Odpowiedzi PIIT i KPP Lewiatan w sprawie Dyrektywy NIS

Odpowiedzi PIIT i KPP Lewiatan w sprawie Dyrektywy NIS

Odpowiedzi Polskiej Izby Informatyki i Telekomunikacji(PIIT)
oraz KPP Lewiatan
na pytania Ministerstwa Administracji i Cyfryzacji dotyczące Dyrektywy NIS.
W związku ze spotkaniem konsultacyjnym które odbyło się 16.05.2014 w
Ministerstwie Administracji i Cyfryzacji i podjętym na nim ustaleniem o
przekazywaniu stanowisk na piśmie prze organizacje przedsiębiorców do dnia
23.05.2014 przedstawimy niniejszym odpowiedzi wobec kluczowych problemów i
pytań zadanych w związku zprojektem dyrektywy o zapewnieniu wspólnego,
wysokiego poziomu bezpieczeństwa sieci i informacji(dyrektywą NIS).
1. Jaki powinien być zakres podmiotowy dyrektywy NIS?
Zgadzamy się ze stanowiskiem Parlamentu Europejskiego w tym, iż proponowana Dyrektywa
powinna skupiać się na ochronie infrastruktury krytycznej. Takie jasno zdefiniowane
podejście pomoże w lepszym wykorzystywaniu ograniczonych zasobów administracji
państwowej, zobowiązanych do ochrony infrastruktury, a której uszkodzenie może mieć
poważny wpływ na bezpieczeństwo państwa lub porządku publicznego. Objęcie zakresem
podmiotowym firm świadczących usługi społeczeństwa informacyjnego nie spowoduje
poprawy bezpieczeństwa w cyberprzestrzeni a wręcz przeciwnie – stworzy niepotrzebne i
nadmiarowe wymogi administracyjne zarówno po stronie biznesu jak i po stronie
administracji państwowej. Sukces Dyrektywy będzie uzależniony od opracowania
jednoznacznych przyszłościowych definicji i podejścia opartego na zasadzie oceny ryzyka, co
będzie stymulować innowacyjność sektora prywatnego i wzmocni elastyczność usług
infrastruktury krytycznej. Uwzględniając doświadczenia wynikające z funkcjonowania
systemów zarządzania bezpieczeństwem informacji opartych na zasadach norm z rodziny
ISO 27 000, uważamy, że te zasady powinny obowiązywać w podejściu proponowanym w
projekcie Dyrektywy. Opowiadamy się za skróceniem listy podmiotów zaliczanych do
infrastruktury krytycznej oraz precyzyjnym zdefiniowaniu, które z podmiotów do nich
powinny zostać zaliczane, ograniczając ich liczbę do rzeczywiście podstawowym. Za właściwe
uważamy wyłączenie operatorów telekomunikacyjnych spod działania Dyrektywy jako, że
działają oni i tak na rynku silnie regulowanym w zakresie objętym projektem Dyrektywy
(rozwinięcie w pkt. 3).
2. Czy Dyrektywa powinna objąć swym zakresem podmioty administracji publicznej?
Uważamy, że w związku z tym że administracja państwowa ma w swoim władaniu i
obowiązkach zadania krytyczne z punktu widzenia funkcjonowania państwa, dlatego też te
podmioty administracji publicznej powinny zostać objęte postanowieniami Dyrektywy.
3. Które kategorie firm powinny zostać objęte zakresem obowiązywania Dyrektywy?
Uważamy, iż Dyrektywa powinna definiować / obejmować swym zasięgiem wyczerpującą i
kompletną listę określającą podmioty i zasoby infrastruktury krytycznej. Lista ta powinna
zostać stworzona w oparciu o te usługi i elementy infrastruktury, które są kluczowe do
utrzymania bezpieczeństwa ekonomicznego, zdrowia publicznego i pozostałych krytycznych
Odpowiedzi PIIT i KPP Lewiatan dotyczące Dyrektywy NIS
Strona 1
dla porządku publicznego obszarów. Pozostawienie tej listy w formie otwartej będzie kontrproduktywne zarówno na poziomie krajowym jak i unijnym. Dodatkowo może spowodować
nowe zagrożenia poprzez konieczność skupienia uwagi administracji państwowej na
niekrytycznych usługach lub systemach kosztem ochrony tych, które jak najbardziej tego
wymagają.
Trzeba pamiętać, że w Polsce istnieje szczegółowa lista podmiotów wpisanych na listę
operatorów infrastruktury krytycznej. Lista ta ma charakter niejawny. Działania z zakresu
ochrony infrastruktury krytycznej prowadzone na szczeblu krajowym wpisują się w szerszy
kontekst europejski, czego przejawem jest wdrażany na forum Unii Europejskiej Europejski
Program Ochrony Infrastruktury Krytycznej (EPOIK), na działania którego składa się m.in.
dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i
wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej
ochrony. W tej sytuacji konieczne będzie zsynchronizowanie prawa i listy krajowej z listą,
która będzie wymagana przepisami Dyrektywy.
