Nowa dyrektywa (a może rozporządzenie) w sprawie cyberbezpieczeństwa zaproponowana przez Komisję (UE). Czeka nas sporo zmian

Powiedzieć o ostatnim półroczu, że przytłacza ilością zmian prawnych i regulacyjnych, to nic nie powiedzieć. Dwa dni temu pisałem o propozycjach dot. rynku cyfrowego, a wczoraj Komisja (UE) „zarzuciła” nas propozycją dyrektywy w sprawie cyberbezpieczeństwa, która ma zastąpić już wdrożoną dyrektywę 2016/1148 (ustawą o krajowym systemie cyberbezpieczeństwa – więcej tutaj). Jednocześnie toczy się dyskusja odnośnie tego, czy projektowany akt nie powinien przyjąć formy rozporządzenia, co zasadniczo pokrywa się z założeniem, że większość legislacji powinna być silnie zharmonizowana. Co proponuje nam Komisja? Od razu zaznaczam, że nie napiszę o wszystkim, ale z czasem będą pojawiały się kolejne odsłony.

Zasadniczym celem dyrektywy jest zwiększenie cyberbezpieczeństwa w państwach członkowskich, m.in. poprzez „nakaz” posiadania odpowiednich organów odpowiedzialnych za te kwestie czy tworzenie zespołów reagowania na incydenty bezpieczeństwa komputerowego, ale także dookreślenie obowiązków w zakresie zarządzania ryzykami z obszaru ICT czy raportowania. Dyrektywa jest dyrektywą minimalnej harmonizacji, więc nic nie stoi na przeszkodzie, aby państwa członkowskie zastosowały surowsze wymagania.

Warto zwrócić uwagę, że dyrektywa i rozwiązania implementowane na jej podstawie będą komplementarne względem np. projektowanego rozporządzenia w sprawie digital operational resilience, o którym pisałem tutaj.

Dla kogo?

Tutaj istotna zmiana. Poza już nam znanymi sektorami, jak np. bankowość, energetyka czy zdrowie (wykaz znajdziemy w załączniku do projektowanej dyrektywy), Komisja zaproponowała także „dołożenie” nowych. Mamy przykładowo przemysł kosmiczny, usługi cyfrowe jak centra danych czy tzw. providers of public electronic communications networks or services.

Zastrzeżenie jest jednak takie, że – co do zasady – podmioty z sektora SME nie „łapią” się pod dyrektywę. Co do zasady, bo w dyrektywie i od tej zasady przewidziano wyjątek.

Art. 2 ust. 2 przewiduje bowiem, że podmioty określone w załączniku 1 lub 2 (essential albo important) będą podlegały tym obowiązkom, jeżeli spełnione zostaną przesłanki m.in. w zakresie wpływu (znacznego) na dany sektor czy krytyczności danego podmiotu (tutaj czekamy także na kolejną dyrektywę w sprawie „Resilience of Critical Entities”). Lista takich podmiotów powinna zostać opracowana przez państwo członkowskie i przesłana do Komisji. Będzie ona podlegała aktualizacji.

Strategia…

Każde państwo będzie obowiązane do przyjęcia strategii cyberbezpieczeństwa (nasza powinna chyba podlegać aktualizacji), która zawierać będzie m.in. takie elementy jak cele czy środki do jej realizacji. Powinna także identyfikować określone ryzyka w zakresie cyberbezpieczeństwa czy ocenę przygotowania (odporności) na te zagrożenia. Będzie musiała także „pokazywać” konkretne rozwiązania w zakresie koordynacji i wymiany informacji pomiędzy organami.

Co ciekawe, państwa członkowskie powinny przyjąć także określone polityki w zakresie cyberbezpieczeństwa, m.in. odnoszące się do wymagań stawianym produktom czy usługom ICT dla sektora publicznego, rozwoju kompetencji i zasobów czy nawet wspierania uczelni w zakresie rozwoju narzędzi i infrastruktur ICT. Ma też być uwzględniony wątek specyficznych wymagań dla sektora MŚP. Strategia wraz z politykami ma być kompleksowa.

Organ(y) ds. cyberbezpieczeństwa

Każde państwo członkowskie będzie miało obowiązek ustanowienia jednego lub więcej organów odpowiedzialnych za zarządzanie dużymi incydentami i kryzysami z obszaru ICT (to nie to samo co organ CyberSec – choć może nie jest to wykluczone). Ponadto, konieczne będzie ustanowienie tzw. cybersecurity incydent and crisis response plan, czyli planu zarządzania tego typu incydentami. Art. 7 ust. 2 wskazuje co będzie tam miało się znaleźć.

Dodatkowo, art. 8 zobowiązuje do ustanowienia organu odpowiedzialnego za cyberbezpieczeństwo i nadzór. Oczywiście może to być już istniejące „ciało”. Takiemu organowi powinien towarzyszyć punkt kontaktowy odpowiedzialny za koordynację i współpracę międzynarodową czy ustanowienie znanego nam z ustawy o krajowym systemie cyberbezpieczeństwa – zespole reagowania na incydenty bezpieczeństwa komputerowego. W dalszej części projektu znajdziemy m.in. postanowienia dotyczące ustanowienia CSIRT network.

Ciekawe jest to, że dyrektywa wprowadza coś takiego jak Cooperation Group. Grupa ta ma składać się z przedstawicieli państw członkowskich, Komisji (UE) oraz ENISA (organ ds. cyberbezpieczeństwa). Komisja zapewni jej sekretariat. Będzie ona wspierała prace organów krajowych, m.in. w zakresie wymiany informacji czy dobrych praktyk.

Żeby nie było nudno, Komisja zaproponowała utworzenie tzw. European cyber crises liasion organization network, w skład której mają wejść reprezentacji organów, o których pisałem w pierwszym akapicie. Sieć ma podobne zadania ale na poziomie unijnym.

Zarządzanie ryzykami i raportowanie

W dużym skrócie, bo nie ma już miejsca na głębsze analizy. Zarządy tzw. essential and important entities powinny przyjmować adekwatne i efektywne rozwiązania w zakresie zarządzania ryzykami ICT, a zakres tych działań wyznacza art. 18 projektowanej dyrektywy. Nie są to rzeczy nowe, ale z pewnością pojawi się konieczność rewizji. W zakresie raportowania również mamy pewne zmiany.

Certyfikaty CyberSec

Kolejny ciekawy temat. Państwa członkowskie mogą wymagać od powyższych podmiotów uzyskania certyfikatów potwierdzających zgodność ich systemów i rozwiązań z art. 18, przy czym promowana jest standaryzacja rozwiązań, w tym w zakresie norm ISO.

I z ważniejszych tematów to tyle

Oczywiście to nie wszystko i na bank będę wracał do tematu. Nie ma na razie proponowanej daty implementacji, ale sama dyrektywa wchodzi standardowo 21 dni od publikacji.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech