Zdroj: Archiv

[quote]Plenární zasedání Evropského parlamentu přijalo 6. 7. směrnici o bezpečnosti sítí a informačních systémů. Směrnice (dále jen „směrnice NIS“) představuje první celoevropská pravidla pro kybernetickou bezpečnost.[/quote]

Jejím cílem je dosáhnout vysoké společné úrovně bezpečnosti sítě a informačních systémů v rámci EU, a to prostřednictvím:

  1. zlepšené schopnosti kybernetické bezpečnosti na národní úrovni,
  2. zvýšené spolupráce na úrovni EU,
  3. řízení rizik a incidentů – povinnosti pro provozovatele základních služeb a poskytovateli digitálních služeb.

Každý členský stát přijme národní strategii pro bezpečnost sítí a informačních systémů, které definují strategické cíle a odpovídající politiku a regulační opatření. Strategie by měla obsahovat:

  • strategické cíle, priority a rámec řízení,
  • identifikace opatření v oblasti připravenosti, reakce a obnovy,
  • metody spolupráce mezi veřejným a soukromým sektorem,
  • zvyšování povědomí, školení a vzdělávání,
  • výzkumné a vývojové plány v souvislosti se strategií NIS
  • plán Hodnocení rizik,
  • seznam subjektů zapojených do implementace strategie

Členské státy určí jeden nebo více příslušných vnitrostátních orgánů pro směrnici NIS, aby sledovaly uplatňování směrnice na vnitrostátní úrovni. Určí rovněž jediný styčný bod, který bude vykonávat funkci styčného místa k zajištění přeshraniční spolupráce s příslušnými orgány v jiných členských státech, jakož i s mechanismy spolupráce vytvořené samotnou směrnicí.

Členské státy určí jeden nebo více týmů pro odezvu na bezpečnostní incidenty počítačových systémů a sítí (CSIRT). CSIRT bude mít na starosti zlepšení schopností zabezpečit bezpečnost na národní úrovni.

Týmy budou odpovídat nejméně za:

  • monitorování incidentů na národní úrovni
  • zajištění včasného varování, upozornění, oznámení a šíření informací příslušným zúčastněným stranám o rizicích a mimořádných událostech,
  • reakce na incident,
  • poskytovat dynamickou analýza rizik a incidentů a povědomí o situaci,
  • účast v síti národních CSIRT (CSIRT síť)

2. Zvýšená spolupráce na úrovni EU

Směrnice NIS zakládá skupinu spolupráce s cílem podpořit a usnadnit strategickou spolupráci a výměnu informací mezi členskými státy a rozvíjet důvěru. Zřizuje rovněž síť národních CSIRT s cílem přispět k rozvoji důvěry a důvěry mezi členskými státy a pro podporu rychlé a účinné operativní spolupráce.

Skupina pro spolupráci se bude skládat ze zástupců členských států, Komise a ENISA (Agentury Evropské unie pro bezpečnost sítí a informací), přičemž Evropská komise působí jako sekretariát. Procesní opatření nezbytná pro fungování skupiny pro spolupráci budouu přijata Komisí prostřednictvím prováděcích aktů.

Skupina pro spolupráci bude pracovat na základě dvouletých pracovních programů, ve čtyřech různých oblastech:

Plánování:

  • vytvořit pracovní program 18 měsíců po vstupu v platnost (tj. 02. 2018)
  • připravit poté pracovní program pro každé dva roky

Řízení:

  • poskytnout vodítko pro CSIRT sítě,
  • napomáhat členským státům při budování kapacit NIS,
  • podpora členským státům při identifikaci provozovatelů základních služeb,
  • diskutovat o postupech oznámení incidentů,
  • diskutovat normy,
  • zapojit příslušné orgány a instituce EU,
  • vyhodnocovat vnitrostátní strategie a CSIRT NIS (na dobrovolné bázi)
  • sdílení informací a osvědčených postupů,
  • rizika
  • incidenty
  • zvyšování povědomí
  • školení
  • R & D (výzkum a vývoj),

Podávání zpráv

  • Každých 1,5 roku předložit zprávu hodnotící zkušenosti se spoluprací. Zpráva bude zaslána Komisi jako příspěvek k přezkumu fungování směrnice.

Síť CSIRT

Bude se skládat ze zástupců CSIRT členských států a EU (Team Computer Emergency Response) orgánů, agentur a institucí EU). Komise se bude podílet na síti CSIRT jako pozorovatel. ENISA bude zajišťovat sekretariát a bude aktivně podporovat spolupráci mezi CSIRT.

Síť CSIRT bude mít tyto úkoly:

  • výměnu informací o službách, operacích a schopnostech spolupráce CSIRT,
  • výměnu informací a diskuse o událostech (na vyžádání a dobrovolné)
  • identifikování koordinované reakce na mimořádné události (na vyžádání a dobrovolně)
  • podpora přeshraniční manipulace k incidentu (nepovinně)
  • zkoumat další formy operativní spolupráce
  • informování skupiny pro spolupráci o svých aktivitách a žádost o návody
  • diskutovat o poučení z provádění NIS
  • diskutovat o otázkách týkajících se individuální CSIRT (na vyžádání)
  • pokyny vydáváné k operativní spoluprácí.

