projekt stanowiska rp - Ministerstwo Cyfryzacji

Transkrypt

PROJEKT STANOWISKA RP
przygotowany w związku z art. 7 ustawy z dnia 8 października 2010 r.
o współpracy Rady Ministrów z Sejmem i Senatem w sprawach związanych z członkostwem
Rzeczypospolitej Polskiej w Unii Europejskiej (Dz. U. Nr 213, poz. 1395)
Dotyczy
Wniosek dotyczący dyrektywy Parlamentu Europejskiego i
Rady w sprawie środków mających na celu zapewnienie
wspólnego wysokiego poziomu bezpieczeństwa sieci i
informacji w obrębie Unii
Data przekazania Polsce
dokumentu przez
instytucje UE
14 lutego 2012 r.
Sygnatura dokumentu
Komisja Europejska
Numer międzyinstytucjonalny
Procedura decyzyjna
zwykła procedura ustawodawcza
COM(2013) 48 final
2013/0027 (COD)
Tryb głosowania w Radzie
większość kwalifikowana
UE
Instytucja wiodąca
Ministerstwo Administracji i Cyfryzacji
Ministerstwo Spraw Wewnętrznych, Agencja Bezpieczeństwa
Wewnętrznego, Rządowe Centrum Bezpieczeństwa, Generalny
Inspektor Ochrony Danych Osobowych, Ministerstwo
Gospodarki, Ministerstwo Finansów, Ministerstwo Obrony
Narodowej, Ministerstwo Sprawiedliwości, Ministerstwo
Instytucje współpracujące
Zdrowia, Ministerstwo Transportu, Budownictwa i Gospodarki
Morskiej, Rządowe Centrum Legislacji, Kancelaria Prezesa
Rady Ministrów, Prezes Urzędu Regulacji Energetyki, Prezes
Urzędu Komunikacji Elektronicznej, Komisja Nadzoru
Finansowego, Narodowy Bank Polski.
1
Data przyjęcia
przez KSE
2
I.
Cel projektu aktu prawnego
Zasadniczym celem proponowanej dyrektywy jest zapewnienie wspólnego wysokiego
poziomu bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich informacji.
Rozumie się przez to zwiększenie bezpieczeństwa publicznych sieci telekomunikacyjnych w
warstwie aplikacyjnej oraz systemów informatycznych stanowiących podstawę
funkcjonowania naszych społeczeństw i gospodarek. Zdaniem projektodawcy cel ten zostanie
osiągnięty poprzez nałożenie na państwa członkowskie obowiązku zwiększenia gotowości i
ulepszenia wzajemnej współpracy oraz poprzez nałożenie na operatorów infrastruktury
krytycznej, w takich dziedzinach jak energetyka, transport i kluczowe usługi społeczeństwa
informacyjnego (platformy handlu elektronicznego, serwisy społecznościowe itd.), jak
również na organy administracji publicznej, obowiązku podjęcia odpowiednich działań
mających na celu przeciwdziałanie zagrożeniom bezpieczeństwa oraz obowiązku zgłaszania
poważnych incydentów właściwym organom krajowym.
Projekt dyrektywy został przedstawiony łącznie ze wspólnym komunikatem Komisji
i Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa w
sprawie europejskiej strategii bezpieczeństwa cybernetycznego 1. Strategia bezpieczeństwa
cybernetycznego zatytułowana: „Otwarta, bezpieczna i chroniona cyberprzestrzeń”
odzwierciedla wizję UE w odniesieniu do zapobiegania zakłóceniom i atakom oraz
reagowania na takie zakłócenia i ataki. Strategia ma na celu propagowanie wartości, takich
jak
wolność
i demokracja, oraz zapewnianie bezpiecznego wzrostu gospodarki cyfrowej. Konkretne
działania są ukierunkowane na zwiększenie odporności w dziedzinie bezpieczeństwa
cybernetycznego systemów teleinformatycznych, ograniczenie cyberprzestępczości oraz
wzmocnienie międzynarodowej polityki UE w dziedzinie bezpieczeństwa cybernetycznego
i obrony cybernetycznej.
Unijna wizja bezpieczeństwa cybernetycznego przedstawiona w strategii składa się z pięciu
strategicznych priorytetów:
1. osiągnięcie odporności w dziedzinie bezpieczeństwa cybernetycznego;
2. radykalne ograniczenie cyberprzestępczości;
3. opracowanie polityki obrony cybernetycznej i rozbudowa zdolności w dziedzinie
bezpieczeństwa cybernetycznego w powiązaniu ze wspólną polityką bezpieczeństwa
i obrony (WPBiO);
4. rozbudowa zasobów przemysłowych i technologicznych na potrzeby bezpieczeństwa
cybernetycznego;
5. ustanowienie spójnej międzynarodowej polityki w zakresie cyberprzestrzeni dla Unii
Europejskiej i promowanie podstawowych wartości UE.
Unijna międzynarodowa polityka w zakresie cyberprzestrzeni wspiera przestrzeganie
podstawowych wartości UE, definiuje normy odpowiedzialnego zachowania, promuje
przestrzeganie istniejących już przepisów międzynarodowych w dziedzinie cyberprzestrzeni,
a jednocześnie pomaga państwom członkowskim poza UE w zakresie budowy zdolności
w dziedzinie bezpieczeństwa cybernetycznego i propaguje współpracę międzynarodową w
tym zakresie.
1
http://europa.eu/rapid/press-release_IP-13-94_pl.htm
3
Zdaniem projektodawcy, Unia Europejska poczyniła znaczne postępy w kierunku lepszej
ochrony obywateli przed przestępczością internetową, w tym poprzez:
1. ustanowienie Europejskiego Centrum ds. Walki z Cyberprzestępczością2,
2. przedstawienie wniosku legislacyjnego w sprawie ataków na systemy informatyczne 3
oraz
3. poprzez utworzenie światowego sojuszu przeciwko niegodziwemu traktowaniu dzieci
w internecie w celach seksualnych4.
Strategia ma także na celu rozwinięcie i finansowanie krajowych centrów doskonałości w
zakresie cyberprzestępczości, tak by ułatwić szkolenia i budowę zdolności.
Dalsze działania w ramach strategii w tej dziedzinie koncentrują się na szerzeniu wiedzy,
rozwijaniu rynku wewnętrznego produktów i usług związanych z bezpieczeństwem
cybernetycznym oraz wspieraniu inwestycji w badania i rozwój. Jednocześnie projektodawca
wskazuje, że działania te zostaną uzupełnione innymi działaniami mającymi na celu
intensyfikację walki z cyberprzestępczością oraz opracowanie międzynarodowej polityki
w zakresie bezpieczeństwa cybernetycznego dla UE.
Zdaniem projektodawcy, zaproponowana dyrektywa jest kluczowym elementem ogólnej
strategii i nakładałaby na wszystkie państwa członkowskie, podmioty świadczące kluczowe
usługi świadczone drogą elektronczną i operatorów infrastruktury krytycznej, takich jak
platformy handlu elektronicznego i portale społecznościowe oraz przedsiębiorstwa z sektora
energetycznego, sektora transportu, sektora bankowego i opieki zdrowotnej, obowiązek
zapewnienia bezpiecznego i wiarygodnego środowiska cyfrowego w całej UE. Proponowana
dyrektywa przewiduje w związku z tym przyjęcie następujących środków:
a) zobowiązanie państw członkowskich do przyjęcia strategii w dziedzinie bezpieczeństwa
sieci telekomunikacyjnych i informacji oraz wyznaczenia właściwych krajowych
organów w dziedzinie bezpieczeństwa sieci telekomunikacyjnych i informacji,
dysponujących odpowiednimi środkami finansowymi i zasobami ludzkimi,
by odpowiednio postępować i reagować w przypadku wystąpienia incydentów i
zagrożeń w dziedzinie bezpieczeństwa sieci telekomunikacyjnych i informacji;
b) ustanowienie mechanizmu współpracy między państwami członkowskimi a Komisją,
aby przekazywać za pośrednictwem bezpiecznej infrastruktury wczesne ostrzeżenia
dotyczące zagrożeń i incydentów, współpracować i organizować regularne wzajemne
weryfikacje;
c) zobowiązanie operatorów infrastruktury krytycznej w niektórych sektorach (usług
finansowych, transportu, energii i opieki zdrowotnej), dostawców usług społeczeństwa
informacyjnego (należą do nich głównie sklepy z aplikacjami, platformy handlu
elektronicznego, internetowe portale płatnicze, usługi chmur obliczeniowych,
wyszukiwarki, portale społecznościowe) oraz organów administracji publicznej
do stosowania właściwych środków technicznych i organizacyjnych w celu
przeciwdziałania zagrożeniom, na jakie narażone są kontrolowane i wykorzystywane
przez te podmioty sieci telekomunikacyjne i systemy teleinformatyczne oraz do
przyjęcia praktyk w zakresie postępowania w przypadku wystąpienia zagrożeń i
2
4
3
4
zgłaszania incydentów mających znaczny wpływ na bezpieczeństwo świadczonych
przez nie usług podstawowych.
Uzasadniając projekt dyrektywy, projektodawca trafnie wskazuje, że bezpieczeństwo sieci
telekomunikacyjnych i informacji ma coraz większe znaczenie dla każdej gospodarki i całego
społeczeństwa. Zapewnienie bezpieczeństwa sieci telekomunikacyjnych i informacji jest
również ważnym warunkiem utworzenia wiarygodnego środowiska dla światowego handlu
usługami i jego prawidłowego funkcjonowania. Nie jest również tajemnicą, iż systemy
teleinformatyczne są jednak narażone na incydenty zagrażające bezpieczeństwu, takie jak
ludzkie błędy, zjawiska naturalne, awarie techniczne lub celowe ataki. Wraz z postępującą
technologią, incydenty te mają miejsce coraz częściej oraz stają się coraz bardziej poważne
i złożone. Projektodawca wskazuje jednocześnie, że brak bezpieczeństwa sieci
telekomunikacyjnych i informacji może zagrażać kluczowym usługom uzależnionym
od integralności sieci telekomunikacyjnych i systemów informatycznych. W efekcie może
to uniemożliwić funkcjonowanie przedsiębiorstw, przynieść znaczne straty finansowe
dla gospodarki UE i negatywnie wpłynąć na poziom dobrobytu społecznego.
Biorąc pod uwagę transgraniczny charakter Internetu oraz swobodę przepływu towarów,
usług i osób zwraca się uwagę, iż poważne zakłócenia warstwy aplikacyjnej w jednym
państwie członkowskim mogą mieć wpływ na inne państwa członkowskie i na całą UE.
Odporność
i stabilność sieci telekomunikacyjnych i systemów informatycznych mają zatem zasadnicze
znaczenie dla zakończenia tworzenia jednolitego rynku cyfrowego i dla sprawnego
funkcjonowania rynku wewnętrznego. Jednocześnie zwraca się uwagę, iż bezpieczeństwo
sieci telekomunikacyjnych i systemów teleinformatycznych warunkuje społeczne zaufanie do
usług świadzonych drogą elektroniczną. Projektodawca podaje, iż przykładowo, w 2012 r.
badanie Eurobarometru na temat bezpieczeństwa cybernetycznego wykazało, że 38%
internautów
ma wątpliwości co do bezpieczeństwa płatności internetowych i zmieniło swoje zachowania
ze względu na kwestie bezpieczeństwa: 18% jest mniej przekonanych do robienia zakupów
przez internet, a 15 % jest mniej przekonanych do korzystania z internetowych usług
bankowych5.
Zdaniem projektodawcy, obecny stan rzeczy w UE, który odzwierciedla przyjęte do tej pory
czysto dobrowolne podejście, nie zapewnia wystarczającej ochrony przed incydentami
w zakresie bezpieczeństwa sieci telekomunikacyjnych i informacji oraz przed zagrożeniami
w obrębie całej UE. Istniejące zdolności i mechanizmy w zakresie bezpieczeństwa sieci
telekomunikacyjnych i informacji nie są jednolite i wystarczające, aby odpowiednio reagować
na szybko zmieniające się zagrożenia i zapewnić wspólny wysoki poziom ochrony
we wszystkich państwach członkowskich.
Projektodawca jednocześnie podkreśla, iż brak ogólnych wytycznych w tym zakresie
zaskutkował poważnymi dysproporcjami pomiędzy poziomami zabezpieczeń stosowanymi
na terytoriach poszczególnych państw członkowskich. Ze względu na fakt, iż systemy
teleinformatyczne i sieci telekomunikacyjne są wzajemnie połączone, ogólny poziom
bezpieczeństwa sieci i informacji w UE jest obniżony przez państwa członkowskie
o najmniejszych wksaźnikach poziomu ochrony. Sytuacja ta utrudnia również budowanie
zaufania między partnerami, co jest warunkiem niezbędnym do współpracy i wymiany
informacji. W rezultacie, zdaniem projektodawcy, współpraca ma miejsce jedynie w
5
Eurobarometr 390/2012.
5
przypadku będących w mniejszości państw członkowskich posiadających wysoki poziom
zdolności.
Projektodawca wskazuje zatem, iż w związku z brakiem jednolitej regulacji na poziomie
europejskim w tym zakresie, obecnie nie funkcjonują skuteczne mechanizmy współpracy
i współdziałania, a co więcej, nie identyfikuje się również jednolitych i spójnych
mechanizmów, za pomocą których państwa członkowskie mogłyby wymieniać między sobą
informacje dotyczące incydentów oraz zagrożeń w zakresie bezpieczeństwa sieci
telekomunikacyjnych i przetwarzanych w nich informacji. Taki stan rzeczy powoduje,
iż na tym polu podejmowane mogą być nieskoordynowane interwencje regulacyjne,
niespójne strategie i rozbieżne normy, co prowadzi do defragmentacji poziomu ochrony
bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich informacji w całej UE.
Taki stan rzeczy prowadzić może również do powstawania barier na rynku wewnętrznym
wynikających z faktu, iż przedsiębiorstwa działające w więcej niż jednym państwie
członkowskim
będą
narażone
na koszty związane z koniecznością dostosowania się do różnych reżimów prawnych.
W obecnym stanie prawnym UE, jedynie przedsiębiorcy telekomunikacyjni (a zatem na
gruncie polskiego systemu prawnego są to zarówno dostawcy usług telekomunikacyjnych
oraz operatorzy infrastruktury telekomunikacyjnej) są zobowiązani do podejmowania
właściwych środków technicznych i organizacyjnych w razie wystąpienia zagrożenia dla
bezpieczeństwa sieci i usług telekomunikacyjnych. Środki te powinny zapewniać poziom
bezpieczeństwa, proporcjonalny do istniejącego ryzyka z uwzględnieniem aktualnego stanu
wiedzy
i technologii. W szczególności jednak, środkie te powinny być podejmowane w taki sposób,
aby zapobiegać i minimalizować wpływ, jaki na użytkowników i wzajemnie połączone sieci
mogą mieć przypadki stwarzające zagrożenie bezpieczeństwa. Jednocześnie przepisy
znowelizowanej dyrektywy ramowej nakładaja na przedsiębiorców telekomunikacyjnych
zobowiązanie do stosowania wszelkich właściwych środków w celu zapewnienia
integralności swoich sieci, a tym samym zapewnienia ciągłości świadczenia usług za
pośrednictwem tych sieci. Wszelkie natomiast przypadki incydentów o istotnym wpływie
powinny być notyfikowane organowi regulacyjnemu w dziedzinie łączności, który z kolei
przekazuje stosowne informacje w tym przedmiocie do Europejskiej Agencji ds. Ochrony
Sieci i Informacji (ENISA) oraz do Komisji Europejskiej. Co jednak ważne podkreślenia,
zarówno sieci jak i usługi telekomunikacyjne stanowią jedynie medium dla świadczenia
szeroko rozumianych usług online, co powoduje, że również warstwa aplikacji powinna
funkcjonować prawidłowo, zwłaszcza dzieki gwarancjom odpowiedniego poziomu
bezpieczeństwa stosowanych w tym celu systemów teleinformatycznych, zarówno w sferze
prywatnej,
jak
i publicznej. Jako kluczowe sektory wskazuje się tutaj bankowość, giełdy, wytwarzanie,
przesyłanie i dystrybucję energii, transport (lotniczy, kolejowy, morski), opiekę zdrowotną,
usługi internetowe oraz administrację publiczną.
Biorąc pod uwagę powyższe, projektodawca za niezbędne uznaje wprowadzenie gruntownych
zmian w zakresie bezpieczeństwa sieci telekomunikacyjnych i przetwarzanych w nich
informacji w UE. Za niezbędne uznaje się wprowadzenie wymogów prawnych w celu
zapewnienia równych warunków działania i usunięcia istniejących luk prawnych.
Aby rozwiązać te problemy i zwiększyć poziom bezpieczeństwa sieci i informacji w Unii
Europejskiej, w proponowanej dyrektywie wyznaczono opisane niżej cele.
6
Projekt dyrektywy zakłada zatem trzy podstawowe do osiągnięcia cele oraz kilka działań
szczegółowych.
Po pierwsze, przyszła dyrektywa ma na celu zobowiązanie wszystkich państw członkowskich
do ustanowienia właściwych organów ds. bezpieczeństwa sieci telekomunikacyjnych
i informacji oraz:


