy b?dziemy w stanie odpowiedzie? cyberprzest?pcom, zale?e? b?dzie w jakiej Europie przyjdzie nam ?y?: niestabilnej, targanej kryzysami, czy potrafi?cej ochroni? swoj? infrastruktur? i obywateli.”
Krzysztof Wójtowicz z ICsec
Po co nowe prawo?
Obowi?zuj?ce dotychczas regu?y prawne okaza?y si? nieskuteczne wobec nowych niebezpiecze?stw. Dyrektywa ma zabezpieczy? czu?e punkty wspólnoty na wypadek zagro?e? porz?dku publicznego takich jak: ataki terrorystyczne, sabota?e czy cyberataki. Pa?stwa UE maj? ?ci?lej wspó?pracowa? w ramach zwalczania cyberprzest?pczo?ci. Powo?ana zostanie Europejska Sie? Organizacji ??cznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiada? za wsparcie koordynacji zarz?dzania incydentami i du?ymi kryzysami cybernetycznymi. Pa?stwa maj? by? zobowi?zane do przeznaczania wi?kszych ?rodków na wzmocnianie swoich zabezpiecze?.
Co zmienia dyrektywa?
Dyrektywa ma u?atwi? zarz?dzanie ryzykiem, dlatego wprowadza dwie jasne kategorie podmiotów: kluczowe i wa?ne. Zostan? one obj?te szczególnymi ?rodkami nadzoru i egzekwowania przepisów, skonstruowanymi w oparciu o cztery za?o?enia: skuteczno??, proporcjonalno??, odstraszenie i dostosowanie do indywidualnego przypadku. Ró?nica pomi?dzy podmiotami wa?nymi i kluczowymi wyra?a si? w stosowaniu ?rodków nadzoru. W przypadku podmiotów wa?nych audyty s? przeprowadzane po naruszeniach, nie s? one te? obj?te kontrolami wyrywkowymi.
NIS 2 oznacza powszechn? mobilizacj? i wspó?odpowiedzialno??. Dyrektywa rozszerza definicje sektorów i rodzajów podmiotów krytycznych obj?tych regulacjami na polu cyberbezpiecze?stwa. Od 16 stycznia dyrektywa obejmie swym parasolem 11 sektorów: energetyka, transport, bankowo??, infrastruktura rynku finansowego, ochrona zdrowia, wodoci?gi, spó?ki wodno- kanalizacyjne, infrastruktura cyfrowa, administracja publiczna, przestrze? kosmiczna i produkcja ?ywno?ci. Firmy z tych obszarów zosta?y zobligowane do regularnego przedstawiania dowodów na prowadzenie realnej polityki cyberbezpiecze?stwa, oceny ryzyka, a tak?e przeprowadzania audytów bezpiecze?stwa, powiadamiania w?adz o wszelkich nieprawid?owo?ciach oraz podejmowania dzia?a? w celu przeciwdzia?ania zagro?eniom.
Drako?skie kary za zaniedbania
Organizacje, które nie dostosuj? si? do prawa, czekaj? powa?ne konsekwencje. Za nieprzestrzeganie przepisów grozi grzywna do 2 proc. globalnych obrotów. W pierwszej kolejno?ci firmy zostan? wezwane do usuni?cia uchybie? lub zapewnienie zgodno?ci, a w przypadku braku po??danych dzia?a? mog? straci? certyfikaty czy zezwolenia na ?wiadczenie us?ug, lub nawet na ca?o?? dzia?alno?ci gospodarczej. Kary przewidziane s? te? dla dyrektorów generalnych i przedstawicieli prawnych spó?ek. Mog? oni zosta? zawieszeni w ramach funkcji.
“Twórcom nowych regu? zale?a?o na tym, by by?y one skuteczne i egzekwowalne. Najwi?ksza odpowiedzialno?? spoczywa na operatorach infrastruktury krytycznej. Obiekty takie jak elektrownie, stacje uzdatniania wody czy rafinerie w coraz wi?kszym stopniu polegaj? na technologii niewymagaj?cej udzia?u cz?owieka. Pod??czone do sieci, komunikuj?ce si? mi?dzy sob? urz?dzenia nie tylko u?atwiaj? zarz?dzanie dostawami i zwi?kszaj? wydajno??, ale stanowi? te? punkt krytyczny ca?ego systemu. Skuteczny atak na ten obszar móg?by uruchomi? katastroficzny scenariusz dla gospodarki i spo?ecze?stwa. Dlatego ich odpowiednie zabezpieczenie stanowi dzi? g?ówne wyzwanie dla zarz?dców spó?ek.”
Krzysztof Wójtowicz z ICsec
Wdro?enie w Polsce
Na pocz?tku stycznia w wykazie prac legislacyjnych i programowych Rady Ministrów
pojawi?a si? kolejna wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpiecze?stwa. Znalaz?y si? w niej zapisy dotycz?ce wspó?pracy operatorów przy tworzeniu strategii bezpiecze?stwa, zg?aszania incydentów, zasad przyznawania certyfikatów. Projekt wprowadza te? niezwykle istotn? w kontek?cie wykonania postanowie? dyrektywy kategori? Operatora Strategicznej Sieci Bezpiecze?stwa. B?dzie to jednoosobowa spó?ka Skarbu Pa?stwa, przedsi?biorca telekomunikacyjny, który posiada infrastruktur? telekomunikacyjn? niezb?dn? do zapewnienia realizacji zada? na rzecz obronno?ci, bezpiecze?stwa pa?stwa oraz bezpiecze?stwa i porz?dku publicznego. Musi posiada? ?rodki techniczne i organizacyjne, zapewniaj?ce bezpieczne przetwarzanie danych w sieci telekomunikacyjnej czy ?wiadectwo bezpiecze?stwa przemys?owego pierwszego stopnia.
Na implementacje b?dziemy musieli jeszcze poczeka?. Zanim projekt zostanie skierowany do Sejmu, musi si? nim zaj?? Komitet Sta?y Rady Ministrów.