Dva roky po vstupu směrnice o NIS a každých 18 měsíců poté se síť CSIRT vypracuje zpráva hodnotící zkušenosti získané operativní spoluprácí, včetně závěrů a doporučení. Tato zpráva bude zaslána Komisi jako příspěvek k přezkumu fungování

3. Řízení rizik a incidentů – povinnosti pro provozovatele základních služeb a poskytovatele digitálních služeb

Provozovatelé základních služeb jsou soukromé podniky nebo veřejné subjekty, které mají důležitou roli pro společnost a hospodářství.

Provozovatelé základních služeb určení podle směrnice NIS budou muset přijmout vhodná bezpečnostní opatření a oznámit vážné incidenty příslušnému vnitrostátnímu orgánu.

Bezpečnostní opatření zahrnují:

  • Prevence rizik: technická a organizační opatření, která jsou vhodná a přiměřená riziku.
  • Zajištění bezpečnosti sítí a informačních systémů: tato opatření by měla zajistit úroveň bezpečnosti sítí a informačních systémů odpovídající těmto rizikům.
  • Řešení incidentů: opatření by měla zabránit a minimalizovat dopad událostí na IT systémy používané k poskytování služeb.

Každý členský stát určí subjekty, které mají přijmout vhodná bezpečnostní opatření a oznámit významné incidenty podle těchto kritérií:

(1) Účetní jednotka poskytuje služby, které jsou nezbytné pro zachování kritických společenských / hospodářských činnosti;

(2) Ustanovení této služby závisí na síti a informačních systémech; a

(3) bezpečnostní incident bude mít významné ničivé účinky na poskytování základních služeb.

Směrnice se bude vztahovat na takovéto subjekty v těchto odvětvích:

  • energie: elektřina, ropa a zemní plyn,
  • doprava: letecká, železniční, vodní a silniční,
  • bankovní služby: úvěrové instituce,
  • finanční tržní infrastruktury: obchodní systémy, centrální protistrany,
  • zdraví: nastavení zdravotní péče,
  • voda: zásobování a rozvod pitné vody,
  • digitální infrastruktura: propojovací internetová centra, poskytovatelé jmen nejvyšší úrovně domén

Směrnice nedefinuje hranice toho, co je významná událost vyžadující oznámení, to určí příslušný vnitrostátní orgán. Definuje 3 parametry, které by přitom měly vzít v úvahu:

  • počet potenciálně postižených uživatelů,
  • doba trvání incidentu,
  • geografické rozložení.

Tyto parametry mohou být dále objasněny prostřednictvím pokynů, přijatých příslušnými vnitrostátními orgány, které jednají společně v rámci skupiny pro spolupráci.

Po důležitých digitálních podnicích, uvedených ve směrnici jako „poskytovatelé digitální služby“ (DSP), se bude rovněž požadovat, aby přijaly náležitá bezpečnostní opatření a oznámily podstatné incidentů příslušnému orgánu.

Bezpečnostní opatření zahrnují:

  • prevenci rizik: technická a organizační opatření, která jsou vhodná a přiměřená riziku.
  • zajištění bezpečnosti sítí a informačních systémů: tato opatření by měla zajistit úroveň bezpečnosti sítí a informačních systémů přiměřených těmto rizikům.
  • řešením incidentů: Tato opatření by měla zabránit a minimalizovat dopad událostí na IT systémy používané k poskytování služeb.

Vliv na ekonomicko-sociální aktivity

Tyto parametry stanoví Komise prostřednictvím prováděcích aktů.

Směrnice se vztahuje na:

  • On-line tržiště (která umožňují firmám nastavit obchody na trhu s cílem, aby se jejich výrobky a služby k dispozici online)
  • Cloud computing služby
  • Vyhledávače
  • Na všechny subjekty, které splňují definice, se budou automaticky vztahovat požadavky na bezpečnost a oznamování podle směrnice NIS. Mikro- a malé podniky (jak jsou definovány v doporučení Komise 2003/361 / ES), nespadají do oblasti působnosti směrnice.

Komise přijme prováděcí akty s ohledem na požadavky bezpečnosti a oznamování povinnosti DSP do jednoho roku od přijetí této směrnice. Členské státy nebudou moci zavádět další přísnější bezpečnostní požadavky a oznámení na DSP. Kromě toho budou příslušné orgány mít možnost vykonávat pouze kontrolní činnost při poskytování důkazů, že DSP neplní své povinnosti vyplývající ze směrnice.

Harmonogram

  • Datum Vstup v platnost + … Milníky
  • Srpen 2016 – Vstup v platnost
  • Únor 2017 6 měsíců Skupina po spolupráci začíná pracovat
  • Srpen 2017 12 měsíců Přijetí realizace bezpečnosti oznamování požadavků pro DSP
  • Únor 2018 18 měsíců Skupina pro spolupráci přijímá pracovní program
  • Květen 2018 21 měsíců Transpozice do národního práva
  • Listopad 2018 27 měsíců Členské státy určí operátory základních služeb
  • Květen 2019 33 měsíců (tj. 1 rok po transpozici) Zpráva Komise hodnotící konsistenci určení operátorů základních služeb členskými státy
  • Květen 2021 57 měsíců (tj. 3 roky po transpozici) ( Hodnocení fungování směrnice Komisí se zřetelem na strategickou a operativní spolupráci a rozsah ,pokud jde o poskytovatele základních služeb

ZANECHAT ODPOVĚĎ

Zadejte svůj komentář!
Zde prosím zadejte své jméno