powołanie zespołów reagowania na incydenty komputerowe (CERT) podlegających
bezpośrednio ustanowionym organom oraz
przyjęcie krajowych strategii i planów współpracy w zakresie bezpieczeństwa sieci
telekomunikacyjnych i informacji.
Po drugie, dyrektywa zobowiąże właściwe organy krajowe do współpracy w oparciu o sieć
umożliwiającą bezpieczną i skuteczną koordynację, w tym skoordynowaną wymianę
informacji, jak również wykrywanie i reagowanie na poziomie UE. Poprzez tę sieć państwa
członkowskie powinny wymieniać się informacjami i współpracować ze sobą w celu
wykrywania i zwalczania zagrożeń oraz incydentów w zakresie bezpieczeństwa sieci
telekomunikacyjnych i informacji. Wszystkie te działania podejmowane będą na podstawie
uprzednio opracowanego europejskiego planu współpracy w tej dziedzinie.
Wreszcie po trzecie, odwołując się do modelu wprowadzonego znowelizowaną dyrektywą
ramową w sprawie łączności elektronicznej (art. 13a i 13b dyrektywy 2002/21/WE,
wprowadzone dyrektywą 2009/140/WE), przyszła dyrektywa ma na celu zapewnienie
rozwoju kultury wspierającej przeciwdziałanie zagrożeniom oraz wymiany informacji między
sektorem prywatnym i publicznym. Przedsiębiorstwa w określonych krytycznych sektorach
oraz administracje publiczne (kluczowe usługi świadczone drogą elektroniczną, energetyka,
transport, bankowość, infrastruktura rynków finansowych oraz służba zdrowia) będą
zobowiązane do dokonywania oceny zagrożeń, na jakie są narażone, oraz do przyjęcia
odpowiednich i proporcjonalnych środków mających na celu zapewnienie bezpieczeństwa
sieci telekomunikacyjnych i przetwarzanych w nich informacji. Podmioty te będą
jednocześnie zobowiązane do zgłaszania właściwym organom wszelkich incydentów
poważnie zagrażających ich sieciom telekomunikacyjnym i systemom informatycznym oraz
mogących znacząco zakłócić ciągłość krytycznych usług i dostaw towarów.
II.
Stanowisko RP
Propozycję Komisji Europejskiej zmierzającą do zwiększenia bezpieczeństwa sieci i
systemów oraz zwiększenia zaufania obywateli do świadczonych za pośrednictwem sieci i
systemów usług należy ocenić jako kierunkowo zasadną. Jest to pożądany kierunek rozwoju
jednolitego rynku cyfrowego na terenie UE. Rzeczpospolita Polska popiera konieczność
utworzenia skutecznych mechanizmów zapobiegania oraz reagowania na incydenty
„komputerowe”, zarówno na poziomie lokalnym jak i dla całej UE.
Niemniej jednak należy jednocześnie ocenić tę propozycję jako dalece niedopracowaną,
niespójną z przepisami innych dyrektyw, zarówno już wdrożonych jak i projektowanych,
a z tego powodu budzącą również wiele poważnych wątpliwości interpretacyjnych.
W zaproponowanej formie projekt dyrektywy, co ważne podkreślenia, charakteryzujący się
wysokim poziomem ogólności, uniemożliwia dokonanie rzetelnej oceny skutków regulacji.
7
Wątpliwości uzasadniające negatywne odniesienie się do przedmiotowego projektu
w zaproponowanej formie w szczególności budzą:

osiągnięcie zakładanego przez Komisję Europejską celu zapewnienia rozwoju kultury
wspierającej przeciwdziałanie zagrożeniom oraz wymiany informacji między sektorem
prywatnym i publicznym;

niejasna relacja projektowanych obowiązków do obowiązków ciążących
na przedsiębiorcach telekomunikacyjnych, nałożonych przez prawa narodowe w drodze
implementacji znowelizowanej dyrektywy ramowej (2002/21/WE znowelizowanej
dyrektywą 2009/140/WE);

niejasna pozycja regulatora rynku telekomunikacyjnego, któremu przedsiębiorcy
telekomunikacyjni mają obowiązek przekazywania stosownych informacji o incydentach
w zakresie sieci lub usług telekomunikacyjnych, brak tego typu informacji w sieci
współpracy (a w konsekwencji również wczesnych ostrzeżeń i skoordynowanej reakcji)
oraz brak udziału w jej ramach regulatora rynku telekomunikacyjnego;

harmonizacja niezupełna, umożliwiająca państwom członkowskim przyjęcie środków
zapewniających wyższy poziom bezpieczeństwa niż gwarantowany przepisami omawianej
dyrektywy;

przyjęte na potrzeby dyrektywy definicje oraz ich relacja do obowiązków wykonywanych
przez przedsiębiorców telekomunikacyjnych (definicja „bezpieczeństwa”, „zagrożenia”,
„incydentu”, „postępowania w przypadku incydentu”, których brak jest w znowelizowanej
dyrektywie ramowej);

zakres pojęciowy stosowanego w ramach projektu terminu „infrastruktura krytyczna” i
jego relacji do zakresu regulowanego dyrektywą 2008/114/WE z dnia 8 grudnia 2008 r.
w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny
potrzeb w zakresie poprawy jej ochrony;

sprzeczność logiczna w zakresie definicji „sieci i systemów informatycznych”
obejmującej swoim zakresem również wszelkie treści przechowywane, przetwarzane,
odzyskiwane lub przekazywane za pomocą sieci lub systemów informatycznych;

delegowanie szczegółowych regulacji i wymogów do przyszłych, o nieznanym na dzień
dzisiejszy kształcie, aktów delegowanych (art. 9 ust. 2, art. 10 ust. 5, art. 14 ust. 5 oraz art.
16 ust. 2). Zdaniem RP akty delegowane powinny być przedmiotem równoległych prac
nad projektem samej dyrektywy, albowiem to w tych aktach ukryta jest istota
projektowanej regulacji (ewentualnie rekomenduje się regulowanie delegowanych kwestii
na poziomie dyrektywy);

