Lubin, 2 października 2020 r.

ZPPM / 112 / X / 2020

European Commission
Directorate-General for Communications Networks, Content and Technology
Cybersecurity and Digital Privacy Policy (CNECT.DDG1.H.2) – Unit H.2
Avenue de Beaulieu 25
1049 Bruxelles/Brussels
Belgique/België
Konsultacje publiczne: Ref. Ares(2020)3320999

Stanowisko Związku Pracodawców Polska Miedź w sprawie cyberbezpieczeństwa – przeglądu przepisów UE dotyczących bezpieczeństwa sieci i systemów informatycznych.

Konsultacje publiczne przepisów UE dotyczących bezpieczeństwa sieci i systemów informatycznych (m.in. NIS Directive (EU) 2016/1148).
Legislative Proposal for a directive/Inception impact assessment (Cybersecurity – review of EU rules on the security of network and information systems)
Ref. Ares(2020)3320999 – 25/06/2020 – Revision of the NIS Directive

Związek Pracodawców Polska Miedź zgłasza gotowość włączenia się do prac nad nowelizacją Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union). W ramach konsultacji publicznych przepisów UE dotyczących bezpieczeństwa sieci i systemów informatycznych składamy w załączeniu w ioski legislacyjne wypracowane przez nasze podmioty członkowskie oraz przyłączamy się do uwag, wytycznych oraz opinii zasygnalizowanych i zgłoszonych przez inne polskie podmioty – m.in. Ministerstwo Cyfryzacji.

Chcielibyśmy zaznaczyć, że 21 listopada 2018 r. w Polsce zostało opublikowane rozporządzenie wskazujące progi dla incydentów poważnych. Tym samym zakończył się proces implementacji dyrektywy NIS, a Polska w pełni wdrożyła dyrektywę NIS. Wcześniej, 1 sierpnia 2018 r. Prezydent RP podpisał ustawę o krajowym systemie cyberbezpieczeństwa, implementującą do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148), tzw. Dyrektywa NIS.

Uwagi szczegółowe

Dyrektywa NIS, w szczególności Ustawa o krajowym systemie cyberbezpieczeństwa  przyczynia się do wyższego poziomu bezpieczeństwa sieci i systemów informatycznych w Polsce.

Z naszego punktu widzenia najbardziej właściwe wydaje się wybranie opcji 2 oraz 3 z listy zaproponowanych przez KE w celu ujednolicenia i zharmonizowania części istniejącej dyrektywy NIS oraz zachęcanie do dalszej wymiany informacji między zainteresowanymi stronami i władzami państw członkowskich.

Z perspektywy Operatora Usługi Kluczowej [OUK] ważne wydaje się uwzględnienie w dalszych pracach w obszarze cyberbezpieczeństwa EU, następujących postulatów:

1. Identyfikacja OUK powinno być realizowane w oparciu o analizę ryzyka zapewniając adekwatność oraz właściwe stosowanie środków bezpieczeństwa na poziomie EU oraz poziomach krajów członkowskich.

• Poczynając od poziomu EU gdzie powinno zdefiniować się kluczowe procesy poziomu EU, dla których ma być zapewniona ciągłość działania (BCP) oraz ryzyka dla procesów poziomu współpracy państw, które w następnych etapach powinny zostać uwzględniona na poziomach krajowych analiz.
• Na poziomach krajowych wyznaczenie OUK powinno odbywać się w oparciu o analizę ryzyka zapewniając adekwatność oraz właściwe stosowanie środków bezpieczeństwa, przy zachowaniu autonomiczności państwa członkowskiego do oceny ryzyka oraz uwzględniające analizy z poziomu EU.

2. Jednym z najbardziej kluczowych procesów/obszarów współpracy krajów członkowskich EU jest obszar telekomunikacyjny – ten obszar powinien stanowić wzorcowy zarówno w zakresie aktów normatywnych jak i praktyki analiz ryzyka oraz stosowanych zabezpieczeń.

