Prawne aspekty zwalczania cyberprzestępczości

Od początku funkcjonowania Internetu, hakerzy poszukują luk w zabezpieczeniach systemów informatycznych, bo to one są główna przyczyną wirtualnych incydentów,   włamań do serwerów instytucji  i urzędów. Temat bezpieczeństwa sieci komputerowych towarzyszy specjalistom IT od wielu lat. Upowszechnienie się dostępu do Internetu jak i wzrost roli sieci w życiu publicznym wymusza na administratorach ciągle doskonalenie technik skutecznego zabezpieczania urządzeń informatycznych. Maszyny cyfrowe zawierają poufne informacje, które w rękach osób trzecich mogą się stać zagrożeniem interesów właściciela serwera czy użytkownika danej stacji roboczej. Początkowo częstą przyczyną włamań była wynikająca z lekceważenia zagrożeń, zupełna niedbałość o bezpieczeństwo, w wielu przypadkach można było dostać dostęp do serwerów  bez autoryzacji, a jeżeli  już istniał jakiś system zabezpieczający, to poufne informacje przekazywane były w postaci tzw. otwartego tekstu., przez co dane były łatwe do przechwycenia i zmanipulowania. Mając na uwadze prostotę podsłuchu transmitowanych danych,  za jedną z najbardziej niebezpiecznych usług uznany został telnet, czyli protokół, który pozwalał użytkownikom  na zdalny dostęp do prywatnego konta i przypisanych mu zasobów dyskowych. Z biegiem czasu zastąpiono go alternatywnymi usługami, które wspierały transmisję szyfrową np SSH  (secure shell- bezpieczna powłoka),  w ten sposób  została  zabezpieczona poczta  elektroniczna  poprzez wprowadzenie uwierzytelniania  protokołów  bezpiecznych transmisji danych (POP35 czy serwery stron WWW, które  dały również możliwość zaszyfrowania danych w protokole HTTPS). Skuteczną metodą, która przysłużyła się do poprawy bezpieczeństwa  była sukcesywna zamiana komercyjnego software na rzecz systemów i aplikacji utworzonych pod  nazwą „ wolnego oprogramowania”, który  przewyższył swoje komercyjne odpowiedniki i  to nie tylko z uwagi na koszty zakupu, ale  także z lepszego dopracowania w aspekcie bezpieczeństwa. Dzięki tej technice wiele instytucji korzysta obecnie z licznych odmian systemu  Linux, zarówno do zastosowań serwerowych jak i użytkowych. Adaptacja systemów opartych na  „open surce”  okazała się dość dobrym rozwiązaniem i zaliczana jest do jednej ze skuteczniejszej metody, służącej  do poprawy bezpieczeństwa sieci na polskim rynku. Obecnie trudno wyobrazić sobie serwer bez dobrze skonfigurowanej „zapory ogniowej”, nawet przeciętni użytkownicy domowych stacji roboczych wyposażają swoje urządzenia  w najprostszy „firewall”, który ma duże możliwości konfiguracyjne i w połączeniu z oprogramowaniem antywirusowym będzie odpierał próby dostępu intruzów jak i będzie analizował ruch sieciowy pod kątem niebezpieczeństw. Należy zaznaczyć, że żadne oprogramowanie  systemu  czy aplikacja nie będzie  skuteczna, jeśli pozostawi się luki  w skryptach PHP czy CGI, przeoczenie luk z niewłaściwą polityką bezpieczeństwa serwera umożliwia potencjalnemu włamywaczowi  przejęcie uprawnień administracyjnych, co w konsekwencji spowoduje zmianę integralności danych, które  są zapisane na dysku serwera. System wykrywania włamań jest jednym z najważniejszych źródeł informacji o tym co dzieje się w sieci i na jej granicach. Wykorzystując za jego pomocą dane, możliwe staje się efektywne przeciwdziałanie atakom. Do wykrycia włamań służy zestaw metod i technik, które umożliwiają obserwację podejrzanej aktywności na poziomie sieci i pojedynczych komputerów, bowiem każda próba przełamania zabezpieczeń pozostawia ślad czy to w logach, czy w treści przesyłanych pakietów i dzięki tym właściwościom możliwe jest monitorowanie