Page 21 - Czlowiek w Cyberprzestrzeni.indd
P. 21
Konferencja naukowa CZŁOWIEK W CYBERPRZESTRZENI
tyczne mogą być stosowane w sposób skoordynowany z innymi działaniami w celu destabilizowania państw i wpływania na
decyzje polityczne2.
W związku ze zwiększającą się częstotliwością i istotnym negatywnym wpływem incydentów w zakresie bezpieczeństwa
na gospodarkę Unii oraz zaufanie obywateli i przedsiębiorstw do cyfryzacji i komunikacji elektronicznej uznano, że skutecz-
ne reagowanie na wyzwania związane z zapewnieniem bezpieczeństwa sieci i systemów informacyjnych wymaga przyjęcia
całościowego podejścia, obejmującego wymianę informacji, współpracę oraz wspólne wymogi w zakresie bezpieczeństwa
dla operatorów usług kluczowych i dostawców usług cyfrowych.
Odpowiedzią Unii Europejskiej na nowe zagrożenia, są aktualnie Strategia Unii Europejskiej w zakresie bezpieczeństwa
cybernetycznego z 2013 r.3, dyrektywa 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeń-
stwa sieci i systemów informatycznych na terytorium Unii4 oraz dyrektywa 2013/40/UE dotycząca ataków na systemy infor-
matyczne5.
Dyrektywa 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów
informatycznych na terytorium Unii składa się z 7 rozdziałów poprzedzonych obszerną preambułą [75 motywów] i dopre-
cyzowanych w 3 załącznikach. Dyrektywa ta nakłada na wszystkie państwa członkowskie obowiązki dotyczące przyjęcia
krajowej strategii w zakresie bezpieczeństwa sieci i systemów oraz ustanawia wymogi dotyczące bezpieczeństwa i zgłaszania
incydentów dla operatorów usług kluczowych i dostawców usług cyfrowych. Dyrektywa stanowi również podstawę two-
rzenia „grupy współpracy”, dla wspierania i ułatwiania strategicznej współpracy i wymiany informacji między państwami
członkowskimi a także tworzenia sieci zespołów reagowania na incydenty bezpieczeństwa komputerowego (zwanej „siecią
CSIRT”), aby przyczyniać się do rozwijania zaufania i pewności między państwami członkowskimi oraz promować szybką
i skuteczną współpracę operacyjną. W związku z tym ustanawia też obowiązki dla państw członkowskich dotyczące wy-
znaczania właściwych organów krajowych, pojedynczych punktów kontaktowych oraz CSIRT mających zadania związane
z bezpieczeństwem sieci i systemów informatycznych.
Państwa członkowskie UE są obowiązane do identy kacji - w terminie do dnia 9 listopada 2018 r. w odniesieniu do
każdego sektora i podsektora, o których mowa w załączniku II, operatorów usług kluczowych posiadających jednostkę
organizacyjną na ich terytorium (art. 5 ust. 1) oraz do wzajemnego konsultowania się z innymi państwami w odniesieniu
do podmiotów świadczących usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub
gospodarczej w dwóch lub większej liczbie państw członkowskich (art. 5 ust. 4) a także do przekazania Komisji informacji
o wynikach tych prac. Ponadto państwa obowiązane są do przeglądu i ewentualnej aktualizacji wykazów operatorów usług
kluczowych nie rzadziej niż raz na dwa lata po dniu 9 maja 2018 r. (art. 5 ust. 5 dyrektywy) i informowania Komisji o wyni-
kach przeglądów.
„Operator usług kluczowych”, w rozumieniu art. 4 pkt 4 dyrektywy oznacza podmiot publiczny lub prywatny, należący
do jednego z rodzajów, o których mowa w załączniku II do dyrektywy (1. Energetyka6, 2. Transport7, 3. Bankowość8, 4. Infra-
struktura rynków nansowych [giełdy papierów wartościowych i izby rozliczeniowe partnerów centralnych], 5. Służba zdro-
2 http://eur-lex.europa.eu/legal-content/PL-EN/TXT/?uri=CELEX%3A52016DC0410&from=EN&locale=pl
Komisja Europejska Bruksela, dnia 5.7.2016 Com(2016) 410 Final Komunikat Komisji Do Parlamentu Europejskiego, Rady, Europejskiego Ko-
mitetu Ekonomiczno-Społecznego i Komitetu Regionów. Wzmacnianie europejskiego systemu odporności cybernetycznej oraz wspieranie konkuren-
cyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego [http://eur-lex.europa.eu CELEX:52016DC0410]
3 Wspólny Komunikat do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego I Komitetu Regionów: Strate-
gia bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń, /* JOIN/2013/01 nal */.
4 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego pozio-
mu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, Dz.U. L 194 z 19.7.2016, str. 1—30.
5 Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca
decyzję ramową Rady 2005/222/WSiSW, Dz.U. L 218 z 14.8.2013, str. 8—14.
6 W tym: dostawcy energii elektrycznej i gazu, operatorzy systemów dystrybucyjnych energii elektrycznej lub gazu oraz detaliści sprzedający
energię elektryczną lub gaz konsumentom końcowym; operatorzy systemów przesyłowych gazu ziemnego, operatorzy systemu magazynowania i opera-
torzy systemów LNG; operatorzy systemów przesyłowych energii elektrycznej; podmioty eksploatujące rurociągi przesyłowe i magazyny ropy na owej;
podmioty działające na rynku gazu i energii elektrycznej; operatorzy instalacji służących do produkcji ropy na owej i gazu ziemnego, obiekty służące
do ra nacji i przetwarzania.
7 W tym: przewoźnicy lotniczy (przewozy pasażerskie i towarowe) i morscy (przedsiębiorstwa świadczące usługi pasażerskiego transportu
morskiego i przybrzeżnego oraz przedsiębiorstwa świadczące usługi towarowego transportu morskiego i przybrzeżnego); koleje (zarządcy infrastruk-
tury, przedsiębiorstwa zintegrowane oraz przedsiębiorstwa transportu kolejowego); porty lotnicze; porty; operatorzy zarządzający ruchem; pomocnicze
usługi logistyczne: a) magazynowanie oraz składowanie, b) przeładunek i c) pozostała działalność wspomagająca transport.
8 Instytucje kredytowe zgodnie z art. 4 pkt 1 dyrektywy 2006/48/WE
21
