Odpowiedzi PIIT i KPP Lewiatan w sprawie Dyrektywy NIS
Transkrypt
Odpowiedzi PIIT i KPP Lewiatan w sprawie Dyrektywy NIS
Odpowiedzi Polskiej Izby Informatyki i Telekomunikacji(PIIT) oraz KPP Lewiatan na pytania Ministerstwa Administracji i Cyfryzacji dotyczące Dyrektywy NIS. W związku ze spotkaniem konsultacyjnym które odbyło się 16.05.2014 w Ministerstwie Administracji i Cyfryzacji i podjętym na nim ustaleniem o przekazywaniu stanowisk na piśmie prze organizacje przedsiębiorców do dnia 23.05.2014 przedstawimy niniejszym odpowiedzi wobec kluczowych problemów i pytań zadanych w związku zprojektem dyrektywy o zapewnieniu wspólnego, wysokiego poziomu bezpieczeństwa sieci i informacji(dyrektywą NIS). 1. Jaki powinien być zakres podmiotowy dyrektywy NIS? Zgadzamy się ze stanowiskiem Parlamentu Europejskiego w tym, iż proponowana Dyrektywa powinna skupiać się na ochronie infrastruktury krytycznej. Takie jasno zdefiniowane podejście pomoże w lepszym wykorzystywaniu ograniczonych zasobów administracji państwowej, zobowiązanych do ochrony infrastruktury, a której uszkodzenie może mieć poważny wpływ na bezpieczeństwo państwa lub porządku publicznego. Objęcie zakresem podmiotowym firm świadczących usługi społeczeństwa informacyjnego nie spowoduje poprawy bezpieczeństwa w cyberprzestrzeni a wręcz przeciwnie – stworzy niepotrzebne i nadmiarowe wymogi administracyjne zarówno po stronie biznesu jak i po stronie administracji państwowej. Sukces Dyrektywy będzie uzależniony od opracowania jednoznacznych przyszłościowych definicji i podejścia opartego na zasadzie oceny ryzyka, co będzie stymulować innowacyjność sektora prywatnego i wzmocni elastyczność usług infrastruktury krytycznej. Uwzględniając doświadczenia wynikające z funkcjonowania systemów zarządzania bezpieczeństwem informacji opartych na zasadach norm z rodziny ISO 27 000, uważamy, że te zasady powinny obowiązywać w podejściu proponowanym w projekcie Dyrektywy. Opowiadamy się za skróceniem listy podmiotów zaliczanych do infrastruktury krytycznej oraz precyzyjnym zdefiniowaniu, które z podmiotów do nich powinny zostać zaliczane, ograniczając ich liczbę do rzeczywiście podstawowym. Za właściwe uważamy wyłączenie operatorów telekomunikacyjnych spod działania Dyrektywy jako, że działają oni i tak na rynku silnie regulowanym w zakresie objętym projektem Dyrektywy (rozwinięcie w pkt. 3). 2. Czy Dyrektywa powinna objąć swym zakresem podmioty administracji publicznej? Uważamy, że w związku z tym że administracja państwowa ma w swoim władaniu i obowiązkach zadania krytyczne z punktu widzenia funkcjonowania państwa, dlatego też te podmioty administracji publicznej powinny zostać objęte postanowieniami Dyrektywy. 3. Które kategorie firm powinny zostać objęte zakresem obowiązywania Dyrektywy? Uważamy, iż Dyrektywa powinna definiować / obejmować swym zasięgiem wyczerpującą i kompletną listę określającą podmioty i zasoby infrastruktury krytycznej. Lista ta powinna zostać stworzona w oparciu o te usługi i elementy infrastruktury, które są kluczowe do utrzymania bezpieczeństwa ekonomicznego, zdrowia publicznego i pozostałych krytycznych Odpowiedzi PIIT i KPP Lewiatan dotyczące Dyrektywy NIS Strona 1 dla porządku publicznego obszarów. Pozostawienie tej listy w formie otwartej będzie kontrproduktywne zarówno na poziomie krajowym jak i unijnym. Dodatkowo może spowodować nowe zagrożenia poprzez konieczność skupienia uwagi administracji państwowej na niekrytycznych usługach lub systemach kosztem ochrony tych, które jak najbardziej tego wymagają. Trzeba pamiętać, że w Polsce istnieje szczegółowa lista podmiotów wpisanych na listę operatorów infrastruktury krytycznej. Lista ta ma charakter niejawny. Działania z zakresu ochrony infrastruktury krytycznej prowadzone na szczeblu krajowym wpisują się w szerszy kontekst europejski, czego przejawem jest wdrażany na forum Unii Europejskiej Europejski Program Ochrony Infrastruktury Krytycznej (EPOIK), na działania którego składa się m.in. dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony. W tej sytuacji konieczne będzie zsynchronizowanie prawa i listy krajowej z listą, która