jak i wykrycie niepożądanych działań. Systematyczne monitorowanie pozwala skorelować ze sobą dane. Systemy IDS/IPS opierają  się na dwóch metodach wykrywania włamań. Pierwsza polega na przeglądaniu treści pakietów przesyłanych przez sieć i wyszukiwaniu w  nich sygnatur związanych z atakiem. Druga dotyczy wykrywania anomalii w ruchu sieciowym. System „Snort” jako główna metoda wykrywania włamań używa zestawu reguł, gdzie stosowane przez to oprogramowanie preprocesory dokonują normalizacji  ruchu. W wyniki połączenia obu powyżej wymienionych metod pakiet ten umożliwia efektywną analizę ruchu, nawet, gdy osoba atakująca próbuje go oszukać systemem IDS/IPS. Do zalet tej konfiguracji zalicza się małą liczbę alarmów, same alarmy pojawiają się w chwili, gdy atak przedostał się przez „Firewall” lub, gdy pochodzi z wnętrza sieci lokalnej. W przypadku bardziej rozbudowanej sieci system IDS/IPS dostarcza pełnych informacji o skanowaniu portów, próbach ataków, użytych metodologiach i ruchu zarówno z sieci  jak i do sieci organizacji. Omawiany program może  pracować  w trybie pasywnym( IDS) , jak i w trybie aktywnym (IPS), przez co jest bardzo uniwersalny[1]. Sieciowe systemy detekcji zapobiegania włamaniom są nieodzownym narzędziem w przeciwdziałaniu cyberprzestępczości. Często się zdarza , że niezauważony atak nie pozwała na podjęcie odpowiednich kroków naprawczych, z powodu zbyt późnego wykrycia ataku. Obecnie duży nacisk kładzie się na możliwość kontroli i autoryzacji tego, co przez kogo zostało zmienione w konfiguracji maszyn  i dzięki możliwościom  porównawczych stanu obecnego systemu plików maszyny z jego migawką, możliwa staje się obiektywna ocena zaistniałej zmiany dla działania całego systemu.  Istotny w monitorowaniu systemu jest program „Open Source Tripwire”[2]. Program wykorzystuje stworzony przez użytkownika  zbiór reguł na podstawie, których tworzy własną bazę informacji  o systemie plików. Dużą zaletą programu jest łatwa konfiguracja i spora elastyczność w dostosowywaniu do konkretnego środowiska. Najlepszym jednak sposobem zabezpieczającym jest w pełni rozumiana profilaktyka, a więc działania zapobiegawcze, które zaczynają się na etapie opracowania właściwej strategii funkcjonowania sieci administracyjnej, by w razie włamania jak najbardziej zminimalizować  jego skutki i nie dopuścić do naruszenia integralności danych. Dlatego nie powinno łączyć się funkcjonalności różnych serwerów i powierzać ich jednej maszynie. Jedną z powszechnie stosowanych technik  w polityce bezpieczeństwa jest seperowanie sieci wewnętrznej  od maszyn podłączonych do Internetu. Realizuje się to poprzez tzw. stref zdemilitaryzowanych (DMZ) lub przez fizyczny podział, a warstwie sprzętowej stosując macierze dysków na poszczególnych serwerach. Istotne jest również tworzenie kopii  bezpieczeństwa (backup), które pozwalają na szybkie odtwarzanie struktury zarówno danych jak i systemu przed atakiem. Nie da się zabezpieczyć systemu, jeśli administrator nie stworzy optymalnej konfiguracji, która skutecznie ograniczy prawdopodobieństwo włamania, w razie jego zaistnienia zminimalizuje skutki działania włamywaczy, zwłaszcza gdy chodzi  o włamania  do serwerów,  które obsługują zaawansowane portale sieci WEB. Nie zawsze  jest się w stanie oddziaływać na konstrukcje stron i skryptów, serwisu, które stanowią  składowe WWW. Dlatego warto restrykcyjnie skonfigurować serwer usługowy tak,  by pracował na prawach użytkownika o ściśle ograniczonym polu działania. W profilaktyce z wiązanej z bezpieczeństwem  ważną rolę odgrywa edukacja i poziom wiedzy osób, które są  odpowiedzialne  za bezpieczeństwo teleinformatyczne. Odpowiedzialność