Prawa i przepisy regulujące bezpieczeństwo cybernetyczne

Systemy i usługi sieciowe i informacyjne odgrywają istotną rolę w społeczeństwie. Ich niezawodność i bezpieczeństwo mają zasadnicze znaczenie dla działalności gospodarczej i społecznej, a w szczególności dla funkcjonowania rynku wewnętrznego.

Skala, częstotliwość i skutki incydentów bezpieczeństwa są coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. Systemy te mogą również stać się celem celowych szkodliwych działań mających na celu uszkodzenie lub przerwanie działania systemów. Takie incydenty mogą utrudniać prowadzenie działalności gospodarczej, powodować znaczne straty finansowe, podważać zaufanie użytkowników i wyrządzać poważne szkody gospodarce Unii.

Systemy sieciowe i informacyjne, a przede wszystkim Internet, odgrywają zasadniczą rolę w ułatwianiu transgranicznego przepływu towarów, usług i osób. Ze względu na ten ponadnarodowy charakter, istotne zakłócenia tych systemów, zamierzone lub niezamierzone, niezależnie od miejsca ich wystąpienia, mogą mieć wpływ na poszczególne państwa członkowskie i Unię jako całość. Bezpieczeństwo sieci i systemów informatycznych ma zatem zasadnicze znaczenie dla sprawnego funkcjonowania rynku wewnętrznego.

W oparciu o znaczne postępy poczynione w ramach europejskiego forum państw członkowskich w zakresie wspierania dyskusji i wymiany dobrych praktyk politycznych, w tym opracowania zasad europejskiej współpracy w sytuacjach kryzysów cybernetycznych, należy powołać grupę współpracy złożoną z przedstawicieli państw członkowskich, Komisji oraz Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji ("ENISA"), której zadaniem będzie wspieranie i ułatwianie strategicznej współpracy między państwami członkowskimi w zakresie bezpieczeństwa sieci i systemów informatycznych. Aby grupa ta była skuteczna i obejmowała wszystkich, konieczne jest, by wszystkie państwa członkowskie dysponowały minimalnymi zdolnościami i strategią zapewniającą wysoki poziom bezpieczeństwa sieci i systemów informatycznych na swoim terytorium. Ponadto wymogi dotyczące bezpieczeństwa i powiadamiania powinny mieć zastosowanie do operatorów usług podstawowych i dostawców usług cyfrowych, aby promować kulturę zarządzania ryzykiem i zapewnić zgłaszanie najpoważniejszych incydentów.[1]

 

W szczególności, ze względu na specyfikę nieograniczoności cyberprzestrzeni i potrzebę skutecznej współpracy międzynarodowej, UE stara się zbliżyć do siebie przepisy poszczególnych państw członkowskich, tak aby można było skutecznie rozwiązywać problemy związane z bezpieczeństwem cybernetycznym.

Rozporządzenia, dyrektywy, decyzje ramowe i inne dokumenty UE/WE są głównymi środkami zbliżania prawa poszczególnych państw UE. Z punktu widzenia bezpieczeństwa cybernetycznego najważniejsze są następujące dokumenty:

Prawo pierwotne UE

·      Karta Praw Podstawowych Unii Europejskiej

Dyrektywa Parlamentu Europejskiego i Rady

·      91/250/EWG w sprawie ochrony prawnej programów komputerowych

·      98/34/WE ustanawiająca procedurę udzielania informacji w zakresie norm i przepisów technicznych, zmieniona dyrektywą 98/48/WE

·      1999/5/WE w sprawie urządzeń radiowych i końcowych urządzeń telekomunikacyjnych oraz wzajemnego uznawania ich zgodności

·      2000/31/WE w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego, w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym)

·      2002/19/WE w sprawie dostępu do sieci łączności elektronicznej i urządzeń towarzyszących oraz wzajemnych połączeń (dyrektywa o dostępie)

·      2002/20/WE w sprawie zezwoleń na udostępnienie sieci i usług łączności elektronicznej (dyrektywa o zezwoleniach), zmieniona dyrektywą 2009/140/WE

·      2002/21/WE w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa), zmieniona dyrektywą 2009/140/WE

