3. Ramy prawne CSIRT/CERT

W dniu 6 lipca 2016 r. została przyjęta przez Parlament Europejski Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. dotycząca środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w całej Unii (Dyrektywa NIS).

W dyrektywie w sprawie bezpieczeństwa sieci i informacji przewidziano środki prawne mające na celu podniesienie ogólnego poziomu bezpieczeństwa cybernetycznego w UE poprzez zapewnienie:

·       gotowości państw członkowskich poprzez wymaganie od nich odpowiedniego wyposażenia. Na przykład zespołu reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRT) i właściwym krajowym organem ds. bezpieczeństwa sieci i informacji,

·       współpracy między wszystkimi państwami członkowskimi poprzez utworzenie Grupy Współpracy, która będzie wspierać i ułatwiać współpracę strategiczną i wymianę informacji między państwami członkowskimi.

·       kultury bezpieczeństwa w sektorach, które mają kluczowe znaczenie dla naszej gospodarki i społeczeństwa, a ponadto w znacznym stopniu opierają się na TIK, takich jak energetyka, transport, gospodarka wodna, bankowość, infrastruktura rynków finansowych, opieka zdrowotna i infrastruktura cyfrowa.

Przedsiębiorstwa określone przez państwa członkowskie jako podmioty świadczące usługi podstawowe w wyżej wymienionych sektorach będą musiały podjąć odpowiednie środki bezpieczeństwa i powiadamiać właściwe organy krajowe o poważnych incydentach. Kluczowi dostawcy usług cyfrowych, tacy jak wyszukiwarki, usługi przetwarzania w chmurze i rynki internetowe, będą musieli spełnić wymogi dotyczące bezpieczeństwa i powiadamiania określone w nowej dyrektywie.

W oparciu o znaczące postępy poczynione w ramach europejskiego forum państw członkowskich w zakresie wspierania dyskusji i wymiany dobrych praktyk politycznych, w tym opracowania zasad europejskiej współpracy w sytuacjach kryzysów cybernetycznych, należy powołać grupę współpracy, w skład której wejdą przedstawiciele państw członkowskich, Komisji oraz Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji ("ENISA"), w celu wspierania i ułatwiania strategicznej współpracy między państwami członkowskimi w zakresie bezpieczeństwa sieci i systemów informatycznych. Aby grupa ta była skuteczna i obejmowała wszystkich, konieczne jest, by wszystkie państwa członkowskie dysponowały minimalnymi zdolnościami i strategią zapewniającą wysoki poziom bezpieczeństwa sieci i systemów informatycznych na swoim terytorium. Ponadto wymogi dotyczące bezpieczeństwa i powiadamiania powinny mieć zastosowanie do operatorów usług podstawowych i dostawców usług cyfrowych, aby promować kulturę zarządzania ryzykiem i zapewnić zgłaszanie najpoważniejszych incydentów.

Istniejące możliwości nie są wystarczające, aby zapewnić wysoki poziom bezpieczeństwa sieci i systemów informacyjnych w Unii. Państwa członkowskie mają bardzo zróżnicowane poziomy gotowości, co doprowadziło do fragmentarycznego podejścia w całej Unii. Powoduje to nierówny poziom ochrony konsumentów i przedsiębiorstw oraz osłabia ogólny poziom bezpieczeństwa sieci i systemów informacyjnych w Unii. Brak wspólnych wymogów dla operatorów usług podstawowych i dostawców usług cyfrowych uniemożliwia z kolei ustanowienie globalnego i skutecznego mechanizmu współpracy na poziomie Unii. Uniwersytety i ośrodki badawcze mają do odegrania decydującą rolę w stymulowaniu badań, rozwoju i innowacji w tych dziedzinach.

Dyrektywa UE w sprawie bezpieczeństwa sieci i informacji (dyrektywa NIS) ma na celu utworzenie sieci CSIRT "w celu przyczynienia się do rozwoju zaufania między państwami członkowskimi oraz promowania szybkiej i skutecznej współpracy operacyjnej". Dyrektywa stanowi, że każde państwo członkowskie wyznacza jeden lub więcej CSIRT spełniających wymogi określone w pkt 1 załącznika I do dyrektywy (wymogi), obejmujących co najmniej sektory, o których mowa w załączniku II, i usługi, o których mowa w załączniku III, odpowiedzialnych za obsługę ryzyka i incydentów zgodnie z dobrze zdefiniowanym procesem.