niejasna relacja krajowych strategii i planów w zakresie bezpieczeństwa sieci i informacji,
unijnego planu w zakresie bezpieczeństwa i informacji oraz przepisów i terminów
określonych projektowaną dyrektywą;

niejasne kompetencje „właściwego organu” w relacji do kompetencji regulatora rynku
telekomunikacyjnego określonych materią w polskim porządku prawnym w ustawie
Prawo telekomunikacyjne - w wyniku implementacji znowelizowanej dyrektywy
ramowej;
8

zapewnienie możliwości poddania kontroli sądowej wszelkich obowiązków nałożonych
na mocy Rozdziału IV (art. 14 – 16) na organy administracji publicznej;

możliwość egzekwowania obowiązków wdrożonych w wyniku implementacji dyrektywy
wobec wszystkich podmiotów gospodarczych świadczących usługi w obrębie UE, a zatem
również takich, które nie posiadają siedziby na terenie UE;

niejasne relacje pomiędzy terminami przygotowania i przyjęcia krajowych strategii
i planów dotyczących bezpieczeństwa sieci i informacji, unijnego planu w zakresie
bezpieczeństwa sieci i informacji, terminów wydania aktów delegowanych oraz
wdrożenia przez państwa członkowskie przepisów dyrektywy;

możliwość wskazania przez Komisję Europejską, również w drodze aktu wykonawczego wydanego na podstawie art. 16 ust. 2, norm i specyfikacji niezbędnych do wykonania
art. 14 ust. 1 dyrektywy, do przestrzegania których zobowiązane zostaną wszystkie
podmioty wskazane w Załączniku I do przedmiotowego projektu (a zatem usługodawcy
świadczący usługi drogą elektroniczną, operatorzy infrastruktury krytycznej oraz organy
administracji publicznej);