·      2002/22/WE w sprawie usługi powszechnej i związanych z sieciami i usługami łączności elektronicznej praw użytkowników (dyrektywa o usłudze powszechnej)

·      2002/58/WE w sprawie przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej

·      2006/24/WE w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności

·      2008/114/WE w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony

·      2011/93/UE w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępująca decyzję ramową Rady 2004/68/WSiSW

·      2013/11/UE w sprawie alternatywnych metod rozstrzygania sporów konsumenckich oraz zmiany rozporządzenia (WE) nr 2006/2004 i dyrektywy 2009/22/WE (dyrektywa w sprawie alternatywnych metod rozstrzygania sporów konsumenckich)

·      2013/40/UE w sprawie ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW

·      2015/1535 w sprawie procedury udzielania informacji w zakresie przepisów technicznych i przepisów dotyczących usług społeczeństwa informacyjnego

·      2015/2366 w sprawie usług płatniczych w ramach rynku wewnętrznego zmieniająca dyrektywy 2002/65/WE, 2009/110/WE i 2013/36/UE oraz rozporządzenie (UE) nr 1093/2010 i uchylająca dyrektywę 2007/64/WE ("zmieniona dyrektywa w sprawie usług płatniczych")

·      2016/680 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych, w sprawie swobodnego przepływu takich danych oraz uchylenia decyzji ramowej Rady 2008/977/WSiSW

·      2016/1148 w sprawie środków mających na celu zapewnienie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w Unii (NIS)

Rozporządzenie Parlamentu Europejskiego i Rady

·      460/2004/WE ustanawiająca Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji, zmieniona rozporządzeniem (WE) nr 1007/2008

·      1077/2011/WE ustanawiająca europejską agencję do spraw zarządzania operacyjnego wielkoskalowymi systemami informatycznymi w przestrzeni wolności, bezpieczeństwa i sprawiedliwości

·      526/2013 w sprawie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) i uchylające rozporządzenie (WE) nr 460/2004 Tekst mający znaczenie dla EOG

·      910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (eIDAS[2] )

·      679/2016 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych i o swobodnym przepływie takich danych oraz uchylające dyrektywę 95/46/WE (ogólne rozporządzenie o ochronie danych - GDPR)

Decyzja Rady

·      92/242/EWG w sprawie bezpieczeństwa systemów informacyjnych

·      2005/222/WSiSW w sprawie ataków na systemy informatyczne

·      2011/292/UE w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE

Inne dokumenty

·      Konwencja Rady Europy nr 185 o cyberprzestępczości

·      Protokół dodatkowy nr 189 Rady Europy do Konwencji o cyberprzestępczości

·      Konwencja Rady Europy nr 196 o zapobieganiu terroryzmowi

·      Rozporządzenie wykonawcze Komisji (UE) 2018/151 ustanawiające zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, które mają być uwzględniane przez dostawców usług cyfrowych w zarządzaniu zagrożeniami dla bezpieczeństwa, na które narażone są sieci i systemy informatyczne, oraz parametrów oceny, czy skutki incydentu są znaczące

Normy międzynarodowe

·      ISMS serii ISO/IEC 27000

·      w Republice Czeskiej ČSN ISO/IEC 27001:2014

Obecnie najważniejszym dokumentem Unii Europejskiej odnoszącym się do cyberbezpieczeństwa jest DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/1148 z dnia 6 lipca 2016 r. dotycząca środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w całej Unii.[3]

Dyrektywa ta jest obecnie poddawana przeglądowi, a dyrektywa NIS2 jest w trakcie przygotowywania. Pierwszy ogólnounijny akt prawny dotyczący cyberbezpieczeństwa, dyrektywa NIS, wszedł w życie w 2016 r. i pomógł osiągnąć wyższy i bardziej wyrównany poziom bezpieczeństwa sieci i systemów informatycznych w całej UE. W związku z bezprecedensową cyfryzacją w ostatnich latach nadszedł czas, aby go odświeżyć.

Zmiany w zrewidowanej dyrektywie zostały jasno przedstawione w dokumencie Komisji Europejskiej[4] :