Tekst Dyrektywy przyjęty przez Parlament Europejski wyklucza z zakresu jej obowiązywania
oprogramowanie oraz urządzenia (software and hardware), jako że są to produkty, a nie
infrastruktura krytyczna,a ich producenci nie są operatorami infrastruktury krytycznej.
Rekomendujemy takie podejście, szczególnie w sytuacji kiedy dostawcy technologii
używanych przez operatorów infrastruktury krytycznej będą objęci pośrednio zapisami
Dyrektywy, poprzez postanowienia umowne/kontraktowe zawierane pomiędzy tymi
kategoriami podmiotów.
Ze względu na odmienne stanowiska europejskich organizacji operatorów
telekomunikacyjnych w relacji do tych postanowień Dyrektywy, konieczne będą jeszcze
analizy i wyjaśnienia techniczne oraz dyskusje merytoryczne na ten temat.
4. Ile swobody powinny mieć Państwa członkowskie w określeniu zakresu Dyrektywy?
Harmonizacja minimalna stworzy warunki do dosyć swobodnego i zróżnicowanego podejścia
do implementacji zapisów Dyrektywy do porządków prawnych państw członkowskich UE, co
może doprowadzić do konfliktów jeśli chodzi o jurysdykcję kompetentnych organów
państwowych lub chociażby skutkować różnymi wymaganiami w zakresie kluczowych
obowiązków po stronie podmiotów objętych zakresem dyrektywy. Dlatego też opowiadamy
się za przyjęciemzasady harmonizacji maksymalnej (zapewniającej tożsame rozumienie jej
treści w całej Unii) jeśli chodzi zarówno o wymagania skierowane do operatorów rynku
(Rozdział IV Dyrektywy) jak i o zakres Dyrektywy (np. Poprzez zapewnienie że lista w Aneksie
II jest wyczerpująca). Takie podejście dałoby w rezultacie większą jednolitość transpozycji i
uchroniłoby od fragmentacji rynku unijnego, a w rezultacie do zmniejszenia kosztów
wdrożenia Dyrektywy jak też do wzrostu przewidywalności porządku prawnego, co jest nie
bez znaczenia dla kreowania dobrych warunków dla innowacyjności w Europie. Takie
podejście oznacza też tworzenie jednakowych zasad prowadzenie działalności i konkurencji
na jednolitym rynku.
5. Na ile dyrektywa powinna zobowiązywać Państwa UE do współpracy?
Uważamy, że Dyrektywa NIS daje Europie unikalną możliwość wypracowania solidnych ram
współdziałania w zakresie cyber-bezpieczeństwa na kolejne lata. W związku z coraz bardziej
skomplikowanymi zagrożeniami w cyberprzestrzeni, współpraca różnych podmiotów jest jak
najbardziej potrzebna a wręcz konieczna. Pojedyncze podmioty czy to na poziomie firm, czy
administracji publicznej czy też państw, nie są w stanie dostrzec całości zagrożenia czy
implikacji jakie niosą ze sobą dzisiejsze formy działalności naruszające bezpieczeństwo w
Odpowiedzi PIIT i KPP Lewiatan dotyczące Dyrektywy NIS
Strona 2
cyberprzestrzeni. Oczywiście jest rolą krajów członkowskich określenie form i struktury takiej
współpracy, jednakże kluczowym elementem musi pozostać dobrowolność wymiany
informacji pomiędzy zaufanymi partnerami i zaufanymi kanałami wymiany takich
informacji. Jeśli ta wymiana miała by uzyskać charakter obowiązkowy, wpłynie to
negatywnie/ograniczająco na jej jakość.
Co więcej, uważamy, że wymiana informacji powinna mieć charakter dwustronny. Sytuacja
kiedy w jednostronnym modelu firmy prywatne raportują incydenty do określonych władz
bez uzyskiwania jakiejkolwiek informacji zwrotnej będą nieefektywne i w zasadzie nie są
„wymianą informacji”. Władze/odpowiednie organy powinny udzielać informacji zwrotnej,
bazującej na strategicznych analizach opracowanych na podstawie zebranych informacji o
incydentach. Pomoże to sektorowi prywatnemu na lepsze przygotowanie się do zapobiegania
przyszłym i nowym zagrożeniom.
Państwo powinno wspierać dobrowolną wymianę informacji szczególnie jeśli chodzi o
informacje o naruszeniach bezpieczeństwa odnośnie użytych narzędzi, taktyk, technik i
praktyk używanych przez atakujących. Stworzenie zaufanych platform wymiany informacji
może być możliwe poprzez praktyczną i stałą współpracę z interesariuszami z sektora
prywatnego. Uważamy ,że jednym ze sposobów osiągnięcie tego celu powinno być tworzenie
dobrowolnych porozumień zawieranych m.in. zwłaszcza pomiędzy przedsiębiorcami z branży
Nowych Technologii zwłaszcza teleinformatycznej a Ministerstwem Administracji i
Cyfryzacji. Deklarujemy wole daleko idącej współpracy w tym zakresie tak jako reprezentacje
organizacji branżowych jako czołowe firmy branży teleinformatycznej działające na rynku
polskim jak światowym. Już w trakcie spotkania (16 maja 2014 roku) kilka z firm wyraziło
wprost zainteresowanie współpracą (Microsoft, IBM,CP,Asseco, CERT ORANGE).