będzie wymagana przepisami Dyrektywy. Tekst Dyrektywy przyjęty przez Parlament Europejski wyklucza z zakresu jej obowiązywania oprogramowanie oraz urządzenia (software and hardware), jako że są to produkty, a nie infrastruktura krytyczna,a ich producenci nie są operatorami infrastruktury krytycznej. Rekomendujemy takie podejście, szczególnie w sytuacji kiedy dostawcy technologii używanych przez operatorów infrastruktury krytycznej będą objęci pośrednio zapisami Dyrektywy, poprzez postanowienia umowne/kontraktowe zawierane pomiędzy tymi kategoriami podmiotów. Ze względu na odmienne stanowiska europejskich organizacji operatorów telekomunikacyjnych w relacji do tych postanowień Dyrektywy, konieczne będą jeszcze analizy i wyjaśnienia techniczne oraz dyskusje merytoryczne na ten temat. 4. Ile swobody powinny mieć Państwa członkowskie w określeniu zakresu Dyrektywy? Harmonizacja minimalna stworzy warunki do dosyć swobodnego i zróżnicowanego podejścia do implementacji zapisów Dyrektywy do porządków prawnych państw członkowskich UE, co może doprowadzić do konfliktów jeśli chodzi o jurysdykcję kompetentnych organów państwowych lub chociażby skutkować różnymi wymaganiami w zakresie kluczowych obowiązków po stronie podmiotów objętych zakresem dyrektywy. Dlatego też opowiadamy się za przyjęciemzasady harmonizacji maksymalnej (zapewniającej tożsame rozumienie jej treści w całej Unii) jeśli chodzi zarówno o wymagania skierowane do operatorów rynku (Rozdział IV Dyrektywy) jak i o zakres Dyrektywy (np. Poprzez zapewnienie że lista w Aneksie II jest wyczerpująca). Takie podejście dałoby w rezultacie większą jednolitość transpozycji i uchroniłoby od fragmentacji rynku unijnego, a w rezultacie do zmniejszenia kosztów wdrożenia Dyrektywy jak też do wzrostu przewidywalności porządku prawnego, co jest nie bez znaczenia dla kreowania dobrych warunków dla innowacyjności w Europie. Takie podejście oznacza też tworzenie jednakowych zasad prowadzenie działalności i konkurencji na jednolitym rynku. 5. Na ile dyrektywa powinna zobowiązywać Państwa UE do współpracy? Uważamy, że Dyrektywa NIS daje Europie unikalną możliwość wypracowania solidnych ram współdziałania w zakresie cyber-bezpieczeństwa na kolejne lata. W związku z coraz bardziej skomplikowanymi zagrożeniami w cyberprzestrzeni, współpraca różnych podmiotów jest jak najbardziej potrzebna a wręcz konieczna. Pojedyncze podmioty czy to na poziomie firm, czy administracji publicznej czy też państw, nie są w stanie dostrzec całości zagrożenia czy implikacji jakie niosą ze sobą dzisiejsze formy działalności naruszające bezpieczeństwo w Odpowiedzi PIIT i KPP Lewiatan dotyczące Dyrektywy NIS Strona 2 cyberprzestrzeni. Oczywiście jest rolą krajów członkowskich określenie form i struktury takiej współpracy, jednakże kluczowym elementem musi pozostać dobrowolność wymiany informacji pomiędzy zaufanymi partnerami i zaufanymi kanałami wymiany takich informacji. Jeśli ta wymiana miała by uzyskać charakter obowiązkowy, wpłynie to negatywnie/ograniczająco na jej jakość. Co więcej, uważamy, że wymiana informacji powinna mieć charakter dwustronny. Sytuacja kiedy w jednostronnym modelu firmy prywatne raportują incydenty do określonych władz bez uzyskiwania jakiejkolwiek informacji zwrotnej będą nieefektywne i w zasadzie nie są „wymianą informacji”. Władze/odpowiednie organy powinny udzielać informacji zwrotnej, bazującej na strategicznych analizach opracowanych na podstawie zebranych informacji o incydentach. Pomoże to sektorowi prywatnemu na lepsze przygotowanie się do zapobiegania przyszłym i nowym zagrożeniom. Państwo powinno wspierać dobrowolną wymianę informacji szczególnie jeśli chodzi o informacje o naruszeniach bezpieczeństwa odnośnie użytych narzędzi, taktyk, technik i praktyk używanych przez atakujących. Stworzenie zaufanych platform wymiany informacji może być możliwe poprzez praktyczną i stałą współpracę z interesariuszami z sektora prywatnego. Uważamy ,że jednym ze sposobów osiągnięcie tego celu powinno być tworzenie dobrowolnych porozumień zawieranych m.in. zwłaszcza pomiędzy przedsiębiorcami z branży Nowych Technologii