za informację jest obowiązkiem właściwie każdego użytkownika korzystającego z zasobów sieci. Obecna technika daje możliwości kontroli nadzoru sieci, dostępności do usług czy monitorowania jej użytkowników. Pomimo wielkiego nakładu na systemy bezpieczeństwa większość organizacji jest narażona na ataki APT (Advanced Persistent Threats), które pozostają niewykryte przez wiele miesięcy. A to powoduje, że generują wymierne straty dla działalności  i wizerunku rynkowego, dlatego planując reakcję na incydent APT nie można jej sprowadzać jedynie do reinstalacji zainfekowanej stacji. Ważne jest wskazanie celowe ataku wśród wielu alertów związanych z tzw. „commodity malvare”[3] oraz dostępność narzędzi, służących efektywnego  kontynuowania analizy zdarzenia SOC. Od dłuższego czasu „FireEye” promuje wdrażanie procesu IRW, któremu podporządkowany jest rozwój produktów i usług firm. „Endpoint  FireEye” umożliwia wykrycie incydentu, zapobiega lub ogranicza wpływ incydentu na działalność organizacji, dalej analizuje i gromadzi dane na temat ataku i w końcu wdraża działania remediacjyjne czyli naprawcze. „FireEye” umożliwia zatem automatyczne potwierdzenie infekcji hosta na podstawie definicji ataku tzw. I0C (Indicator of  Compromise). Po stwierdzeniu infekcji hosta  agent HX automatycznie przekazuje logi opisujące najistotniejsze zmiany w systemie wykonane przez malware. Ślady, które wskazują na zaawansowany atak, umożliwiają  natychmiastowa izolację hosta od reszty sieci. Izolacja może dotyczyć  zarówno komputera w sieci LAN jak i komputera znajdującego się poza siedzibą firmy i  instytucji.  FireEye HX umożliwia pobranie podejrzanych  plików, historii komend, pamięci RAM, czy obrazów dysków z hostów[4]. Zakres i rozmiar cyberprzestępstw powodują poszukiwanie ciągle nowych i bardziej skutecznych środków w celu zwalczania jak i zapobiegania tego rodzaju przestępstw. Zarówno  zwalczanie piractwa komputerowego jak i ochrona danych komputerowych zostały wymuszone przez zobowiązania międzynarodowe, a to spowodowało powstanie konieczności dostosowania się poleskiego prawa do nowej sytuacji[5].

Wejście Polski do Unii Europejskiej zmusiło polskiego ustawodawcę do dokonania wielu zmian w obowiązującym prawie w aspekcie obowiązujących w UE standardów w zakresie zwalczania przestępstw komputerowych. Cechą charakterystyczną cyberprzestępczości jest jej transgraniczny charakter i dlatego ważne są  i  kontakty i współpraca ze służbami innych państw w celu  jej zwalczania. W zwalczaniu przestępstw komputerowych kluczową role odgrywają przepisy prawa, zwłaszcza prawa karnego, w którym określone są zasady wykrywania, ścigania, stosowania środków zapobiegawczych  oraz orzekania kar jak i innych środków resocjalizacyjnych. Kodeks karny z roku 1997 zawiera liczne środki o charakterze probacyjnym i wychowawczym, zamiarem prawodawcy było uniknięcie kary przez sprawców czynów, które były zaliczone do mniej społecznie szkodliwych[6].Wobec współczesnemu stanu informacji, komercyjna przestępczość komputerowa stała się bardzo dużym problemem. W Polsce jak i na całym świecie na masową skalę korzysta się z Internetu i on sam w zasadzie nie odpiera ataków np. hakerów. Podmioty korzystające z usług Internetu rzadko zapewniają swoim sieciom dostateczny czy wystarczający poziom bezpieczeństwa. Do walki z cyberprzestepczością nie tylko potrzebny jest kodeks prawny ale i też odpowiednio skonstruowana polityka bezpieczeństwa, które w precyzyjny sposób określać będzie zarówno procedury postępowania  w sytuacjach związanych  z zabezpieczeniem i ochroną danych. Aby skuteczni przeciwdziałać zagrożeniom wynikającym z