KE określiła wymogi zabezpieczeń teleinformatycznych dla dostawców usług cyfrowych oraz parametry i progi zgłaszania incydentów istotnych

 

cyber ilustracja

 

30 stycznia 2017 Komisja Europejska przyjęła rozporządzenie wykonawcze określające środki techniczne i organizacyjne dla dostawców usług cyfrowych. Stosowanie tych środków pozwoli podnieść poziom cyberbezpieczeństwa świadczonych usług.

Zakres regulacji

Rozporządzenie zawiera katalog wymagań służących tworzeniu zabezpieczeń sieci i systemów informatycznych. Dotyczą one bezpieczeństwa teleinformatycznego, fizycznego i środowiskowego oraz bezpieczeństwa dostaw, a także kontroli dostępu, procedur zgłaszania incydentów i zapewnienia ciągłości działania. Rozporządzenie określa, jakie działania należy podjąć celem monitorowania, audytów i testowania wdrożonych zabezpieczeń. Regulacja zawiera parametry określające, jakie incydenty z zakresu cyberbezpieczeństwa będą musiały być zgłaszane zespołowi CSIRT, czyli zespołowi reagowania na komputerowe incydenty bezpieczeństwa.

Proces prawodawczy i konsultacje publiczne

Rozporządzenie zostało przyjęte we współpracy z państwami członkowskimi w tzw. procedurze komitetowej przez Komitet do Spraw Bezpieczeństwa Sieci i Systemów Informatycznych.

Przyjęcie aktu zostało poprzedzone konsultacjami społecznymi. Ministerstwo Cyfryzacji wykorzystało nadesłane uwagi przy formułowaniu stanowiska Rządu RP.

Podstawy prawne

Przepisy rozporządzenia wejdą w życie 10 maja 2018 r. i będą prawnie wiążące dla dostawców usług cyfrowych, o których mowa w tzw. dyrektywie NIS, czyli w dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.

Zgodnie z dyrektywą NIS dostawcy usług cyfrowych oznaczają średnie lub duże przedsiębiorstwa świadczące usługi cyfrowe na obszarze Unii Europejskiej z wykorzystaniem internetowych platform handlowych, wyszukiwarek internetowych oraz usług przetwarzania w chmurze.

Jednocześnie Ministerstwo Cyfryzacji opracowało projekt ustawy o krajowym systemie cyberbezpieczeństwa, która wdroży do polskiego prawa inne części dyrektywy NIS, np. dotyczące usług kluczowych, czy funkcjonowania zespołów CSIRT. Ustawa ureguluje też na poziomie krajowym obowiązki dostawców usług cyfrowych. Nowa wersja projektu, po rozpatrzeniu uwag nadesłanych w drodze konsultacji publicznych i uzgodnień międzyresortowych, została skierowana na Komitet do Spraw Europejskich Rady Ministrów.

Projekt ustawy o krajowym systemie cyberbezpieczeństwa skierowany na Komitet do Spraw Europejskich Rady Ministrów

 

Źródło: gov.pl