dość ogólnie sformułowane przesłanki dotyczące sankcji oraz ich relacja do sankcji
przewidzianych w procedowanym obecnie rozporządzeniu Parlamentu Europejskiego
i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i swobodnym przepływem takich danych.
Pozytywnie oceniając zaproponowane w formie dyrektywy kierunki zmian, Rząd RP
zastrzega, iż poszczególne rozwiązania wymagają dalszych intensywnych analiz i prac. W
szczególności prace te powinny zmierzać do wyeliminowania wszelkich niejasności oraz
wątpliwości interpretacyjnych, również w kontekście realizowanych lub planowanych innych
działań
na poziomie europejskim.
Jednocześnie, Rząd RP stoi na stanowisku, iż pozostawienie swobody Komisji Europejskiej
w przedmiocie wydawania tak dużej ilości aktów delegowanych, nie ma wyraźnego
uzasadnienia i powoduje niepewność prawną, w związku z czym, zdaniem Rządu RP, prace
nad dokumentem powinny zmierzać w kierunku precyzowania poszczególnych rozwiązań na
poziomie dyrektywy, co jednocześnie umożliwi rzetelną ich ocenę oraz zapewni
przewidywalność prawną.
Identyfikując zatem liczne problemy interpretacyjne i wątpliwości co do zasadności, zakresu,
kosztów lub wykonalności niektórych z proponowanych przez Komisję Europejską
rozwiązań, zwłaszcza w zakresie nałożenia na przedsiębiorstwa określonych w dokumencie
obowiązków, Rząd RP stoi na stanowisku, iż dalsze prace nad kształtem dyrektywy powinny
uwzględniać konieczność zachowania równowagi pomiędzy - z jednej strony zapewnieniem
pożądanego poziomu bezpieczeństwa, natomiast z drugiej - warunkami wzrostu
gospodarczego.
III.
Uzasadnienie Stanowiska Rządu RP
9
Zdaniem Rządu RP wszelkie działania, które mogą przynieść korzyści w zakresie poprawy
poziomu bezpieczeństwa infrastruktury i świadczonych za jej pośrednictwem usług, zasługują
na szczególną uwagę. Z tego względu kierunki zmian należy ocenić pozytywnie.
Podkreślenia wymaga zidentyfikowanie przez Komisję Europejską wyzwań stojących przed
systemem bezpieczeństwa sieci i systemów teleinformatycznych w Europie, w świetle
rozwoju technologii oraz towarzyszącym jej zagrożeniom. Z tego względu Rząd RP zgadza
się
z proponowanymi przez Komisję Europejską celami i działaniami, jednak dostrzega liczne,
niezwykle ważne problemy wymagające ich wyjaśnienia na dalszych etapach prac
nad dokumentem.
Poniżej przedstawiona została szczegółowa analiza poszczególnych jednostek redakcyjnych
projektu, gdzie identyfikuje się i szeroko omawia kluczowe do rozstrzygnięcia kwestie.
Art. 1 i 4 – przedmiot i zakres zastosowania
Należy wyrazić wątpliwość względem określonego w art. 1 ust. 1 celu dyrektywy,
mianowicie „zapewnienia wysokiego poziomu bezpieczeństwa sieci i informacji”. Oprócz
projektowanej sieci współpracy pomiędzy „właściwymi organami” proponuje się jedynie
kierunkowo – nałożenie obowiązków analogicznych do przewidzianych w dyrektywie
ramowej
na przedsiębiorców telekomunikacyjnych. Wprawdzie wspomina się o wspieraniu przez
państwa członkowskie stosowania norm lub specyfikacji oraz sporządzeniu przez Komisję
Europejską, w drodze aktów wykonawczych, wykazu norm do stosowania (art. 15), natomiast
należy skonstatować, iż tak skonstruowana propozycja znacznie utrudnia na dzień dzisiejszy
ocenę skutków regulacji ze względu na wysoki poziom ogólności projektowanych
obowiązków. Trudno jest odnieść się do przyszłego zakresu regulacji oraz jego wpływu
na sektor podmiotów realizujących zadania publiczne, usługodawców usług świadczonych
drogą elektroniczną oraz operatorów infrastruktury krytycznej.
Analogiczną wątpliwość należy wyrazić względem projektowanego art. 4, statuującego
zasadę zapewnienia przez państwa członkowskie wysokiego poziomu bezpieczeństwa sieci
i systemów informatycznych na swoim terytorium. Na obecnym etapie nie jest bowiem
wiadome, co oznacza „wysoki poziom bezpieczeństwa”, co budzić może również
uzasadnione wątpliwości w kontekście harmonizacji niezupełnej, umożliwiającej państwom
członkowskich przyjęcie środków zapewniających wyższy poziom bezpieczeństwa.
Niezależnie od treści art. 1 ust. 4, stanowiącego iż niniejszą dyrektywę stosuje się bez
uszczerbku dla dyrektywy Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie
rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb
w zakresie poprawy jej ochrony, rekomenduje się dokonać analizy wzajemnych relacji obu
tych dyrektyw. Przedmiotowa dyrektywa odwołuje się do pojęcia „infrastruktury krytycznej”,
nie definiując go (choćby poprzez odwołanie do innych dyrektyw). Pojęcie to, podobnie jak
„europejska infrastruktura krytyczna”, zostało natomiast zdefiniowane w dyrektywie
2008/114/WE. Dla uniknięcia ewentualnych trudności interpretacyjnych co do zakresu tego
określenia – a różnice pomiędzy infrastrukturą krytyczną poszczególnych państw
członkowskich (w rozumieniu art. 2 lit a dyrektywy 2008/114/WE), a europejską
infrastrukturą krytyczną (w rozumieniu art. 2 lit b dyrektywy 2008/114/WE) są istotne –
rekomenduje się bardziej szczegółowe zbadanie relacji pomiędzy tymi dyrektywami oraz
uzupełnienie definicji wymienionych w art. 3 niniejszej dyrektywy o „infrastrukturę
krytyczną” i/lub „operatorów infrastruktury krytycznej”.
10
Ocena osiągnięcia przez Komisję Europejską zakładanego celu jest tym bardziej trudna,
że projektowana dyrektywa wprost wyłącza z zakresu jej regulacji przedsiębiorców
telekomunikacyjnych, poprzez wyłączenie z katalogu podmiotów zobowiązanych (art. 2 pkt 8
– definicja podmiotu gospodarczego) oraz wyłączenie stosowania wobec nich przepisu art. 14
kształtującego obowiązki dla podmiotów gospodarczych i organów administracji publicznej.
Wydaje się, że tak skonstruowana norma pozostawia poza zakresem regulacji kluczową
dla bezpieczeństwa świadczonych usług infrastrukturę, a na temat czego odniesiono się
szczegółowo w dalszej części Stanowiska RP.
Art. 2 – minimalna harmonizacja
Stosownie do projektowanej jednostki redakcyjnej należy zauważyć, iż dyrektywa nie będzie
harmonizacją zupełną, w konsekwencji czego państwa członkowskie będą mogły przyjmować
środki zapewniające wyższy poziom bezpieczeństwa, niż określone dyrektywą i aktami
delegowanymi wydanymi na jej podstawie. Wątpliwości w tym kontekście budzi przyszłość
zastosowanych na podstawie dyrektywy środków, które powinny gwarantować „wysoki
poziom bezpieczeństwa” oraz ich relacja do zastosowanych w praktyce przez państwa
członkowskie środków zapewniających „wyższy poziom bezpieczeństwa”. Wydaje się,
że w takim przypadku również zachodzić będą identyfikowane przez projektodawcę poważne
dysproporcje w odniesieniu do poziomu bezpieczeństwa na terenie UE.
Art. 3 - definicje
Wątpliwość logiczną należy wyrazić wobec propozycji określonej w art. 3 pkt 1 lit c, zgodnie
z którą „sieci i systemy informatyczne”, o których mowa w dyrektywie oznaczają, obok sieci
telekomunikacyjnych oraz systemów teleinformatycznych, również „dane komputerowe
przechowywane,
przetwarzane,
odzyskiwane
lub
przekazywane
przez
sieci
telekomunikacyjne i systemy teleinformatyczne w celu ich eksploatacji, użycia, ochrony lub
utrzymania”.
Oznacza to, że w zakres pojęciowy włączone będą również przetwarzane w sieciach
i systemach teleinformatycznych treści. Dostrzegając oczywistą zasadność ochrony oprócz
sieci, również przetwarzanych w nich informacji (w tym danych osobowych, regulowanych
jednak odrębnymi aktami jak dyrektywa 95/46/WE oraz dyrektywa 2002/58/WE), nie jest
znana intencja projektodawcy co do zastosowania wymogów wobec, oprócz sieci i systemów,
również przetwarzanych w tych sieciach i systemach treści (stosownie do postanowień art.
14). Wydaje się zatem, że w tym zakresie, niezbędne jest doprecyzowanie projektowanych
i planowanych do wydania przepisów w drodze aktów delegowanych. W przeciwnym razie
dokonanie rzetelnej oceny skutków regulacji nie jest na dzień dzisiejszy możliwe.
W kontekście powyższego wątpliwość należy wyrazić wobec wszystkich proponowanych
definicji, które nie znajdują odzwierciedlenia w dyrektywie ramowej, przewidującej
obowiązki adresowane do przedsiębiorców telekomunikacyjnych, na których - stosownie do
informacji przedstawionych w pkt 1.1 uzasadnienia projektowanej regulacji - opiera się
przedmiotowy wniosek (trzeci cel). Oznacza to, że obowiązki podmiotów gospodarczych i
organów administracji publicznej w rozumieniu projektowanej dyrektywy i obowiązki
nałożone
na przedsiębiorców telekomunikacyjnych dyrektywą ramową nie będą de facto tożsame.
Wątpliwości te opisane są szczegółowo w dalszej części Stanowiska RP.
11
Odnosząc się jednocześnie do definicji „sieci i systemów informatycznych” należy wyraźnie
podkreślić, iż w polskim systemie prawnym odpowiadać jej będzie zarówno definicja sieci
telekomunikacyjnej w rozumieniu art. 2 pkt 35 ustawy Prawo telekomunikacyjne i system
teleinformatyczny w rozumieniu art. 2 pkt 3 ustawy o świadczeniu usług drogą elektroniczną,
co ważne podkreślenia – bez żadnych wyłączeń przedmiotowych, co oznacza, że każdy
system teleinformatyczny w rozumieniu ustawy o świadczeniu usług drogą elektroniczną
wykorzystywany we wskazanych w dyrektywie branżach, objęty będzie jej zakresem.
Projektodawca przewidział jedynie wyłączenia podmiotowe w art. 14 ust. 8, w świetle
którego organy administracji publicznej i podmioty gospodarcze stosować będą odpowiednie
środki zmierzające do utrzymania odpowiedniego poziomu bezpieczeństwa oraz będą
raportować właściwemu organowi incydenty mające znaczące konsekwencje dla
bezpieczeństwa świadczonych przez nie usług podstawowych. Z realizacji tych obowiązków
zwolnione będą jedynie mikroprzedsiębiorstwa określone w zaleceniu Komisji 2003/361/WE
z dnia 6 maja 2003 r. w sprawie definicji mikroprzedsiębiorstw oraz małych i średnich
przedsiębiorstw6.
Niezależnie od powyższego należy również zwrócić uwagę na rozbieżności pomiędzy
definicją „dostawcy usług zaufania” w proponowanym projekcie7 oraz analogiczną definicją
zawartą
w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie identyfikacji
elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznej na rynku
wewnętrznym8. Zidentyfikowane różnice oraz relacja obydwu definicji wymagają
wyjaśnienia przez projektodawcę w trakcie dalszych prac nad obydwoma projektami.
Proponowany projekt odnosi się również w swojej treści i w uzasadnieniu do pojęć
„infrastruktury krytycznej”, „krytycznych sektorów” oraz „krytycznej infrastruktury
informatycznej”, natomiast pojęcia te mają zakres inny niż wynikające z dyrektywy
2008/114/WE. W preambule pkt 24, a także w art. 3 ust. 8 lit. b i Załączniku II do projektu
dyrektywy wskazany jest katalog operatorów infrastruktury krytycznej szerszy niż wskazany
w załączniku do dyrektywy 2008/114/WE, w którym wskazane są jedynie sektory „energia”
i „transport”. Wydaje się, że powinien nastąpić wyraźny rozdział w treści na operatorów
infrastruktury krytycznej w rozumieniu dyrektywy 2008/114/WE (z uwzględnieniem
załącznika 1 oraz prowadzonego obecnie przeglądu dyrektywy 2008/114/WE) oraz
pozostałych operatorów.
6
http://www.ksse.com.pl/prawo/dok%2012.pdf
Artykuł 2
Liczba zatrudnionych osób i pułapy finansowe określające kategorie przedsiębiorstw
1. Na kategorię przedsiębiorstw mikro, małych i średnich (MŚP) składają się przedsiębiorstwa, które zatrudniają
mniej niż 250 osób, i których obroty roczne nie przekraczają 50 mln EUR, i/lub których roczna suma bilansowa
nie przekracza 43 mln EUR.
2. W kategorii MŚP, małe przedsiębiorstwo jest zdefiniowane jako przedsiębiorstwo zatrudniające mniej niż 50
osób, i którego obroty roczne i/lub roczna suma bilansowa nie przekracza 10 mln EUR.
3. W kategorii MŚP, przedsiębiorstwo mikro jest zdefiniowane jako przedsiębiorstwo zatrudniające mniej niż 10
osób, i którego obroty roczne i/lub roczna suma bilansowa nie przekracza 2 mln EUR.
7
Art. 3 pkt 11) „dostawca usług zaufania” oznacza każdą osobę fizyczną lub prawną, która świadczy