cyberprzestepstw należy uwzględniać obowiązki nałożone przez zobowiązania międzynarodowe, które wynikają z Zalecenia Komitetów Ministrów Rady Europy Nr/89/9 z 1989 roku  w sprawie przestępstw komputerowych, Wytyczne OECD z roku 1992, w sprawie bezpieczeństwa systemów informatycznych, Zalecenia Komitetu Ministrów Rady Europy w Nr/95/13 z roku 1995 w sprawie problemów karnoprocesowych związanych z nowoczesną technologią  przetwarzania danych, Deklaracja ONZ z dnia 15 kwietnia 2000roku[7]. Przyjęta przez Polskę Konwencja z Budapesztu z 2001 roku dała większe instrumenty procesowe, co do przestępstw komputerowych, a to spowodowało usprawnienie procesu dowodowego cyberprzestępstw[8]. Decyzja Ramowa Rady w sprawie europejskiego nakazu aresztowania i procedury wydawania osób między Państwami Członkowskimi[9], spowodowała rozszerzenie definicji związanych z przestępczością komputerową w polskim prawie i tak unormowania międzynarodowe sprzyjają polskiemu procesowi tworzenia modelu dotyczącemu zwalczaniu przestępczości komputerowej natomiast model ten uwzględnia podstawy prawne,  możliwości techniczne i organizacyjne procedury. Ważnym jest , żeby stworzony model uregulowań prawnych i organizacyjno- technicznych ,stanowiących podstawy prawa informatycznego został włączony również administrator, zarządzający siecią komputerową[10]. Obowiązki podmiotów, które są odpowiedzialne za dostarczanie usług telekomunikacyjnych ujęto w ustawie Prawo Telekomunikacyjne oraz art.242 k.p.k.  W dalszym ciągu brakuje jednolitych przepisów prawnych, które byłyby dostosowane do specyfiki przestępstw komputerowych, gdzie powinny się znaleźć wszystkie zagadnienia z zakresu zjawiskowych form cyberprzestępczości zawartych w Zaleceniu Nr R/89/9 Komitetu Ekspertów Rady Europy, ponadto istotne byłoby określenie wartości strat i dolnej granicy wartości naruszonego mienia, poniżej której miałoby się do czynienia z występkiem komputerowym, ważne  byłoby również ustalenie, kto ponosi zobowiązania co do zabezpieczeń dowodów przestępstwa (przedsiębiorca telekomunikacyjny,  jego służby,  czy inni  użytkownicy)[11]. Państwo polskie powinno nadto posiadać odpowiednie umowy o charakterze międzynarodowym, które dotyczyłyby wzajemnej współpracy w ramach ścigania zwalczania komputerowej przestępczości transgranicznej[12]. Umowy powinny być opracowywane w ramach Europolu,  czy Interpolu jak i organizacjach  czy instytucjach międzynarodowych skupiających organa Policji. I tak umowy  międzynarodowe stanowiłyby integralną część do ogólnoświatowego pełnego bezpieczeństwa. Celem konwencji jest stworzenie jednolitych rozwiązań prawnych dla przeciwdziałania przestępczości w cyberprzestrzeni. Konwencja sporządza katalog przestępstw komputerowych, wprowadza procedury dotyczące wykrywania i ścigania przestępczości komputerowej, określa też zasady współpracy międzynarodowej. Państwa, które ratyfikują konwencję, zobowiązane są  do wprowadzenia przepisów umożliwiających karanie za fałszowanie danych komputerowych, a także za oszustwa komputerowe prowadzące do strat finansowych. Dokument wprowadza  przepisy związane z łamaniem praw autorskich. Konwencja zobowiązuje  do wprowadzenia przepisów dotyczących karania za rozpowszechnianie pornografii dziecięcej za pośrednictwem sieci informatycznych. Zakłada także, że karane ma być umyślne pomocnictwo lub podżeganie do popełnienia któregokolwiek z przestępstw wymienionych powyżej.  