Prawne aspekty cyberbezpieczeństwa
Transkrypt
Prawne aspekty cyberbezpieczeństwa
Prawne aspekty cyberbezpieczeństwa – najlepsze praktyki (Dyrektywa NIS oraz niemiecka ustawa o bezpieczeństwie 1 © 2016, PIIT Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Kogo dotyczy Dyrektywa? Obowiązki wynikające z Dyrektywy dotyczą: • państwa • przedsiębiorców Współpraca unijna: • utworzenie grupy współpracy • utworzenie sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego („sieć CSIRT”), Obowiązki państwa • przyjęcie krajowej strategii w zakresie bezpieczeństwa sieci i systemów informatycznych; • wyznaczenie właściwych organów krajowych oraz pojedynczych punktów kontaktowych; • wyznaczenie CSIRT mających zadania związane z bezpieczeństwem sieci i systemów informatycznych • identyfikacja operatorów usług kluczowych Obowiązki przedsiębiorców (operatorzy usług kluczowych i dostawcy usług cyfrowych • ustanowienie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów dla przedsiębiorców • raportowanie Operatorzy usług kluczowych Energet yka Transpo rt Bankow ość Służba zdrowia Zaopatr zenie w wodę pitną i jej dystryb ucja Infrastruktura cyfrowa IXP Dostawc y usług DNS Rejestry nazw TLD Kryteria identyfikacji operatorów usług kluczowych • Usługa ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej; • świadczenie tej usługi zależy od sieci i systemów informatycznych; oraz • incydent miałby istotny skutek zakłócający dla świadczenia tej usługi. 7 © 2015, PIIT Dostawcy usług cyfrowych Internetowa platforma handlowa Wyszukiwarka internetowa Usługa przetwarzania w chmurze Niemiecka ustawa o bezpieczeństwie IT 9 © 2015, PIIT Niemiecka ustawa o bezpieczeństwie IT • Wejście w życie 25 lipiec 2015 r. • Cele: – znacznie poprawy bezpieczeństwa IT w Niemczech w odniesieniu jego dostępności, integralności poufności i autentyczności – Poprawa bezpieczeństwa IT firm oraz zapewnienie większej ochrony obywateli korzystających z Internetu, a także – ochrona infrastruktury krytycznej , która ma zasadnicze znaczenie dla funkcjonowania społeczeństwa 10 © 2015, PIIT Kogo dotyczy? • Operatorów stron internetowych oraz innych dostawców usług (dotyczy każdej firmy posiadającej stronę www) • Firmy telekomunikacyjne • Operatorów infrastruktury krytycznej – – – – – Energetyka IT i telekomunikacja Transport Żywność i woda Finanse i ubezpieczenia 11 © 2015, PIIT Jakie działania mają podejmować zainteresowane podmioty? Operatorzy stron internetowych oraz inni dostawcy usług: • dostęp do systemów IT tylko po autoryzacji; ochrona danych osobowych • Podejmowane środki mają być „technicznie możliwe oraz uzasadnione” (brak szczegółowych wytycznych) 12 © 2015, PIIT Firmy telekomunikacyjne • Obowiązek ochrony systemów i sieci • Obowiązki informacyjne wobec klientów 13 © 2015, PIIT Operatorzy infrastruktury krytycznej • Adekwatna i najnowocześniejsza (zgodna ze sztuką) ochrona stron internetowych i systemów IT • Regularne audyty • Ustanowienie punktów kontaktowych • Obowiązki raportowania 14 © 2015, PIIT Sankcje • Operatorzy stron internetowych oraz inni dostawcy usług – 50 tyś. euro • Firmy telekomunikacyjne – 50 tyś. euro • Operatorów infrastruktury krytycznej – 100 tyś. euro 15 © 2015, PIIT Jakie wnioski dla Polski? • Ustawa o bezpieczeństwie sieci i systemów informatycznych • Implementacja Dyrektywy • Zapisy elastyczne (klauzule generalne, akty wykonawcze, normy) • Współpraca państwo-przedsiębiorcy 16 © 2015, PIIT