jakąkolwiek elektroniczną usługę polegającą na tworzeniu, kontroli, walidacji i przechowywaniu podpisów
elektronicznych, pieczęci elektronicznych, elektronicznych znaczników czasu, dokumentów elektronicznych,
usług doręczenia elektronicznego, usług uwierzytelniania witryn internetowych i certyfikatów elektronicznych,
w tym certyfikatów podpisów elektronicznych i pieczęci elektronicznych.
8
Art. 3 pkt 14) „dostawca usług zaufania” oznacza osobę fizyczną lub prawną, która świadczy jedną usługę
zaufania lub więcej takich usług;
Art. 3 pkt 15) „dostawca kwalifikowanych usług zaufania” oznacza dostawcę usług zaufania, który spełnia
wymagania ustanowione w niniejszym rozporządzeniu;
12
Art. 5 oraz art. 21 – krajowa strategia w zakresie bezpieczeństwa sieci i informacji oraz
krajowy plan współpracy w zakresie bezpieczeństwa sieci i informacji i transpozycja
Należy wyrazić generalne zastrzeżenie do proponowanej jednostki redakcyjnej.
W szczególności brak jest informacji na temat charakteru krajowej strategii i krajowego planu
oraz ich relacji do obowiązków, co trzeba podkreślić, dość ogólnych określonych
projektowaną dyrektywą. Brak jest również informacji na temat relacji tych krajowych
dokumentów, a raczej wskazanych w katalogu z art. 5 wymaganych elementów tych
dokumentów do przyszłych aktów delegowanych wydawanych na mocy art. 9 ust. 2, art. 10
ust. 5 oraz art. 14 ust. 5. Jak się wydaje, akty te wskazywać będą elementy wymagane przez
art. 5, natomiast na dzień dzisiejszy nie są znane. Rodzi to kolejną wątpliwość w przedmiocie
terminów - implementacji przedmiotowej dyrektywy, na co stosownie do brzmienia art. 21
przewiduje
się
półtora
roku
od dnia przyjęcia oraz terminu przekazania krajowej strategii i krajowego planu, co stosownie
do brzmienia art. 5 ust. 3 ma nastąpić w ciągu miesiąca od dnia ich przyjęcia, a które mają
zawierać elementy będące przedmiotem nieznanych na dzień dzisiejszy aktów delegowanych.
Nie wiadomo w takim razie, kiedy Komisja spodziewa się otrzymać krajową strategię i
krajowy plan oraz kiedy dyrektywa powinna zostać w całości wdrożona.
Niezależnie od powyższego należy wskazać, iż w świetle tak ogólnych na dzień dzisiejszy
obowiązków przewidzianych dyrektywą, domniemywać można iż krajowe strategie i plany
będą charakteryzować się dużymi rozbieżnościami w poszczególnych państwach
członkowskich. W związku z powyższym wydaje się, iż obligatoryjne elementy wskazane
w art. 5, które powinny znaleźć się w krajowej strategii i planie – powinny również, w celu
harmonizacji przepisów zmierzających do efektywnej współpracy i utrzymania jednolitego
poziomu bezpieczeństwa na terenie UE, zostać opracowane nie na poziomie krajowym,
a na poziomie europejskim – równocześnie z projektowaną dyrektywą. Oczywiście zdając
sobie sprawę z poważnych dysproporcji mogących mieć miejsce w poszczególnych
państwach członkowskich, takie krajowe dokumenty oraz przewidziane w nich działania, jak
się wydaje powinny mieć miejsce uprzednio w stosunku do realizacji postanowień dyrektywy
wdrożonych do narodowych systemów prawnych.
W świetle powyższego wskazać należy, że Rząd RP rozpoczął już prace nad dokumentem
dotyczącym tych kwestii, zatytułowanym: „Polityka Bezpieczeństwa Cyberprzestrzeni RP”.
Obejmuje on swoim zakresem działania zmierzające do zwiększenia bezpieczeństwa
teleinformatycznego szeregu podmiotów (od administracji publicznej, poprzez operatorów
infrastruktury krytycznej, po przedsiębiorców telekomunikacyjnych i użytkowników
indywidualnych), działania edukacyjne, ogólne zasady współpracy krajowej
i międzynarodowej w tym zakresie oraz ocenę ryzyka i priorytetowe zadania do realizacji.
Istotną różnicą jest jednak brak określenia jednego organu odpowiedzialnego za całokształt
działań w tym zakresie – odpowiednika „właściwego organu krajowego ds. bezpieczeństwa
sieci i systemów informatycznych” (w rozumieniu art. 6 ust. 1 niniejszej dyrektywy).
Art. 6, 7, 8 15 – właściwy organ ds. bezpieczeństwa sieci i systemów/utworzenie
CERT/egzekwowanie przepisów
Przepis art. 6 zobowiązuje państwa członkowskie do wyznaczenia „właściwego organu”
do spraw bezpieczeństwa sieci i systemów informatycznych, którym jednocześnie państwa
członkowskie powinny zapewnić odpowiednie zasoby techniczne, finansowe oraz ludzkie,
13
aby mogły skutecznie i efektywnie realizować powierzone im zadania w celu osiągnięcia
celów dyrektywy. Jednocześnie właściwy organ powinien:
- otrzymywać od podmiotów zobowiązanych informacje o zidentyfikowanych incydentach
(art. 6 ust. 4 w zw. z art. 14 ust. 2 i art. 15),
- posiadać narzędzia niezbędne do weryfikacji wdrożonych środków mających na celu
zapobieganie incydentom, pozyskiwania informacji niezbędnych do oceny bezpieczeństwa
sieci i systemów podmiotów zobowiązanych (administracji publicznej i podmiotów
gospodarczych), a także do zobowiązania podmiotów zobowiązanych do poddania się
audytowi bezpieczeństwa przeprowadzanemu przez niezależny podmiot lub organ krajowy
(art. 15 ust. 1 i 2),
- posiadać uprawnienia do wydawania wiążących instrukcji dla podmiotów gospodarczych
i organów administracji publicznej (art. 15 ust. 3),
- współpracować z odpowiednimi krajowymi organami ścigania oraz organami ochrony
danych osobowych (art. 6 ust. 5),
- nadzorować CERT, a jednocześnie powinien regularnie dokonywać przeglądu stosowności
jego zasobów, jego mandatu oraz skuteczności jego procedury postępowania w przypadku
incydentów (art. 7 ust. 5),
- współpracować w ramach sieci współpracy tworzonej przez te organy wspólnie z Komisją
Europejską (art. 8), a w jej ramach wykonywać działania szczegółowe określone w art. 8 ust.
39.
Jednocześnie należy zwrócić uwagę, iż w świetle art. 6 ust. 6 projektu, każde państwo
członkowskie powinno powiadamiać Komisję Europejską o fakcie wyznaczenia właściwego
organu, o jego zadaniach i o wszelkich późniejszych zmianach dotyczących tego organu.
9
Art. 8 ust. 3. W ramach sieci współpracy właściwe organy:
a)
przekazują wczesne ostrzeżenia dotyczące zagrożeń i incydentów zgodnie z art. 10;
b)
zapewniają skoordynowaną reakcję zgodnie z art. 11;
c)
regularnie publikują na wspólnej stronie internetowej niemające poufnego charakteru informacje na
temat aktualnych wczesnych ostrzeżeń i skoordynowanych reakcji;
d)
wspólnie omawiają i oceniają, na wniosek państwa członkowskiego lub Komisji, jedną krajową
strategię w zakresie bezpieczeństwa sieci i informacji, lub ich większą liczbę, lub jeden krajowy plan
współpracy w zakresie bezpieczeństwa sieci i informacji, lub ich większą liczbę, o których mowa w
art. 5, w zakresie niniejszej dyrektywy;
e)
wspólnie omawiają i oceniają, na wniosek państwa członkowskiego lub Komisji, skuteczność CERT,
zwłaszcza w przypadku gdy ćwiczenia w zakresie bezpieczeństwa sieci i informacji przeprowadzane
są na poziomie unijnym;
f)
współpracują i wymieniają się informacjami dotyczącymi wszystkich istotnych kwestii z działającym
przy Europolu Europejskim Centrum ds. Walki z Cyberprzestępczością oraz z innymi właściwymi
organami europejskimi, w szczególności w dziedzinach ochrony danych, energetyki, transportu,
bankowości, obrotu papierami wartościowymi i opieki zdrowotnej;
g)
wymieniają się informacjami i najlepszymi praktykami między sobą i z Komisją oraz udzielają sobie
wzajemnie pomocy w budowaniu zdolności w zakresie bezpieczeństwa sieci i informacji;
h)
regularnie organizują wzajemne oceny zdolności i gotowości;
i)
organizują ćwiczenia w zakresie bezpieczeństwa sieci i informacji na poziomie unijnym oraz
uczestniczą, w stosownych przypadkach, w międzynarodowych ćwiczeniach w zakresie
bezpieczeństwa sieci i informacji.
14
Podobne wymogi stawiane są w stosunku do CERT, który ma spełniać warunki i realizować
działania określone w Załączniku I do projektu10 oraz m.in. ma wykorzystywać bezpieczną
i odporną infrastrukturę komunikacyjną i informacyjną na poziomie krajowym, która jest
kompatybilna i interoperacyjna z bezpiecznym systemem wymiany informacji, o którym
mowa w art. 9.
Biorąc pod uwagę powyższe należy skonstatować, iż w celu implementacji dyrektywy
niezbędne będzie wyznaczenie właściwego organu, którym może być obecnie funkcjonujący
podmiot lub podmiot nowoutworzony, pod nadzorem którego działać będzie CERT. Na
chwilę obecną, biorąc pod uwagę liczne inne i poważne wątpliwości w stosunku do
projektowanej regulacji, w szczególności opisane w dalszej części Stanowiska RP,
szczegółowa analiza możliwości wyznaczenia w ramach istniejących struktur lub powołania
nowego właściwego organu nie znajduje uzasadnienia.
10
ZAŁĄCZNIK I
Zespoły reagowania na incydenty komputerowe (CERT) – wymogi i zadania
Wymogi i zadania dla CERT są odpowiednio i jasno określone i umocowane w strategiach lub regulacjach
krajowych. Obejmują one następujące elementy:
(1)
Wymogi dotyczące CERT
a)
CERT zapewnia wysoką dostępność swoich usług łączności poprzez unikanie pojedynczych punktów
awarii oraz dysponuje różnymi kanałami, za pomocą których można się z nim skontaktować i za
pomocą których on sam może się kontaktować z innymi. Ponadto kanały komunikacyjne są wyraźnie
określone i dobrze znane wśród użytkowników CERT i wśród współpracujących partnerów.
b)
CERT wdraża środki mające na celu zapewnienie poufności, integralności, dostępności i
wiarygodności otrzymywanych i przetwarzanych informacji, oraz zarządza tymi środkami.
c)
Biura CERT oraz wspierające systemy informatyczne są zlokalizowane w bezpiecznych miejscach.
d)
W celu monitorowania działalności CERT i zapewnienia jej ciągłej poprawy należy utworzyć system
zarządzania jakością usług. System ten jest oparty na jasno zdefiniowanych metodach pomiaru, które
obejmują formalne poziomy usług oraz kluczowe wskaźniki wyników.
e)
Ciągłość działania:
–
CERT musi być wyposażony w odpowiedni system zarządzania i dysponowania wnioskami w
celu ułatwienia ich późniejszego przekazywania.
–
CERT dysponuje wystarczającą liczbą personelu, aby zapewnić nieprzerwaną dostępność
usług.
–
CERT korzysta z infrastruktury o gwarantowanej ciągłości działania. W tym kontekście należy
zapewnić CERT systemy redundantne oraz rezerwowy lokal w celu zapewnienia stałego
dostępu do środków komunikacji.
(2)
Zadania CERT
a)
Zadania CERT obejmują co najmniej:
–
monitorowanie incydentów na poziomie krajowym;
–
przekazywanie zainteresowanym stronom wczesnych ostrzeżeń, ogłaszanie alarmów,
wydawanie ogłoszeń i przekazywanie informacji skierowanych do zainteresowanych stron i
dotyczących zagrożeń oraz incydentów;
–
reagowanie na incydenty;
–
zapewnianie dynamicznej analizy zagrożeń i incydentów oraz zintegrowanej oceny sytuacji;
–
informowanie opinii publicznej o zagrożeniach związanych z działalnością online,
–
organizowanie kampanii w zakresie bezpieczeństwa sieci i informacji.
b)
CERT nawiązuje współpracę z sektorem prywatnym.
c)
W celu ułatwienia współpracy CERT wspiera przyjmowanie i wykorzystywanie wspólnych lub
znormalizowanych praktyk w odniesieniu do:
–
procedur postępowania w przypadku wystąpienia incydentów i zagrożeń;
–
systemów klasyfikacji incydentów, zagrożeń i informacji;
–
taksonomii metod pomiarów;
–
formatów wymiany informacji dotyczących zagrożeń i incydentów oraz konwencji
nazewnictwa systemów.
15
Odnosząc się szczegółowo do treści art. 8 określającego sieć współpracy, należy wskazać,
iż poza ogólnym zobowiązaniem do współpracy w ramach sieci właściwych organów
poszczególnych państw członkowskich, brak jest określenia jakichkolwiek zasad prowadzenia
tej współpracy i dialogu pomiędzy aktorami, przez co trudno jest dokonać oceny propozycji.
Wprawdzie na podstawie art. 8 ust. 4 Komisja Europejska w drodze aktów wykonawczych
ustanowi niezbędne środki w celu ułatwienia współpracy pomiędzy właściwymi organami
i Komisją, natomiast na dzień dzisiejszy dokonanie oceny nieznanych zasad współpracy,
uniemożliwia dokonanie rzetelnej oceny proponowanego rozwiązania i oceny skutków