W myśl treści  dokumentu stworzone mają być krajowe ośrodki zapewniające pomoc w sprawach związanych z przestępczością komputerową pracujące 24 godziny na dobę. W Polsce taką rolę ma pełnić Wydział Wsparcia Zwalczania Cyberprzestępczości Biura Służby Kryminalnej Komendy Głównej Policji. W dokumencie zapisano możliwość dostępu do danych informatycznych znajdujących się na terytorium innego państwa. Z kolei protokół dodatkowy jest uzupełnienie postanowień konwencji w zakresie karania czynów o charakterze rasistowskim i ksenofobicznym, popełnionych przy użyciu systemów komputerowych. Śledcza analiza danych (ang. Forensic Data Analytics, w skrócie FDA) służy do zapobiegania i wykrywania nieprawidłowości. W  sferze biznesowej analizie najczęściej podlegają dane finansowo-księgowe i dane z systemów IT, które wspierają  prowadzenie działalności gospodarczej. Zauważa się, że coraz częściej śledcza analiza danych sięga po bilingi, wyciągi bankowe, e-maile, logi z systemów IT, a nawet informacje z serwisów internetowych i mediów społecznościowych.  Systematycznie rośnie udział narzędzi monitorujących treści w mediach społecznościowych  wykorzystujących metody statystyczne. Firmy z branży IT wprowadziły do swojej oferty kompleksowe systemy IT, których celem jest  przeciwdziałanie wszelkim  nadużyciom. W Polsce zaawansowane systemy IT służące przeciwdziałaniu nadużyciom wdrażane były do tej pory głównie przez instytucje finansowe, które od zawsze były najbardziej narażone na ryzyko nadużyć, takich jak wyłudzenia kredytów czy wyłudzenia odszkodowań. Głównym zadaniem strategii dotyczącej zwalczania i przeciwdziałania cyberprzestępczości jest stworzenie na szczeblu krajowym efektywnego systemu koordynacji działań wszystkich służb, podmiotów prywatnych i obywateli w zakresie przeciwdziałania cyberprzestępczości. Wszystkie służby państwowe w połączeniu z przedsiębiorstwami prywatnymi muszą ze sobą współpracować w zakresie wykrywania, ścigania tych, którzy dokonują przestępstw w cyberprzestrzeni. Istotnym elementem w przeciwdziałaniu cyberprzestępczości jest wykształcenie kompetentnych ekspertów, a także rozwijanie współpracy międzynarodowej i promowanie polskich rozwiązań z obszaru cyberbezpieczeństwa. Bardzo ważne są  również kwestie dotyczące zmian legislacyjnych, które usprawnią pracę prokurator i sądów w obszarze dotyczącym cybeprzestępczości. W polskim prawie pojawia się kilka nowych rozwiązań, mających swe źródło przede wszystkim w prawie europejskim. Kierunek zmian jest bardzo wyraźny, a  podmioty z sektora prywatnego mają stać się współodpowiedzialne za bezpieczeństwo cyberprzestrzeni, gdyż skala wyzwań przekracza możliwości organów ścigania najpotężniejszych nawet państw świata. Konieczność zaangażowania sektora prywatnego w walkę z cyberprzestępczością wynika też z tego, że państwo, tracąc kilkanaście lat temu monopol na budowę sieci telekomunikacyjnych i świadczenie usług, oddało też prawie całkowicie sektorowi prywatnemu inicjatywę w zakresie rozwoju nowych technologii, dlatego kompetencje w sprawach technologii bezpieczeństwa znalazły się w sektorze prywatnym. Skuteczna ochrona europejskiej infrastruktury teleinformatycznej przed cyberprzestępczością jest jednym z filarów Europejskiej Agendy Cyfrowej[13].,  podstawowego dokumentu określającego strategiczne cele Unii Europejskiej w obszarze gospodarki cyfrowej. Strategia przewiduje szereg działań legislacyjnych, które mają przyczynić się do stworzenia ogólnoeuropejskiej infrastruktury cyberbezpieczeństwa. Wspomniane działania są wielowymiarowe. Część z nich zmierza do stworzenia nowych ogólnoeuropejskich organów odpowiedzialnych za wzmocnienie współpracy i wymianę informacji, służących zapewnieniu odpowiedniego poziomu cyberbezpieczeństwa, w tym skuteczniejszemu reagowaniu na incydenty. Inne z kolei mają nałożyć na podmioty z sektora publicznego oraz prywatnego nowe obowiązki związane z cyberbezpieczeństwem.  