Prawne aspekty cyberbezpieczeństwa

Prawne aspekty
cyberbezpieczeństwa – najlepsze
praktyki (Dyrektywa NIS oraz
niemiecka ustawa o bezpieczeństwie
1
© 2016, PIIT
Dyrektywa w sprawie środków na rzecz
wysokiego wspólnego poziomu bezpieczeństwa
sieci i systemów informatycznych na terytorium
Unii
Kogo dotyczy Dyrektywa?
Obowiązki wynikające z Dyrektywy dotyczą:
• państwa
• przedsiębiorców
Współpraca unijna:
• utworzenie grupy współpracy
• utworzenie sieci Zespołów Reagowania na Incydenty
Bezpieczeństwa Komputerowego („sieć CSIRT”),
Obowiązki państwa
• przyjęcie krajowej strategii w zakresie
bezpieczeństwa sieci i systemów
informatycznych;
• wyznaczenie właściwych organów krajowych oraz
pojedynczych punktów kontaktowych;
• wyznaczenie CSIRT mających zadania związane z
bezpieczeństwem sieci i systemów
informatycznych
• identyfikacja operatorów usług kluczowych
Obowiązki przedsiębiorców (operatorzy
usług kluczowych i dostawcy usług
cyfrowych
• ustanowienie wymogów dotyczących
bezpieczeństwa i zgłaszania incydentów dla
przedsiębiorców
• raportowanie
Operatorzy usług kluczowych
Energet
yka
Transpo
rt
Bankow
ość
Służba
zdrowia
Zaopatr
zenie w
wodę
pitną i
jej
dystryb
ucja
Infrastruktura cyfrowa
IXP
Dostawc
y usług
DNS
Rejestry
nazw
TLD
Kryteria identyfikacji operatorów usług
kluczowych
• Usługa ma kluczowe znaczenie dla utrzymania
krytycznej działalności społecznej lub
gospodarczej;
• świadczenie tej usługi zależy od sieci i systemów
informatycznych; oraz
• incydent miałby istotny skutek zakłócający dla
świadczenia tej usługi.
7
© 2015, PIIT
Dostawcy usług
cyfrowych
Internetowa
platforma
handlowa
Wyszukiwarka
internetowa
Usługa
przetwarzania
w chmurze
Niemiecka ustawa
o bezpieczeństwie IT
9
© 2015, PIIT
Niemiecka ustawa o bezpieczeństwie IT
• Wejście w życie 25 lipiec 2015 r.
• Cele:
– znacznie poprawy bezpieczeństwa IT w Niemczech w
odniesieniu jego dostępności, integralności poufności i
autentyczności
– Poprawa bezpieczeństwa IT firm oraz zapewnienie
większej ochrony obywateli korzystających z Internetu, a
także
– ochrona infrastruktury krytycznej , która ma zasadnicze
znaczenie dla funkcjonowania społeczeństwa
10
© 2015, PIIT
Kogo dotyczy?
• Operatorów stron internetowych oraz innych
dostawców usług (dotyczy każdej firmy posiadającej
stronę www)
• Firmy telekomunikacyjne
• Operatorów infrastruktury krytycznej
–
–
–
–
–
Energetyka
IT i telekomunikacja
Transport
Żywność i woda
Finanse i ubezpieczenia
11
© 2015, PIIT
Jakie działania mają podejmować
zainteresowane podmioty?
Operatorzy stron internetowych oraz inni dostawcy
usług:
• dostęp do systemów IT tylko po autoryzacji;
ochrona danych osobowych
• Podejmowane środki mają być „technicznie
możliwe oraz uzasadnione” (brak szczegółowych
wytycznych)
12
© 2015, PIIT
Firmy telekomunikacyjne
• Obowiązek ochrony systemów i sieci
• Obowiązki informacyjne wobec klientów
13
© 2015, PIIT
Operatorzy infrastruktury krytycznej
• Adekwatna i najnowocześniejsza (zgodna ze
sztuką) ochrona stron internetowych i systemów
IT
• Regularne audyty
• Ustanowienie punktów kontaktowych
• Obowiązki raportowania
14
© 2015, PIIT
Sankcje
• Operatorzy stron internetowych oraz inni
dostawcy usług – 50 tyś. euro
• Firmy telekomunikacyjne – 50 tyś. euro
• Operatorów infrastruktury krytycznej – 100 tyś.
euro
15
© 2015, PIIT
Jakie wnioski dla Polski?
• Ustawa o bezpieczeństwie sieci i systemów
informatycznych
• Implementacja Dyrektywy
• Zapisy elastyczne (klauzule generalne, akty
wykonawcze, normy)
• Współpraca państwo-przedsiębiorcy
16
© 2015, PIIT