Cyberbezpieczeństwo – na tym właśnie skupimy się w dzisiejszej publikacji. Poruszymy temat związany z cyberbezpieczeństwem w UE, a dokładniej o Dyrektywie Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 – dalej „Dyrektywa NIS 2”.

Cyberbezpieczeństwo w UE przez pryzmat regulacji dyrektywy NIS 2

Dyrektywa NIS2 przewiduje środki prawne mające na celu zwiększenie poziomu cyberbezpieczeństwa w UE. To właśnie dzięki tej dyrektywie kraje członkowskie zyskały solidne wsparcie w zakresie cyberbezpieczeństwa. Dyrektywa NIS2 wprowadza m.in.:

a) szeroko rozumianą współpracę pomiędzy państwami członkowskimi Unii Europejskiej w zakresie
utworzenia specjalnej grupy współpracy, która ma na celu ułatwienie i usprawnienie strategicznej
współpracy oraz wymiany informacji pomiędzy tymi państwami jeżeli chodzi o cyberbezpieczeństwo;

b) wymagania w stosunku do państw członkowskich Unii Europejskiej w zakresie posiadania
odpowiedniego wyposażenia i stosownych wdrożeń systemowych. Do takich przykładów należy
zaliczyć np. CSIRT oraz właściwy krajowy organ ds. sieci i systemów informatycznych (NIS);

c) model przestrzegania zasad bezpieczeństwa we wszystkich sektorach, które mają kluczowe znaczenie
dla gospodarki oraz społeczeństwa, do których zaliczamy np. transport, energię, finanse, opiekę
zdrowotną, infrastrukturę cyfrową etc.

Obowiązki nałożone na operatorów usług w celu zwiększenia cyberbezpieczeństwa UE

W tym miejscu należy wskazać, że przedsiębiorstwa, które są kluczowymi operatorami usług w wyżej wymienionych sektorach
(np. energia, transport, opieka zdrowotna etc.), zobowiązane są do podejmowania stosownych środków bezpieczeństwa.
Dodatkowo kluczowi operatorzy są zobowiązani do informowania właściwe ograny krajowe odnośnie poważnych incydentów.

Wymogi bezpieczeństwa dotyczą również dostawców usług cyfrowych

Należy podkreślić, że na mocy dyrektywy NIS2, kluczowi dostawcy usług cyfrowych związanych np. z wyszukiwarkami internetowymi, usługami przetwarzania w chmurze, internetowe platformy handlowe etc., będą zobowiązane do przestrzegania dyrektywy NIS2 i powiadamiania stosownych organów.

Czym jest incydent w rozumieniu dyrektywy NIS2?

Zgodnie z dyrektywą NIS2, incydentem nazywamy zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem – tak art. 6 pkt 6 dyrektywy NIS2.

Czym jest incydent na dużą skalę w rozumieniu dyrektywy NIS2?

Incydentem na szeroką skalę nazywamy incydent, który powoduje zakłócenia na poziomie przekraczającym zdolność państwa członkowskiego do reagowania na ten incydent lub który wywiera znaczące skutki w co najmniej dwóch państwach członkowskich – tak art. 6 pkt 7 dyrektywy NIS2.

Co to jest bezpieczeństwo sieci i systemów informatycznych?

Podążając za unijnym ustawodawcą warto jest podkreślić, że jest to nic innego jak szeroko rozumiana
odporność sieci i systemów informatycznych, przy danym poziomie zaufania, na wszelkie zdarzenia, które mogą naruszyć dostępność,
autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług
oferowanych przez te sieci i systemy informatyczne lub dostępnych za ich pośrednictwem.

Od kiedy obowiązuje dyrektywa NIS2?

Dyrektywa NIS2 obowiązuje od 2023 r. Warto jest dodatkowo podkreślić, że regulacje te w okrojonej wersji obowiązują już od 2016 r., jednakże skala cyberprzestępczości jest tak realnym problemem, że organy Unii Europejskiej zdecydowały się wdrożyć nowe rozwiązania (znowelizowane).

Podsumowanie

Kwestie związane z bezpieczeństwem odgrywają w dzisiejszych czasach kluczową rolę cyberbezpieczeństwo szczególnie zyskuje na aktualności. Działania i rozwój ochrony w tym obszarze powinny w dalszym ciągu dynamicznie się rozwijać. Krok unijnego ustawodawcy w kierunku rozwiązań przewidzianych dla kluczowych operatorów w państwach członkowskich jest tego doskonałym wyrazem.