3. Kolejne procesy/obszary powinny czerpać z dobrych praktyk, rozwiązań obszaru kluczowego m.in. telekomunikacyjnego.

4. Żaden z krajów EU, żadna z organizacji nie jest bastionem. Przemysł i gospodarka są mechanizmami pełnymi należności. Cyberbezpieczeństwo więc całego kraju, czy wręcz Europy zależy od najsłabszych ogniw. Regulacje powinny więc dostarczać mechanizmy pozwalające na wyrównywanie poziomów, zarówno pomiędzy poszczególnymi krajami jak i pomiędzy organizacjami.
5. Cybersecurity ACT w ramach ENISA powinno zachęcać do budowy struktur bezpieczeństwa na poziomie Europy/krajów członkowskich/poszczególnych organizacji. Koniecznym jest poznanie sieci powiązań między organizacjami i znalezienie odpowiedniego poziomu bezpieczeństwa dla wszystkich ogniw stanowiących wspólny organizm.

NIS/KSC traktuje jednak organizacje odrębnie – każdej z nich narzucając odrębnie zobowiązania w oderwaniu od pozostałych graczy – również nie objętych regulacjami (nie będących OUK).

6. Przepisy powinny dawać swobodę działania, w określonym zakresie, poszczególnym organizacjom. Nie powinny narzucać wybierania konkretnych rozwiązań, czy dyskryminowania wybranych dostawców.
7. Zbytnia szczegółowość dyrektyw może powodować brak poczucia odpowiedzialności zespołów i brak kreatywnego podejścia do zarządzania bezpieczeństwem. Istnieje ryzyko, że organizacje wykorzystując siły specjalistów do spełnienia wymagań dyrektyw (compliance) zatrzymają się na tym poziomie i nie będą wystarczająco szybko reagować na zmienne zagrożenie.

Jednym z takich czynników jest poziom biurokracji narzucany przez NIS/KSC – wykorzystywanie energii specjalistów bezpieczeństwa do tworzenia nadmiarowych dokumentacji, czy raportów, których nikt nie czyta – szybko staje się to nudną rutyną i powoduje uśpienie czujności.

8. Wartym podpatrzenia jest podejście USA, którego organizacje (NSA, CISA, NIST) wydają otwarte zalecenia i rekomendacje dotyczące konfiguracji i zabezpieczeń, do których należy dążyć. Jest to z pewnością zadanie dla ENISA. Być może część z nich powinna być obligatoryjna – w szczególności dla wybranych segmentów gospodarki, ale i one powinny pozwalać na swobodę biznesu – powinny definiować minimalny akceptowalny poziom bezpieczeństwa – ale pozwalać na jego zaostrzanie według własnych potrzeb.
9. Idealnym byłoby prowadzanie audytów z elementami doradztwa w celu budowania dojrzałości organizacji – obowiązkowe audyty powinny kończyć się nie tylko wytknięciem niezgodności, ale i wskazaniem w/w standardów, które jednoznacznie je usuną. To wymagałoby innego podejścia do audytów NIS/KSC.
10. ENISA/NIS/KSC powinny zapewnić certyfikację usługodawców usług cyberbezpieczeństwa (jak np. SOC), certyfikację ISAC (w szczególności gdy będą świadczyć płatne usługi), certyfikację audytorów.
11. Kluczowym czynnikiem do budowy cyber-odporności jest właściwe kierowanie odpowiedzialności kadry zarządzającej zwiększające identyfikacje oraz zrozumienie dla potrzeb zarządzania cyberbezpieczeństwem. Jest to szczególnie istotne w przedsiębiorstwach przemysłowych gdzie świadomość konieczności budowania obszaru cyberbezpieczeństwa jest mniejsza niż przedsiębiorstwach telekomunikacyjnych czy bankowości. Aby uniknąć sytuacji, że cyberbezpieczństwo jest jednym z pierwszych obszarów, który jest brany pod uwagę przy konieczności wdrożeń planów redukcji wydatków – począwszy od inwestycji, wdrażaniu tańszych, często nieadekwatnych zabezpieczeń (np. poprzez outsourcing pewnych obszarów z wykorzystaniem ogólnych, nie dedykowanych i nie dopasowanych do organizacji usług) a kończąc zapewne na etatyzacji.

Beata Staszków,

Prezes Zarządu Związku Pracodawców Polska Miedź

Stanowisko przygotowane na podstawie ekspertyz i opinii pochodzących od podmiotów członkowskich Związku Pracodawców Polska Miedź (w szczególności KGHM Polska Miedź S.A)