Europejska Agenda Cyfrowa proponuje poprawę systemu ochrony cyberprzestrzeni poprzez zaangażowanie do tego działania bardzo szerokiego grona podmiotów, w tym z sektora prywatnego. Europejski system cyberbezpieczeństwa ma się opierać na stworzeniu nowych mechanizmów wymiany informacji i współpracy między odpowiednio umocowanymi instytucjami państwowymi i organizacjami sektorowymi oraz na określeniu dla instytucji europejskich zajmujących się różnymi aspektami bezpieczeństwa mandatu umożliwiającego skuteczne gromadzenie informacji i wypracowanie mechanizmów wspólnego reagowania na nowe rodzaje zagrożeń z cyberprzestrzeni. Jednym z zasadniczych zadań europejskiej polityki cyberbezpieczeństwa jest powołanie w poszczególnych państwach członkowskich zespołów szybkiego reagowania na zagrożenia w cyberprzestrzeni (Computer Emergency Response Team). W Polsce działa Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL[14], który zajmuje się ochroną sieci rządowych. Podstawowym celem CERT-u  jest gromadzenie informacji o zagrożeniach, wczesna reakcja na incydenty w cyberprzestrzeni oraz opracowywanie rozwiązań mających na celu zapobieganie cyberatakom w przyszłości. Kolejną ważną unijną  instytucją  jest  ENISA[15]. Została ona pierwotnie powołana przede wszystkim do prowadzenia prac analitycznych oraz badawczych, które stanowią  podstawę do konstruowania polityki cyberbezpieczeństwa w ramach Unii Europejskiej. ENISA jest również zobowiązana do wspierania zarówno instytucji unijnych, jak i organów poszczególnych państw w konstruowaniu skutecznych rozwiązań zapewniających cyberbezpieczeństwo. Jednym z ważniejszych przejawów aktywności ENISA w ostatnich latach było przeprowadzenie kilku międzynarodowych ćwiczeń ochrony cyberprzestrzeni i wypracowanie metodologii dla takich przedsięwzięć. Europejskie Centrum Cyberprzestępczości (EC3)[16], które powstało przy  EUROPOL-u ma zapewnić szeroką  współpracę w zakresie wymiany informacji pomiędzy organami policyjnymi państw członkowskich. EC3 wspomaga działania, które są skierowane  przeciw przestępczości zorganizowanej oraz zajmuje się  identyfikacją nowych rodzajów przestępstw w cyberprzestrzeni. Walka z cyberprzestępczością wymaga również gwarancji, aby, przynajmniej na poziomie ustawodawstw państw członkowskich, ujednolicone zostały przepisy karne odnoszące się do cyberprzestępstw. Ważnym elementem dyrektywy jest  wprowadzenie odpowiedzialności osób prawnych, w których imieniu lub na ich zlecenie  działali sprawcy cyberprzestępstw. Warto podkreślić, że znaczna część rozwiązań postulowanych przez Dyrektywę jest już w tej chwili zawarta w polskich przepisach prawa karnego. Zgodnie z Dyrektywą do podejmowania określonych działań związanych z cyberbezpieczeństwem zobowiązani zostali w pierwszej kolejności dostawcy publicznie dostępnych usług telekomunikacyjnych oraz operatorzy publicznych sieci telekomunikacyjnych. W  wielu państwach członkowskich przedsiębiorcy telekomunikacyjni mają obowiązek podejmować określone działania w sytuacjach szczególnych zagrożeń, a także współpracować z instytucjami właściwymi w sprawach bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. W wyniku nowelizacji dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa) doprecyzowano obowiązki w zakresie stosowania rozwiązań technicznych i organizacyjnych, które zapewnią bezpieczeństwo i integralność sieci telekomunikacyjnych. Wprowadzono też zupełnie nowe obowiązki informacyjne. Operatorzy i dostawcy usług muszą informować Prezesa Urzędu Komunikacji Elektronicznej o naruszeniu bezpieczeństwa lub integralności sieci lub usług, które