Wymiana informacji pomiędzy różnymi agendami rządowymi a także pomiędzy sektorem
prywatnym i publicznym wymagać będzie stworzenia jasnych mechanizmów zachęty i
zabezpieczeń, jak również koniecznego określenia zasad poufności dostarczanych informacji.
6. Jak ta współpraca wygląda obecnie?
Istnieją obecnie istotne i zaufane mechanizmy współpracy między sektorami prywatnym i
publicznym, jak również wewnątrz sektora prywatnego, jak chociażby te oparte o istniejące
organizacje biznesowe jak ICASI (IndustryConsortium for Advancement of Security on the
Internet) lub współpracy firm z istniejącymi cywilnymi ośrodkami CERT (np. w NASK lub
ORANGE), które powinny zostać podtrzymane i dalej rozwijane. Taka kooperacja powinna być
poszerzona przez zachęcenie krajów członkowskich, które mają takie możliwości, do
proaktywnego włączenia się w proces dzielenia się informacjami z innymi podmiotami
zarówno prywatnymi jak i publicznymi.
7. Czy obecna współpraca międzynarodowa w temacie cyber-bezpieczeństwa jest
wystarczająca?
Współpraca międzynarodowa nadal jest niewystarczająca i ograniczona. Uważamy, że
zagrożenia o skali ponadnarodowej w tym obszarze są olbrzymie. To jak państwa zachowują
się w cyberprzestrzeni przestało być prywatną sprawą danego państwa i zaczęło mieć wymiar
międzynarodowy. Państwa powinny jasno artykułować swoje polityki określające ich
zachowania w cyberprzestrzeni oraz to, w jaki sposób zorganizują swoje bezpieczeństwo
ekonomiczne, publiczne i inne systemy obronne w tym obszarze. Tego rodzaju działania będą
efektywne jeśli będą poparte pogłębioną współpracą międzynarodową, włączając w nią
również sektor prywatny.
Odpowiedzi PIIT i KPP Lewiatan dotyczące Dyrektywy NIS
Strona 3
Niezależenie od potrzeby przyjęcia Dyrektywy UE to w dobie szczególnych zagrożeń tak
globalnych jak i związanych z obecna sytuacja za wschodnia granica Polska powinna
ponownie rozważyć konieczność ratyfikowania Europejskiej Konwencji o zwalczania
cyberprzestępczości tzw.budapesztańska, która zawiera zestaw konkretnych instrumentów
prawnych do zwalczania cyberprzestępczości. Polska podpisała te konwencje.
8. Jaki organ w Polsce powinien zostać organem właściwym i jaka powinna być rola
regulatorów, CERTów i innych podmiotów w docelowym systemie?
Z punktu widzenia biznesu ważne jest aby istniał jeden jasno zdefiniowany punkt
kontaktowy, odpowiedzialny za otrzymywanie i przetwarzanie informacji/raportów o
incydentach, do którego objęte Dyrektywą podmioty będą raportować. Taki podmiot
powinien dysponować wiedzą, doświadczeniem i ekspertyzą niezbędną do zajmowania się
poufnymi informacjami z zakresu bezpieczeństwa cyfrowego. Taki podmiot powinien być
odpowiednio umocowany do współpracy z sektorem prywatnym. Ważnym jest aby przy
okazji działań organizacyjnych związanych z wdrożeniem Dyrektywy nie ucierpiał żaden z
istniejących i działających w Polsce cywilnych CERTów (np. w NASK, ORANGE, itp.) a
pożądane byłoby zachęcanie przedsiębiorców do tworzenia kolejnych CERTów, które poprzez
wzajemną wymianę informacji mogą szybko reagować na zagrożenia.
Nie jest rzeczą organizacji biznesowych ocena organizacyjnego usytuowania CERTu
rządowego i opowiadamy się tutaj za stabilizacją organizacyjną działania w strukturach
rządowych z władztwem CERT gov.
Opowiadamy się za systemem w którym biznes będzie mógł otrzymywać wsparcie od
istniejących i nowopowstałych CERTów cywilnych z całym ich profesjonalnym dorobkiem. .
Jesteśmy przeciwni regulacjom nakładanym na sektor prywatny który potrafi sam zadbać o
swoje bezpieczeństwo a konkurencja pozwala na wybór różnych rozwiązań i technologii
służących zapewnieniu bezpieczeństwa w teleinformatyce.
Odpowiedzi PIIT i KPP Lewiatan dotyczące Dyrektywy NIS
Strona 4