regulacji. W związku z powyższym proponuje się przedstawienie projektów aktów
wykonawczych, o których mowa w art. 8 ust. 4 lub, co uznaje się za bardziej zasadne,
uwzględnienie współpracy właściwych organów wprost w treści dyrektywy.
Niezależnie od powyższego wątpliwości budzi określone w art. 15 ust. 6 zobowiązanie
państw członkowskich do zapewnienia możliwości poddania kontroli sądowej wszelkich
obowiązków nałożonych na mocy Rozdziału IV (art. 14 – 16) na organy administracji
publicznej oraz podmioty gospodarcze. Pomijając fakt ewentualnych skutków oceny sądowej
dla realizacji celów i obowiązków przewidzianych omawianym projektem, o ile w przypadku
podmiotów gospodarczych jest to procedura możliwa do wdrożenia na gruncie obecnego
systemu prawnego, o tyle poważne zastrzeżenia budzi wprowadzenie i realizacja kontroli
sądowej
w przypadku obowiązków nałożonych na organy administracji publicznej.
Należy w tym miejscu wskazać, iż w warunkach polskich nie istnieje jeden „zespół
reagowania na incydenty komputerowe” (w rozumieniu art. 7 ust. 1 niniejszej dyrektywy),
lecz szereg CERT-ów, zajmujących się kwestią szeroko rozumianego bezpieczeństwa
teleinformatycznego, wśród których wymienić należy m.in.:
-
-
-
rządowy Zespół Reagowania na Incydenty Komputerowe – CERT.GOV.PL –
funkcjonujący w ramach Departamentu Bezpieczeństwa Teleinformatycznego Agencji
Bezpieczeństwa Wewnętrznego. Poza podejmowaniem interwencji w sytuacjach
zagrożenia bezpieczeństwa cyberprzestrzeni RP, w szczególności o podłożu
kryminalnym, zespół ten publikuje na swoich stronach internetowych informacje
o istotnych zagrożeniach dla bezpieczeństwa teleinformatycznego, zalecenia,
narzędzia, poprawki, aktualizacje, itp.,
resortowe Centrum Zarządzania Bezpieczeństwem Usług i Sieci Teleinformatycznych
Ministerstwa Obrony Narodowej – funkcjonujący w resorcie obrony narodowej,
zajmujący się zapobieganiem incydentom mogących wpłynąć na obronność RP,
zespoły utworzone przez „środowisko telekomunikacyjne”, m.in. „CERT POLSKA” –
funkcjonujący w ramach Naukowej i Akademickiej Sieci Komputerowej (będącej
instytutem badawczym, jak i operatorem sieci transmisji danych).
Podejmowanie działań na rzecz bezpieczeństwa teleinformatycznego przez szereg instytucji
oraz powołanych w tym celu zespołów (CERT-ów), skutkuje podejmowaniem przez
nie współpracy, w szczególności międzynarodowej, o różnym zakresie i skali. Wydaje się,
że mnogość podmiotów podejmujących się zadań na rzecz bezpieczeństwa
teleinformatycznego, w tym Zespołów CERT oraz ich niejednolita podległość, będą stać na
przeszkodzie szybkiej implementacji rozwiązań proponowanych w niniejszej dyrektywie,
opierających się na centralizacji działań i powierzeniu wszelkich kompetencji w tym zakresie
jednemu organowi.
16
Art. 9 – bezpieczny system wymiany informacji
Wątpliwości budzi ponownie delegowanie określenia wymogów dla państw członkowskich
oraz CERTów do przyszłych, o nieznanym na dzień dzisiejszy zakresie i poziomie
szczegółowości, aktów delegowanych. W związku z powyższym należy przedmiotowe
rozwiązanie, pomimo zgody co do zasadności jego szczegółowego określenia
umożliwiającego dokonanie oceny skutków regulacji, w takiej formie ocenić negatywnie.
Art. 10 i 11 – wczesne ostrzeżenia i skoordynowana reakcja
Należy wyrazić wątpliwości względem zaproponowanych kryteriów, które mają na celu
zdefiniowanie stosowanego w ramach projektu „znaczącego wpływu” lub „znaczących
konsekwencji” w odniesieniu do identyfikowanych zagrożeń lub incydentów, które z kolei
kwalifikować będą określone zdarzenia do wczesnego ostrzeżenia. Wprawdzie Komisja
Europejska uprawniona będzie na mocy art. 10 ust. 5 do przyjęcia aktów delegowanych
dotyczących sprecyzowania zagrożeń i incydentów prowadzących do wczesnych ostrzeżeń,
natomiast na chwilę obecną określone w art. 10 ust. 1 kryteria utrudniają dokonanie rzetelnej
oceny propozycji; kryteria tj.:
- skala (zagrożeń lub incydentów) szybko rośnie lub może szybko wzrosnąć;
- przekraczają (zagrożenia lub incydenty) lub mogą przekroczyć krajowe zdolności
reagowania;
- mają (zagrożenia lub incydenty) wpływ lub mogą mieć wpływ na więcej niż jedno
państwo członkowskie.
Należy wskazać, iż tak dalece nieprecyzyjne kryteria, w związku z subiektywną oceną
dokonywaną przez państwa członkowskie, doprowadzić w efekcie mogą do poważnej
nierówności wagi zgłoszeń, co w konsekwencji nie wpłynie pozytywnie na zakładaną przez
projektodawcę efektywność narzędzia wczesnych ostrzeżeń.
W konsekwencji powyższego należy również w tym przypadku postulować przedstawienie
stosownego projektu aktu wykonawczego lub, co wydaje się bardziej zasadne, unikać
nadmiernego delegowania regulacji do aktów o nieznanym na dzień dzisiejszy kształcie.
W związku z tym za zasadne uznaje się dokonanie próby określenia warunków dotyczących
precyzowania zagrożeń i incydentów prowadzących do wczesnych ostrzeżeń, na poziomie
dyrektywy.
Na marginesie należy również zauważyć, iż w odniesieniu m.in. do „znaczącego wpływu”
incydentów w zakresie obowiązków określonych dla przedsiębiorców telekomunikacyjnych
na podstawie dyrektywy ramowej, ENISA przedstawiła stosowne zalecenia11.
Odnosząc się natomiast do przepisu art. 11 dotyczącego uzgadniania przez właściwe organy
skoordynowanej reakcji zgodnie z planem, o którym mowa w art. 12 i przekazywaniu do sieci
współpracy informacji o różnych środkach przyjętych na poziomie krajowym należy uznać, iż
brak jest określenia znaczeniowego „skoordynowanej reakcji”, brak jest również określenia
terminu jej podjęcia oraz w szczególności zasad określających jej podejmowanie. Należy
również wskazać, iż dokonanie oceny następstw przekazywania wczesnych ostrzeżeń, bez
11
https://resilience.enisa.europa.eu/article-13/guideline-for-incident-reporting/technical-guideline-on-incidentreporting-v-2-0
17
znajomości szczegółów na ich temat, jest w świetle dość ogólnej formy przepisów
zaproponowanych przez Komisję Europejską, na chwilę obecną niemożliwe.
Inne wątpliwości interpretacyjne w stosunku do przepisu art. 11 omówione zostały
szczegółowo w dalszej części Stanowiska RP.
Art. 12 – unijny plan współpracy w zakresie bezpieczeństwa sieci i informacji
W konsekwencji uwag do przepisów art. 10 oraz 11, negatywne stanowisko należy również
zająć w stosunku do przepisu art. 12, na podstawie którego Komisja Europejska uprawniona
będzie do przyjęcia, w drodze aktów wykonawczych, unijnego planu współpracy w zakresie
bezpieczeństwa sieci i informacji, który stosownie do projektowanego przepisu art. 12 ust. 2
obejmował będzie:
a)
do celów art. 10:
–
określenie formatu i procedur gromadzenia i wymiany kompatybilnych i
porównywalnych informacji na temat zagrożeń i incydentów przez właściwe organy;
–
określenie procedur i kryteriów oceny zagrożeń i incydentów przez sieć współpracy;
b)
procedury, jakie należy stosować w przypadku skoordynowanych reakcji na mocy
art. 11, w tym określenie funkcji i obowiązków oraz procedur współpracy;
c)
plan działania dotyczący ćwiczeń i szkoleń w zakresie bezpieczeństwa sieci i
informacji, mający na celu wzmocnienie, zatwierdzenie i sprawdzenie głównego
planu;
d)
program dotyczący transferu wiedzy między państwami członkowskimi w
odniesieniu do budowy zdolności i wzajemnego uczenia się;
e)
program dotyczący działań informacyjnych
członkowskimi.
i
szkoleń między państwami
Zakres proponowanej regulacji jest na chwilę obecną nieznany (z powodu delegowania kilku
regulacji szczegółowych w ramach aktów wykonawczych), podobnie jak fakt uwzględnienia
w sieci współpracy regulatorów rynków telekomunikacyjnych oraz informacji o incydentach
dotyczących infrastruktury i usług telekomunikacyjnych (o czym szeroko w dalszej części
Stanowiska RP). Nie są także znane kryteria dokonywania oceny zagrożeń i incydentów przez
poszczególne państwa członkowskie.
Jednocześnie należy zwrócić uwagę na brzmienie art. 12 ust. 3, zgodnie z którym unijny plan
współpracy w zakresie bezpieczeństwa sieci i informacji przyjmuje się nie później niż jeden
rok po wejściu w życie niniejszej dyrektywy i regularnie poddaje się przeglądowi. Po
pierwsze brak jest doprecyzowania „regularności” dokonywania przeglądu planu. Po drugie
natomiast, w związku z nieznanym terminem publikacji poszczególnych aktów
delegowanych, półtorarocznym terminem na wdrożenie przez państwa członkowskie
przepisów projektowanej dyrektywy oraz brakiem informacji na temat terminu opracowania
przez państwa członkowskie krajowych strategii i planów (oraz dokonania ich oceny przez
Komisję Europejską w kontekście opracowania efektywnego modelu współpracy) należy
wyrazić wątpliwość co do intencji projektodawcy w przedmiocie harmonogramu działań na
poziomie europejskim, Wydaje się, że wszystkie te wątpliwości powinny zostać rozwiązane
na poziomie omawianego projektu.
18
Art. 14 – wymogi w zakresie bezpieczeństwa i zgłaszanie incydentów
Główne wątpliwości w zakresie tej jednostki redakcyjnej dotyczą udziału regulatorów rynków
telekomunikacyjnych oraz braku informacji na temat incydentów dotyczących infrastruktury i
usług telekomunikacyjnych. Wszystkie te wątpliwości zostały omówione w dalszej części
Stanowiska RP.
Niezależnie od powyższego należy wymóc na projektodawcy wyjaśnienie przepisu art. 14 ust.
3, w świetle którego przedsięwzięcie określonych środków mających na celu przeciwdziałanie
zagrożeniom oraz obowiązek notyfikacji zagrożeń właściwym organom, ciążyć będzie
na wszystkich podmiotach gospodarczych świadczących usługi w obrębie Unii Europejskiej.
Wydaje się zatem, że bez znaczenia będzie fakt posiadania przez dany podmiot gospodarczy
siedziby na terenie UE, przez co można domniemywać, iż adresatami wymogów z art. 14 ust.
1 i 2 będą również podmioty nieposiadające siedziby na terenie UE, a jedynie świadczące
na jej terenie usługi. Oznacza to, że podmioty gospodarcze spoza terenu UE zobowiązane
będą na gruncie dyrektywy do podejmowania określonych w art. 14 ust. 1 i 2 działań. W
kontekście powyższego zasadniczym problemem wymagającym wyjaśnienia będzie
zapewnienie skutecznego egzekwowania wdrożonych na podstawie dyrektywy przepisów
narodowych wobec faktu powszechnej dostępności usług świadczonych przez Internet.
Dodatkową wątpliwość należy wyrazić ponownie względem projektowanego na mocy art. 14
ust. 5 aktu delegowanego, w którym Komisja Europejska określi okoliczności, w których
organy administracji publicznej i podmioty gospodarcze będą zobowiązane do zgłaszania
incydentów. Wątpliwości budzi w szczególności relacja projektowanego aktu i jego zakresu
do krajowych strategii i planów, do przyjęcia których państwa członkowskie zobowiązane
będą na mocy art. 5 projektowanej dyrektywy, a które będą miały w szczególności określać
cele strategiczne i konkretne środki polityczne i regulacyjne mające na celu osiągnięcie i
utrzymanie wysokiego poziomu bezpieczeństwa sieci i informacji. Można domniemywać, iż
skoro Komisja Europejska dopiero zamierza określić okoliczności dokonywania zgłoszeń, to
w takiej sytuacji identyfikowane przez poszczególne państwa członkowskie zagrożenia, a
następnie podejmowane przez nie działania okażą się rozbieżne, co stawia pod znakiem
zapytania zasadność ich uprzedniego opracowywania, do czasu wydania przez Komisję
Europejską wszystkich przewidzianych w projekcie aktów delegowanych.
Art. 16 – normalizacja
Nie negując oczywistej potrzeby wskazania i stosowania odpowiednich norm lub
specyfikacji, czego skutkiem ma być zapewnienie jednolitego poziomu ochrony sieci i
systemów teleinformatycznych na terenie UE, należy wyjaśnić dwie zasadnicze kwestie, które
wobec kształtu omawianego projektu, budzą uzasadnione wątpliwości.
Po pierwsze należy wskazać, iż międzynarodowych organizacji normalizacyjnych jest
przynajmniej kilkanaście12, w związku z czym nie jest na obecnym etapie jasne, które normy
12
Międzynarodowe organizacje normalizacyjne