zwłaszcza teleinformatycznej a Ministerstwem Administracji i Cyfryzacji. Deklarujemy wole daleko idącej współpracy w tym zakresie tak jako reprezentacje organizacji branżowych jako czołowe firmy branży teleinformatycznej działające na rynku polskim jak światowym. Już w trakcie spotkania (16 maja 2014 roku) kilka z firm wyraziło wprost zainteresowanie współpracą (Microsoft, IBM,CP,Asseco, CERT ORANGE). Wymiana informacji pomiędzy różnymi agendami rządowymi a także pomiędzy sektorem prywatnym i publicznym wymagać będzie stworzenia jasnych mechanizmów zachęty i zabezpieczeń, jak również koniecznego określenia zasad poufności dostarczanych informacji. 6. Jak ta współpraca wygląda obecnie? Istnieją obecnie istotne i zaufane mechanizmy współpracy między sektorami prywatnym i publicznym, jak również wewnątrz sektora prywatnego, jak chociażby te oparte o istniejące organizacje biznesowe jak ICASI (IndustryConsortium for Advancement of Security on the Internet) lub współpracy firm z istniejącymi cywilnymi ośrodkami CERT (np. w NASK lub ORANGE), które powinny zostać podtrzymane i dalej rozwijane. Taka kooperacja powinna być poszerzona przez zachęcenie krajów członkowskich, które mają takie możliwości, do proaktywnego włączenia się w proces dzielenia się informacjami z innymi podmiotami zarówno prywatnymi jak i publicznymi. 7. Czy obecna współpraca międzynarodowa w temacie cyber-bezpieczeństwa jest wystarczająca? Współpraca międzynarodowa nadal jest niewystarczająca i ograniczona. Uważamy, że zagrożenia o skali ponadnarodowej w tym obszarze są olbrzymie. To jak państwa zachowują się w cyberprzestrzeni przestało być prywatną sprawą danego państwa i zaczęło mieć wymiar międzynarodowy. Państwa powinny jasno artykułować swoje polityki określające ich zachowania w cyberprzestrzeni oraz to, w jaki sposób zorganizują swoje bezpieczeństwo ekonomiczne, publiczne i inne systemy obronne w tym obszarze. Tego rodzaju działania będą efektywne jeśli będą poparte pogłębioną współpracą międzynarodową, włączając w nią również sektor prywatny. Odpowiedzi PIIT i KPP Lewiatan dotyczące Dyrektywy NIS Strona 3 Niezależenie od potrzeby przyjęcia Dyrektywy UE to w dobie szczególnych zagrożeń tak globalnych jak i związanych z obecna sytuacja za wschodnia granica Polska powinna ponownie rozważyć konieczność ratyfikowania Europejskiej Konwencji o zwalczania cyberprzestępczości tzw.budapesztańska, która zawiera zestaw konkretnych instrumentów prawnych do zwalczania cyberprzestępczości. Polska podpisała te konwencje. 8. Jaki organ w Polsce powinien zostać organem właściwym i jaka powinna być rola regulatorów, CERTów i innych podmiotów w docelowym systemie? Z punktu widzenia biznesu ważne jest aby istniał jeden jasno zdefiniowany punkt kontaktowy, odpowiedzialny za otrzymywanie i przetwarzanie informacji/raportów o incydentach, do którego objęte Dyrektywą podmioty będą raportować. Taki podmiot powinien dysponować wiedzą, doświadczeniem i ekspertyzą niezbędną do zajmowania się poufnymi informacjami z zakresu bezpieczeństwa cyfrowego. Taki podmiot powinien być odpowiednio umocowany do współpracy z sektorem prywatnym. Ważnym jest aby przy okazji działań organizacyjnych związanych z wdrożeniem Dyrektywy nie ucierpiał żaden z istniejących i działających w Polsce cywilnych CERTów (np. w NASK, ORANGE, itp.) a pożądane byłoby zachęcanie przedsiębiorców do tworzenia kolejnych CERTów, które poprzez wzajemną wymianę informacji mogą szybko reagować na zagrożenia. Nie jest rzeczą organizacji biznesowych ocena organizacyjnego usytuowania CERTu rządowego i opowiadamy się tutaj za stabilizacją organizacyjną działania w strukturach rządowych z władztwem CERT gov. Opowiadamy się za systemem w którym biznes będzie mógł otrzymywać wsparcie od istniejących i nowopowstałych CERTów cywilnych z całym ich profesjonalnym dorobkiem. . Jesteśmy przeciwni regulacjom nakładanym na sektor prywatny który potrafi sam zadbać o swoje bezpieczeństwo a konkurencja pozwala na wybór różnych rozwiązań i technologii służących zapewnieniu bezpieczeństwa w teleinformatyce. Odpowiedzi PIIT i KPP Lewiatan dotyczące Dyrektywy NIS Strona 4