Co samorządy i urzędy muszą już dziś wiedzieć o dyrektywie NIS oraz jakie działania powinny podejmować?
Łukasz Czynienik: Obecnie powinny śledzić postępy prac polskiego legislatora nad transpozycją dyrektywy. Dotyczy to w szczególności spodziewanego w pierwszym kwartale 2017 r. projektu ustawy o krajowym systemie cyberbezpieczeństwa. Podmiotem odpowiedzialnym za wdrożenie regulacji jest Ministerstwo Cyfryzacji, które powinno być pierwszym punktem kontaktowym dla samorządów i urzędów. Można również spodziewać się wydania w przyszłości przez organy centralne oficjalnych zaleceń i interpretacji dotyczących stosowania norm dyrektywy przez urzędy. Samorządy i administracja, które można zidentyfikować jako dostawców usług kluczowych, już teraz mogą rozpocząć przygotowania do wdrożenia dyrektywy i np. zweryfikować istniejące lub opracować nowe procedury zgłaszania incydentów bezpieczeństwa ich sieci i systemów teleinformatycznych. Obowiązek zgłoszenia wystąpienia istotnych incydentów w tym obszarze wynika wprost z dyrektywy.
Czy NIS dotyczy też administracji centralnej? Jeśli tak, to jakich resortów?
Ewa Kurowska-Tober: Tak. Ma zastosowanie do administracji centralnej w sposób analogiczny jak w przypadku administracji samorządowej i urzędów. Mowa tu o zakresie kompetencji, które pokrywają się z siedmioma sektorami. Odpowiedź na pytanie, które konkretnie organy administracji centralnej będą bezpośrednimi adresatami obowiązków dyrektywy, musi poczekać do momentu zakończenia prac nad listą operatorów usług kluczowych. Należy również podkreślić, że Strategia cyberbezpieczeństwa RP opracowana przez Ministerstwo Cyfryzacji zakłada budowę krajowego systemu cyberbezpieczeństwa, w skład którego wejdą m.in. minister właściwy do spraw informatyzacji, właściwi ministrowie zgodnie z zakresem swoich kompetencji, a także kierownicy urzędów i instytucji, którzy będą odpowiedzialni za wdrożenie cyberbezpieczeństwa w podległych sobie jednostkach.
Jak zmiany w podejściu do zabezpieczeń mają wyglądać w praktyce. Co można powiedzieć o samych procesach i systemach?
Łukasz Czynienik: Dyrektywa NIS przewiduje wyodrębnione grupy mechanizmów, które mają zostać zaimplementowane przez kraje członkowskie w celu ujednolicenia poziomu bezpieczeństwa sieci informatycznych na terenie Unii Europejskiej. Podstawowym obowiązkiem krajów członkowskich jest przyjęcie krajowej strategii cyberbezpieczeństwa, tj. kompleksowego dokumentu (ale nie będącego ustawą) określającego cele, jakie organy państwowe wyznaczają sobie w ramach zapewnienia cyberbezpieczeństwa oraz sposoby realizacji tych celów. W Polsce taką strategię przyjęto już we wrześniu tego roku. Dodatkowo państwa członkowskie są zobowiązane do utworzenia sieci zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT - Computer Security Incident Response Team), które mają być odpowiedzialne za odbieranie zgłoszeń incydentów informatycznych. W ramach zapewnienia struktur cyberbezpieczeństwa państwa członkowskie mają także doprowadzić do utworzenia grupy zapewniającej strategiczną współpracę oraz wymianę informacji na poziomie Unii Europejskiej w celu sprawnego zarządzania incydentami informatycznymi. W ramach wdrażanych mechanizmów ustanowione zostaną również wymogi dotyczące bezpieczeństwa sieci i informacji oraz obowiązku zgłaszania incydentów informatycznych do jednostek CSIRT, które to wymogi będą musiały spełniać podmioty działające w kluczowych sektorach gospodarki. Szczególną rolę we wdrażaniu dyrektywy NIS odgrywać będzie Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA).
A jak to wygląda z poziomu wykonawców przepisów?
Łukasz Czynnienik: Patrząc na przepisy dyrektywy NIS z perspektywy urzędów i organów, które będą musiały przestrzegać obowiązków z niej wynikających, a implementowanych w ustawie o krajowym systemie cyberbezpieczeństwa, warto podkreślić, że nie dają one jednoznacznych wskazówek co do konkretnych mechanizmów i rozwiązań, które należy wdrożyć. Trudno zresztą oczekiwać, aby było odmiennie. Dokładne wskazanie konkretnych rozwiązań bardzo szybko straciłoby na aktualności ze względu na rozwój technologiczny, ale też coraz bardziej wyrafinowane metody obchodzenia i przełamywania zabezpieczeń sieci i systemów IT. Dlatego też dyrektywa NIS poprzestaje na wskazaniu, że środki techniczne i organizacyjne wykorzystywane w celu zapewnienia bezpieczeństwa sieci i systemów IT muszą być odpowiednie, proporcjonalne, a także muszą uwzględniać najnowszy stan wiedzy. Z jednej strony można więc mówić, że jest to mało precyzyjna wskazówka. Z drugiej jednak obowiązek uwzględnienia najnowszego stanu wiedzy, który siłą rzeczy wiąże się z odpowiednio wysokimi kosztami, każe przypuszczać, że urzędy czy samorządy mogą mieć sporo do nadrobienia w zakresie podniesienia poziomu dotychczas stosowanych zabezpieczeń.