miało istotny wpływ na funkcjonowanie sieci lub usług. Ma to być podstawą do zbudowania ogólnoeuropejskiego systemu wymiany informacji o naruszeniach bezpieczeństwa. Trzeba zaznaczyć, że obowiązki informacyjne obejmują nie tylko incydenty związane z domniemanymi cyberprzestępstwami, ale wszelkie istotne przerwy i awarie systemów komunikacyjnych[17]. Zasadnicze  znaczenie dla europejskiego systemu cyberbezpieczeństwa będzie miała Dyrektywa o bezpieczeństwie sieci i informacji. Projekt Dyrektywy w wersji zaproponowanej przez Komisję zawiera kilka bardzo istotnych i rewolucyjnych rozwiązań. Przede wszystkim zaproponowano rozszerzenie obowiązków związanych z cyberbezpieczeństwem na szereg nowych podmiotów z sektora prywatnego. Przyjęto bowiem założenie, że celem ewentualnych ataków z cyberprzestrzeni jest nie tylko infrastruktura, ale wszelkie systemy informacyjne, nie tylko w sektorach klasyfikowanych tradycyjnie jako krytyczne. Stąd zakres podmiotowy uregulowań w projekcie Dyrektywy obejmował między innymi portale internetowe przetwarzające duże ilości wrażliwych danych o użytkownikach, media społecznościowe, dostawców usług „cloud computingu”, platformy z aplikacjami, dostawców rozwiązań płatniczych, firmy zajmujące się organizacją transportu, logistyką, dostawców usług energii elektrycznej, banki i firmy z sektora ochrony zdrowia Zauważa się, że obowiązki tych podmiotów miałyby być analogiczne do tych, które już teraz spoczywają na dostawcach sieci oraz usług telekomunikacyjnych[18].W zamyśle Komisji podmioty te powinny zostać zobowiązane, pod groźbą sankcji, do stosowania rozwiązań technicznych oraz organizacyjnych gwarantujących bezpieczeństwo sieci oraz kontrolowanych i używanych przez siebie systemów informatycznych. Dodatkowo miały zostać zobowiązane do zgłaszania odpowiednim organom w swoich macierzystych państwach incydentów mających znaczący wpływ na bezpieczeństwo ich systemów. Odpowiednie organy mają otrzymać uprawnienie do ujawnienia takich incydentów opinii publicznej, jeżeli uznają, że leży to w interesie publicznym. Organy nadzoru będą również uprawnione do żądania przeprowadzenia audytów bezpieczeństwa przez podmioty szczególnie narażone na cyberataki. Niezależnie od opisanych powyżej obowiązków projekt Dyrektywy przewiduje również rozwiązania zmierzające do skutecznego stworzenia przestrzeni dla skoordynowanej europejskiej polityki cyberbezpieczeństwa. Państwa członkowskie mają zostać zobligowane do stworzenia strategii w zakresie bezpieczeństwa sieci i informacji, powołania CERT-ów oraz organów odpowiedzialnych za bezpieczeństwo sieci oraz informacji. Organy te powinny stworzyć ogólnoeuropejską sieć wymiany informacji na temat cyberbezpieczeństwa i przesyłać sobie nawzajem m.in. ostrzeżenia o zagrożeniach. Powyższe propozycje wzbudzają szereg kontrowersji, głównie jeżeli chodzi o zakres podmiotowy. Wielu krytyków zarzucało propozycji Komisji zbytnie rozszerzenie katalogu podmiotów zobowiązanych do realizacji dodatkowych obowiązków. W pierwszym czytaniu Parlament Europejski zaproponował szereg zmian do projektu Dyrektywy. Wiele z nich skutkuje zmniejszeniem rygoryzmu pierwotnej wersji dyrektywy. Zmiany wprowadzone przez Parlament przewidują, że obowiązki wymiany informacji nie będą obejmować organów administracji publicznej, zostawiając kwestie zabezpieczeń systemów rządowych uznaniu państw członkowskich. Zaproponowano także zwolnienie z obowiązkowych zgłoszeń incydentów wielu kategorii podmiotów prywatnych, które w pierwotnej wersji dyrektywy były do tego zobowiązane (dotyczy to m.in. platform e-commerce, dostawców usług cloud computingu czy wyszukiwarek internetowych.