Międzynarodowa Komisja Elektrotechniczna (IEC)
Europejski Komitet Normalizacyjny (CEN)
Europejski Komitet Normalizacji Elektrotechnicznej (CENELEC)
Europejski Instytut Norm Telekomunikacyjnych (ETSI)
19
lub specyfikacje oraz w szczególności których organizacji normalizacyjnych zostaną
wskazane przez Komisję Europejską jako obligatoryjne do stosowania na podstawie art. 16
ust.
2
w wykazie norm (oraz jak się wydaje specyfikacji, ponieważ ust. 2 już do specyfikacji się
nie odwołuje, co również powinno zostać wyjaśnione na dalszym etapie prac), co znacznie
utrudnia na tym etapie dokonanie oceny skutków regulacji. Oceniając kierunkową propozycję
Komisji należy wskazać, iż nałożenie na podmioty realizujące zadania publiczne oraz
podmioty gospodarcze obowiązku stosowania określonych norm lub specyfikacji wiązać się
będzie
z zaangażowaniem trudnych do oceny na dzień dzisiejszy środków budżetowych, co przełoży
się również na możliwy do realizacji termin wdrożenia i operacyjności przepisów dyrektywy.
Po drugie należy jednocześnie zauważyć, iż obok organizacji o zasięgu regionalnym
(np. europejskim) lub ogólnoświatowym funkcjonują również organizacje narodowe, które
również mogą ustanawiać normy lub specyfikacje. Jest to szczególnie ważne w przypadku
przepisu art. 14 ust. 3 projektu, w świetle którego wymogi określone w art. 14 ust. 1 (w tym
zmierzające do wskazania odpowiednich norm lub specyfikacji do stosowania) dotyczyć będą
wszystkich podmiotów gospodarczych świadczących usługi w obrębie Unii Europejskiej.
Zasadniczy problem dotyczył będzie zatem możliwości egzekwowania stosowania
odpowiednich norm lub specyfikacji przez podmioty posiadające siedzibę poza terenem UE,
oraz w szczególności – konsekwencji braku realizacji przez takie podmioty gospodarcze
wymogów przedmiotowej dyrektywy.
Po trzecie, w konsekwencji odwołania do obowiązku określonego w art. 14 ust. 1, wydaje się,
że spod rygoru stosowania norm lub specyfikacji, które zostaną wskazane przez Komisję
Europejską w przyszłym akcie delegowanym, wyłączeni są przedsiębiorcy telekomunikacyjni
oraz incydenty identyfikowane w warstwie infrastrukturalnej oraz warstwie usług
telekomunikacyjnych, co budzi poważne wątpliwości ze względu na realizację celu
przedmiotowej regulacji. Problem ten szczegółowo omówiony jest w dalszej części
Stanowiska RP.
Art. 17 – sankcje