Dyrektywa NIS ma na celu utworzenie sieci CSIRT "w celu przyczynienia się do rozwoju pewności i zaufania między państwami członkowskimi oraz promowania szybkiej i skutecznej współpracy operacyjnej". Dyrektywa stanowi, że każde państwo członkowskie wyznacza jeden lub więcej CSIRT, które muszą spełniać zestaw określonych wymogów wysokiego szczebla. [1]

Zgodnie z art. 9 NIS stanowi:

"Każde państwo członkowskie wyznacza co najmniej jeden CSIRT spełniający wymogi określone w załączniku I pkt 1, obejmujący co najmniej sektory, o których mowa w załączniku II, i usługi, o których mowa w załączniku III, odpowiedzialny za obsługę ryzyka i incydentów zgodnie z dobrze zdefiniowanym procesem. CSIRT może zostać utworzony w ramach właściwego organu.

I NISD nadal tak twierdzi:

·       CSIRTS posiadają odpowiednie zasoby, aby skutecznie realizować swoje zadania

·       Państwa członkowskie zapewniają skuteczną, wydajną i bezpieczną współpracę swoich CSIRT.

·       Państwa członkowskie zapewniają swoim CSIRT dostęp do odpowiedniej, bezpiecznej i odpornej infrastruktury komunikacyjnej i informacyjnej na szczeblu krajowym.

·       Państwa członkowskie informują Komisję o kompetencjach i głównych elementach procesu obsługi incydentów w swoich CSIRT.

·       Państwa członkowskie mogą zwrócić się do ENISA o pomoc w tworzeniu krajowych CSIRT[2] .

Załącznik I do NISD nosi tytuł WYMAGANIA I ZADANIA ZESPOŁÓW REAGOWANIA NA INCYDENTY BEZPIECZEŃSTWA KOMPUTEROWEGO (CSIRT) i został tu przytoczony w całości ze względu na jego duże znaczenie dla krajowej/rządowej społeczności CSIRT w UE:

(1) Wymagania dotyczące CSIRT:

(a) CSIRT zapewniają wysoki poziom dostępności swoich usług łączności, unikając pojedynczych punktów awarii, oraz dysponują kilkoma sposobami kontaktowania się z innymi i kontaktowania się z nimi przez cały czas. Ponadto kanały komunikacji powinny być jasno określone i dobrze znane okręgowi wyborczemu i partnerom współpracy.

(b) Pomieszczenia CSIRT i wspierające je systemy informacyjne są zlokalizowane w bezpiecznych miejscach.

(c) Ciągłość działania:

(i) CSIRT są wyposażone w odpowiedni system zarządzania zgłoszeniami i ich przekierowywania, aby ułatwić przekazywanie zadań.

(ii) CSIRT dysponują odpowiednią liczbą pracowników, aby zapewnić ich stałą dostępność.

(iii) CSIRT opierają się na infrastrukturze, której ciągłość jest zapewniona. W tym celu należy udostępnić redundantne systemy i zapasową przestrzeń roboczą.

(d) CSIRT mają możliwość uczestniczenia, jeżeli wyrażą taką wolę, w międzynarodowych sieciach współpracy.

(2) Zadania CSIRT:

(a) Zadania CSIRT obejmują co najmniej następujące elementy:

(i) monitorowanie incydentów na poziomie krajowym;

(ii) zapewnianie wczesnego ostrzegania, alarmowania, ogłaszania i rozpowszechniania informacji o zagrożeniach i incydentach wśród odpowiednich zainteresowanych stron;

(iii) reagowanie na incydenty;

(iv) zapewnienie dynamicznej analizy ryzyka i incydentów oraz świadomości sytuacyjnej;

(v) uczestnictwo w sieci CSIRTs.

(b) CSIRT nawiązują współpracę z sektorem prywatnym.

(c) Aby ułatwić współpracę, CSIRT promują przyjęcie i stosowanie wspólnych lub znormalizowanych praktyk w zakresie:

(i) procedury postępowania w przypadku incydentów i ryzyka;

(ii) systemy klasyfikacji incydentów, ryzyka i informacji.



[1] Model oceny dojrzałości CSIRT ENISA [online], 2019 r. WERSJA 2.0. Ateny, Grecja: Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) [cyt. 2021-03-16]. ISBN 978-92-9204-292-9. Dostępny pod adresem: https://www.enisa.europa.eu/publications/study-on-csirt-maturity/at_download/fullReport, s. 5-6.

[2] Model oceny dojrzałości CSIRT ENISA [online], 2019 r. WERSJA 2.0. Ateny, Grecja: Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) [cyt. 2021-03-16]. ISBN 978-92-9204-292-9. Dostępny pod adresem: https://www.enisa.europa.eu/publications/study-on-csirt-maturity/at_download/fullReport, s. 11.