Międzynarodowa Organizacja Normalizacyjna (ISO)
Międzynarodowy Związek Telekomunikacyjny (ITU)
Organizacje normalizacyjne o zasięgu światowym







European Computer Manufacturers Association (ECMA)
Internet Engineering Task Force (IETF)
Object Management Group (OMG)
Organization for the Advancement of Structured Information Standards (OASIS)
Institute of Electrical and Electronics Engineers (IEEE)
World Wide Web Consortium (W3C)
National Institute of Standards and Technology (NIST)
20
Wydaje się, że dość ogólnie sformułowane sankcje, które powinny zostać przewidziane
w poszczególnych prawach narodowych na mocy omawianej dyrektywy, tzn. sankcje
„skuteczne, proporcjonalne i odstraszające” wymagają doprecyzowania, zwłaszcza ze
względu na osiągnięcie zakładanego przez projektodawcę celu. Nie jest bowiem jasne,
dlaczego projektodawca pozostawia państwom członkowskim tak dużą swobodę w określeniu
wysokości przedmiotowych kar w sytuacji, w której - stosownie do art. 17 ust. 2 – w zakresie
incydentów zagrażających bezpieczeństwu danych osobowych państwa członkowskie mają
dopilnować, aby sankcje były zgodne z sankcjami przewidzianymi w rozporządzeniu
Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z
przetwarzaniem danych osobowych i swobodnym przepływem takich danych 13, które to
sankcje, co ważne, po pierwsze odnoszą się również do małych i średnich przedsiębiorstw
(wyłączonych z zakresu projektowanej dyrektywy) oraz po drugie - są w projekcie
rozporządzenia
wprost
określone14.
Z tego względu wydaje się, iż za zasadne należy uznać działania zmierzające do próby
określenia wysokości i ciężaru sankcji w przedmiotowej dyrektywie. Należy jednocześnie
zauważyć, iż co do zasady, zdecydowana większość przypadków utraty bezpieczeństwa sieci
lub systemu teleinformatycznego prowadzić może do zagrożenia dla przetwarzanych
za ich pośrednictwem danych osobowych. Jeśli uznać tę tezę za prawidłową, praktycznie
każda sankcja odpowiadać będzie musiała wysokością sankcjom określonym w
rozporządzeniu ogólnym w sprawie ochrony danych osobowych.
Niezależnie od powyższego, ponownie należy zwrócić uwagę na ewentualną relację
projektowanych przepisów w tym zakresie (a zatem sankcji) w stosunku do obowiązków
przyjętych do narodowych systemów prawnych na podstawie dyrektywy ramowej.
Przedsiębiorcy telekomunikacyjni
Projektodawca słusznie wskazał, iż przedsiębiorcy telekomunikacyjni mają na dzień
dzisiejszy stosowne obowiązki, inkorporowane do praw narodowych państw członkowskich
w
związku
z obowiązkiem implementacji przepisów art. 13a i 13b dyrektywy ramowej 2002/21/WE,
wprowadzonych dyrektywą 2009/140/WE. Przedmiotowe przepisy znajdują odzwierciedlenie
w ustawie Prawo telekomunikacyjne znowelizowanej w dniu 16 listopada 2012 r. ustawą
o zmianie ustawy Prawo telekomunikacyjne oraz niektórych innych ustaw (Dz. U. poz. 1445).
Należy jednak zauważyć, iż proponowany w projekcie dyrektywy zakres obowiązków
przewidzianych dla dostawców usług świadczonych drogą elektroniczną, operatorów
infrastruktury krytycznej oraz podmiotów realizujących zadania publiczne znacznie różni się
od obowiązków wynikających z art. 13a i 13b dyrektywy ramowej.
Po pierwsze należy wskazać, iż w dyrektywie ramowej brak jest definicji odpowiadających
definicjom z projektu dyrektywy. W szczególności brak jest definicji „bezpieczeństwa”,
„zagrożenia”, „incydentu” czy „postępowania w przypadku incydentu”. Ponieważ
przedsiębiorcy telekomunikacyjni wyłączeni są z zakresu projektu dyrektywy, na co wskazuje
definicja „podmiotu gospodarczego” z art. 3 pkt 8 w zw. z przepisem art. 14 nakładającym
obowiązki na organy administracji publicznej i podmioty gospodarcze oraz przepis art. 1 ust.
3, który wprost stanowi, że „wymogi bezpieczeństwa przewidziane w art. 14 nie mają
13
SEC(2012) 72 final
Pierwotny projekt zakładał, stosownie od gradacji naruszenia, kary administracyjne w wysokości 250 000
EUR, 500 000 EUR oraz 1 000 000 EUR.
14
21
zastosowania do przedsiębiorstw udostępniających publiczne sieci łączności lub
świadczących publicznie dostępne usługi łączności elektronicznej w rozumieniu dyrektywy
2002/21/WE, które to przedsiębiorstwa muszą spełniać szczególne wymogi w zakresie
bezpieczeństwa
i integralności określone w art. 13a i 13b tej dyrektywy”, nasuwa się wątpliwość o relację
przepisów projektowanej dyrektywy z dyrektywą ramową.
Po pierwsze, nie jest jasne, czy ww. definicje powinny zostać inkorporowane do przepisów
odnoszących się do przedsiębiorców telekomunikacyjnych, skoro przepisy projektowanej
dyrektywy wzorowane są na dyrektywie ramowej. Wątpliwości w tym przedmiocie może
budzić przede wszystkim brak analogii zakresu, przedmiotu i istoty obowiązku realizowanego
przez przedsiębiorców telekomunikacyjnych z jednej strony, a przez podmioty gospodarcze,
w tym operatorów infrastruktury krytycznej oraz przez podmioty realizujące zadania
publiczne – na podstawie projektowanej dyrektywy.
Po drugie, podobną rozbieżność identyfikuje się w przedmiocie notyfikacji incydentów.
Przedsiębiorcy telekomunikacyjni, stosownie do dyspozycji dyrektywy ramowej,
a w konsekwencji – znowelizowanej ustawy Prawo telekomunikacyjne – obowiązani są
informować regulatora rynku łączności elektronicznej, którym w Polsce jest Prezes UKE.
Ten z kolei stosowne informacje przekazuje do ENISA i Komisji Europejskiej, a w
uzasadnionych przypadkach podaje również do publicznej wiadomości. Wątpliwości
w tym przedmiocie budzi zatem rola projektowanego „właściwego organu”, którym z uwagi
na podmiotowy zakres projektowanej dyrektywy Prezes UKE być nie może. Jeżeli zatem
w Polsce do realizacji zadań wskazany zostanie właściwy organ, wątpliwości w zakresie
notyfikowania incydentów oraz wydawania wiążących instrukcji budzić będzie relacja
kompetencji tego organu do uprawnień Prezesa UKE, sprowadzających się do pozyskiwania
od przedsiębiorców telekomunikacyjnych informacji o naruszeniach (art. 175 ustawy Prawo
telekomunikacyjne) oraz w szczególności możliwości zakwestionowania przez Prezesa UKE
zastosowanego przez przedsiębiorcę telekomunikacyjnego środka mającego na celu
zapewnienie bezpieczeństwa i integralności sieci, usług oraz przekazu komunikatów w
związku ze świadczonymi usługami (art. 175c ust. 2 ustawy Prawo telekomunikacyjne). W
tym kontekście trudno jest odczytać intencje projektodawcy, skoro na rynku
telekomunikacyjnym informacje o incydentach pozyskiwać będzie inny niż właściwy organ
podmiot, a jednocześnie ten właściwy organ pozbawiony będzie, stosownie do brzmienia art.
15 ust. 2 projektowanej dyrektywy, możliwości pozyskiwania od przedsiębiorców
telekomunikacyjnych „informacji potrzebnych do oceny bezpieczeństwa ich sieci i systemów
teleinformatycznych, w tym dokumentów dotyczących polityki w zakresie bezpieczeństwa”
oraz nakazania przedsiębiorcom telekomunikacyjnym „poddania się audytowi bezpieczeństwa
przeprowadzonemu przez wykwalifikowany niezależny podmiot lub organ krajowy oraz
udostępnienia wyników tego audytu właściwemu organowi”.
Identyfikacja powyższych wątpliwości prowadzi z kolei do następnych, a dotyczących
przewidzianych w art. 5 projektowanej dyrektywy krajowej strategii w zakresie
bezpieczeństwa sieci i informacji oraz krajowego planu współpracy w zakresie
bezpieczeństwa i informacji. Zakładając bowiem, że inne reżimy regulują obowiązki
przedsiębiorców telekomunikacyjnych i podmiotów objętych zakresem projektowanej
dyrektywy, trudno jest odczytać intencje projektodawcy w przedmiocie ewentualnego
uwzględnienia
obydwu
reżimów
krajowych
w tym zakresie w ramach krajowych strategii i planów.
22
Konsekwencją powyższych wątpliwości jest również wątpliwość dotycząca sieci współpracy,
o której mowa w art. 8 projektu dyrektywy, w świetle którego „właściwe organy i Komisja
Europejska ustanawiają sieć („sieć współpracy”) służącą do współpracy w zakresie
przeciwdziałania zagrożeniom i incydentom dotyczącym sieci i systemów informatycznych”.
Należy zauważyć, iż regulatorzy rynków telekomunikacyjnych, którzy w świetle dyrektywy
ramowej mają być informowani o incydentach przez przedsiębiorców telekomunikacyjnych,
wyłączeni będą z projektowanej sieci współpracy, co stawia pod znakiem zapytania
efektywność tej sieci, pozbawionej kluczowych informacji o funkcjonowaniu sieci i usług
telekomunikacyjnych. Co więcej, regulatorzy rynków telekomunikacyjnych, w świetle
przepisu art. 9 projektowanej dyrektywy, pozostaną również poza „bezpieczną infrastrukturą”
służącą sieci współpracy do wymiany szczególnie chronionych i poufnych informacji,
którymi
bez wątpienia będą również informacje przekazywane regulatorom na podstawie przepisów
wdrażających dyrektywę ramową. W konsekwencji, regulatorzy ani nie będą zasilać sieci
współpracy informacjami o incydentach zgłaszanych przez przedsiębiorców
telekomunikacyjnych, ani tym bardziej nie będą otrzymywać wczesnych ostrzeżeń, o których
mowa w art. 10 projektu dyrektywy. Z tego względu również efektywność skoordynowanej
reakcji, o której mowa w art. 11, a która ma być podejmowana zgodnie z unijnym planem
współpracy w zakresie bezpieczeństwa sieci i informacji, o którym mowa w art. 12, należy
ocenić negatywnie.
W konsekwencji powyższego wydaje się, że również sam unijny plan współpracy w zakresie
bezpieczeństwa sieci i informacji, o którym mowa w art. 12, który ma obejmować:
a) do celów art. 10:
- określenie formatu i procedur gromadzenia i wymiany kompatybilnych
i porównywalnych informacji na temat zagrożeń i incydentów przez właściwe organy;
- określenie procedur i kryteriów oceny zagrożeń i incydentów przez sieć współpracy;
b) procedury, jakie należy stosować w przypadku skoordynowanych reakcji na mocy
art. 11, w tym określenie funkcji i obowiązków oraz procedur współpracy;
c) plan działania dotyczący ćwiczeń i szkoleń w zakresie bezpieczeństwa sieci i informacji,
mający na celu wzmocnienie, zatwierdzenie i sprawdzenie głównego planu;
d) program dotyczący transferu wiedzy między państwami członkowskimi w odniesieniu
do budowy zdolności i wzajemnego uczenia się;
e) program dotyczący działań informacyjnych i szkoleń między państwami członkowskimi
- zdaje się nie uwzględniać kluczowych aktorów i kluczowych informacji o incydentach
w rozumieniu dyrektywy ramowej, jak również roli organów regulacyjnych rynku
telekomunikacyjnego, co poddaje w wątpliwość również skuteczność oraz osiągnięcie celu
planu.
Z tych samych powodów opisanych powyżej, zwracając szczególną uwagę na brzmienie art. 1
ust. 3 wyłączającego spod reżimu art. 14 operatorów infrastruktury telekomunikacyjnej oraz
dostawców usług telekomunikacyjnych, przepis art. 14 należy, w kontekście celu
projektowanej dyrektywy, ocenić negatywnie - jako nieefektywny.
Analogiczną wątpliwość należy wyrazić w stosunku do art. 15 ust. 2, na podstawie którego
właściwe organy mogą wymagać od podmiotów gospodarczych i organów administracji
publicznej przekazywania informacji potrzebnych do oceny bezpieczeństwa ich sieci
i systemów informatycznych oraz poddania się audytowi bezpieczeństwa przeprowadzonemu
przez wykwalifikowany niezależny podmiot lub organ krajowy oraz udostępnienia wyników
23
tego audytu właściwemu organowi. Należy zauważyć, iż brak jest w katalogu podmiotów
zobowiązanych przedsiębiorców telekomunikacyjnych, co powoduje, iż ocena dokonywana
przez właściwy organ będzie co najmniej niepełna i w konsekwencji nierzetelna.
Z tego samego powodu właściwe organy, pozbawione wiedzy dotyczącej incydentów w
ramach infrastruktury eksploatowanej przez przedsiębiorców telekomunikacyjnych, nie będą
w stanie wykonać dyspozycji określonej w art. 15 ust. 4, a mianowicie zgłaszać organom
ścigania poważnych incydentów noszących znamiona działań przestępczych – w zakresie
dotyczącym infrastruktury telekomunikacyjnej oraz usług telekomunikacyjnych. Podobna
sytuacja dotyczyć będzie przepisu art. 15 ust. 5 dotyczącego współpracy właściwego organu z
organami ochrony danych osobowych, co powoduje, iż współpraca ta pozbawiona będzie
kluczowych informacji o infrastrukturze i usługach telekomunikacyjnych.
Biorąc pod uwagę powyższe należy zauważyć, iż w omówionym zakresie przepisy
projektowanej dyrektywy, wbrew wyjaśnieniom zawartym w uzasadnieniu projektowanej
dyrektywy, nie są analogiczne do przewidzianych dyrektywą ramową ani z nimi koherentne,
co z kolei prowadzi do wniosku, że taki stan rzeczy daleki jest od wskazywanego
w uzasadnieniu dla projektowanej regulacji „zakończenia tworzenia jednolitego rynku
cyfrowego i dla sprawnego funkcjonowania rynku wewnętrznego”. Wydaje się zatem, iż w
tym zakresie działania ustawodawcy europejskiego powinny zostać poważnie zrewidowane,
w szczególności w sposób wyjaśniający relację projektowanych i już wdrożonych na
podstawie art. 13a i 13b dyrektywy ramowej obowiązków.
Biorąc pod uwagę powyższe liczne wątpliwości, zdaniem Rządu RP, dokument wymaga
dalszych prac, w szczególności zmierzających do wyeliminowania pojęć niejasnych
i nieostrych oraz jasnego i przejrzystego określenia obowiązków i zasad dotyczących ochrony
sieci i systemów teleinformatycznych, notyfikacji oraz opracowania dokumentów (planu i
strategii) na poziomach narodowych. W przeciwnym razie dokonanie oceny wpływu tak
określonych ogólnych zasad, jest dalece utrudnione, w konsekwencji czego sprowadzać się
może jedynie do oceny kierunku zmian, nie zaś szczegółowej analizy i oceny konkretnych
rozwiązań, które w zaproponowanej formie należy, co do zasady, ocenić zdecydowanie
negatywnie.
Rząd RP popiera ideę harmonizacji przepisów dotyczących zapewnienia bezpieczeństwa sieci
i systemów teleinformatycznych na jednolitym europejskim rynku, jednak dostrzega
konieczność wypracowania spójnej, jednolitej i przejrzystej dla wszystkich aktorów regulacji.
W związku z powyższym, Rząd RP jest zdania, iż szczegółowe przepisy wymagają dalszych
wzmożonych prac zmierzających do osiągnięcia pożądanego efektu.
1. Ocena skutków prawnych – na obecnym etapie trudno wskazać wszystkie przepisy
prawa polskiego, które będą wymagały zmian (prawdopodobne są zmiany m.in. w ustawie
o ochronie danych osobowych, w ustawie o świadczeniu usług drogą elektroniczną,
ustawach kompetencyjnych). Jednak z racji faktu, iż projektowana regulacja ma formę
dyrektywy umożliwiającej Komisji wydawanie aktów delegowanych, nie można w chwili
obecnej wykluczyć przyszłej konieczności modyfikacji również innych aktów prawnych.
Należy jednocześnie wyraźnie podkreślić, iż uprawnienie Komisji do przyjmowania
aktów delegowanych powoduje niepewność prawną.
W tym kontekście należy zwrócić uwagę, iż zakres podmiotów zobowiązanych w świetle
projektowanej dyrektywy do realizacji określonych obowiązków jest niezwykle szeroki,
co – w zależności od wyników szczegółowej analizy i wyboru stosownej drogi
24
implementacji przepisów dyrektywy - może powodować konieczność dokonania zmian
w licznych ustawach regulujących działalność podejmowaną i prowadzoną w każdej
ze wskazanych w Załączniku II dziedzin15.
2. Ocena skutków społecznych – przewiduje się długofalowe korzyści dla społeczeństwa
polegające na poprawie bezpieczeństwa sieci, systemów teleinformatycznych,
świadczonych za ich pośrednictwem usług oraz w konsekwencji samych obywateli,
szczególnie w środowisku cyfrowym. Zwiększenie bezpieczeństwa przyczyni się również
do wzrostu zaufania do usług świadczonych przez podmioty prywatne i publiczne,
natomiast obywatele częściej i chętniej będą korzystali z usług i aplikacji społeczeństwa
informacyjnego.
3. Ocena skutków gospodarczych – zwiększenie poziomu bezpieczeństwa sieci i
przysyłanej informacji zwiększy zaufanie osób fizycznych, podmiotów publicznych i
gospodarczych do usług elektronicznych, co może skutkować wzrostem używania usług
elektronicznych. Używanie elektronicznych usług będzie ograniczało koszty ich
świadczenia,
15
ZAŁĄCZNIK II
Wykaz podmiotów gospodarczych
o których mowa w art. 3 ust. 8 lit. a):
1. platformy handlu elektronicznego
2. internetowe portale płatnicze
3. portale społecznościowe
4. wyszukiwarki
5. usługi chmur obliczeniowych
6. sklepy z aplikacjami
o których mowa w art. 3 ust. 8 lit. b):
1. Energetyka
–
dostawcy energii elektrycznej i gazu
–
operatorzy systemów dystrybucyjnych energii elektrycznej lub gazu oraz detaliści sprzedający energię
elektryczną lub gaz konsumentom końcowym
–
operatorzy systemów przesyłowych gazu ziemnego, operatorzy systemu magazynowania i operatorzy
systemów LNG
–
operatorzy systemów przesyłowych energii elektrycznej
–
podmioty eksploatujące rurociągi przesyłowe i magazyny ropy naftowej
–
podmioty działające na rynku gazu i energii elektrycznej
–
operatorzy instalacji służących do produkcji ropy naftowej i gazu ziemnego, obiekty służące do
rafinacji i przetwarzania
2. Transport
–
przewoźnicy lotniczy (przewozy pasażerskie i towarowe)
–
przewoźnicy morscy (przedsiębiorstwa świadczące usługi pasażerskiego transportu morskiego i
przybrzeżnego oraz przedsiębiorstwa świadczące usługi towarowego transportu morskiego i
przybrzeżnego)
–
koleje (zarządcy infrastruktury, przedsiębiorstwa zintegrowane oraz przedsiębiorstwa transportu
kolejowego)
–
porty lotnicze
–
porty
–
operatorzy zarządzający ruchem
–
pomocnicze usługi logistyczne: a) magazynowanie oraz składowanie, b) przeładunek i c) pozostała
działalność wspomagająca transport
3. Bankowość: instytucje kredytowe zgodnie z art. 4 pkt 1 dyrektywy 2006/48/WE.
4. Infrastruktura rynków finansowych: giełdy papierów wartościowych i izby rozliczeniowe partnerów
centralnych.
5. Służba zdrowia: punkty opieki zdrowotnej (w tym szpitale i prywatne kliniki) i inne podmioty świadczące
usługi opieki zdrowotnej.
25
co w konsekwencji może skutkować wzrostem gospodarczym. Przewiduje się istotny
wzrost konkurencyjności i rozwój gospodarczy na całym obszarze UE w przypadku
wdrożenia środków zapewniających wspólny wysoki poziom bezpieczeństwa sieci
i informacji w obrębie UE.
4. Ocena skutków finansowych – na aktualnym etapie prac trudno jest ocenić wszystkie
skutki finansowe w sektorze publicznym i gospodarczym związane z wprowadzeniem
projektowanej regulacji prawnej.
Analizując obecnie użytkowane systemy teleinformatyczne można przyjąć, że większość
z nich przetwarza dane osobowe. Z tych powodów administratorzy tych systemów
teleinformatycznych są zobowiązani do opracowania i przestrzegania zapisów Polityki
Bezpieczeństwa Przetwarzania Informacji w Systemie Teleinformatycznym,
w szczególności bezpieczeństwa przetwarzania danych osobowych. W przypadku
przyjęcia założenia, iż wprowadzony dyrektywą poziom ochrony systemów
teleinformatycznych odpowiadać będzie dzisiaj obowiązującym standardom, to
gwarantowanie stosownego poziomu ochrony nie powinno generować kosztów po stronie
administratorów systemów.
Powyższe doprowadza również do uzasadnionego wniosku, iż zgłaszanie incydentów
naruszeń bezpieczeństwa do stosownego organu nie zwiększy istotnie obowiązków, a
zatem nie wygeneruje kosztów.
Głównym zadaniem przedmiotowego dokumentu jest wskazanie organu
odpowiedzialnego za koordynację, audyt, egzekwowanie przepisów oraz notyfikację na
poziom EU. Powołanie organu realizującego wyżej opisane funkcje będzie związane
z koniecznością wprowadzenia zmian organizacyjnych i zatrudnienia dodatkowych osób.
Przyjęcie dyrektywy powinno być związane z rozbudową oraz doposażeniem Rządowego
Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL oraz wsparciem działań
krajowych zespołów CERT.
IV.
Informacja w sprawie zgodności projektu aktu z zasadą
pomocniczości
Wg projektodawcy, Podjęcie działań w dziedzinie bezpieczeństwa sieci i informacji
na poziomie europejskim jest zgodne z zasadą pomocniczości.
Zasada pomocniczości ma zastosowanie, o ile aspekty niniejszego wniosku nie będą
wchodzić w zakres wyłącznej kompetencji UE. Zapewnienie wspólnego wysokiego poziomu
bezpieczeństwa sieci i informacji nie może zostać osiągnięte w sposób wystarczający przez
działania poszczególnych państw członkowskich z następujących przyczyn:
- przedmiotowy wniosek dotyczy aspektów transnarodowych, które nie mogą być
przedmiotem działań poszczególnych państw członkowskich. Działania na poziomie
krajowym są niewystarczające przy zastosowaniu wyłącznie środków krajowych
i wdrożenia rozwiązań jedynie w jednym kraju;
- zróżnicowane metody bezpieczeństwa sieci i informacji wdrożone w państwach
członkowskich stwarzają bariery dla przedsiębiorstw działających na terenie kilku
państw członkowskich.
Natomiast, skuteczniejsze wykorzystanie zasobów stanie się możliwe dzięki zastosowaniu
zharmonizowanych wymogów oraz uczestnictwu w mechanizmie współpracy w zakresie
wymiany dobrych praktyk, wiedzy eksperckiej i rozwiązań będących odpowiedzią na rozwój
technologiczny.
26
V.
Przedstawiciel Rządu upoważniony do prezentowania stanowiska
Michał Boni – Minister Administracji i Cyfryzacji.
27

projekt stanowiska rp - Ministerstwo Cyfryzacji

Transkrypt

Podobne dokumenty

szkolenie krajowe Wrocław

Deklaracje do montażu niekompletnej maszyny

Wymóg uprzedniej zgody konsumenta i przedsiębiorcy na marketing

Opinia Geopa-Copa w sprawie rewizji dyrektywy na temat czasu pracy

Lp Data transakcji Czas transakcji wg. czasu Oznaczenie

Recenzja