Polityka i prawo

Kto zajmie się wdrażaniem dyrektywy NIS?

  • Satelita Prospector-X, ilustracja: Deep Space Industries

Możemy sobie wyobrazić, że spełnienie wymogów dyrektywy to tylko wydanie aktów prawnych, a w praktyce wszystko pozostanie tak samo. Trzeba się skoncentrować  na praktycznych sposobach działania tak, by poziom bezpieczeństwa faktycznie wzrósł - tak eksperci komentowali możliwe skutki wprowadzenia dyrektywy NIS. Czasu na jej wdrożenie jest coraz mniej, a wątpliwości nie brakuje.

Podczas wtorkowej konferencji CYBERGOV zorganizowanej w Warszawie eksperci zastanawiali się nad skutkami wprowadzenia w Polsce unijnych przepisów dotyczących cyberbezpieczeństwa. Dyrektywa NIS (Network and Information Security) ma na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii Europejskiej. Dyrektywa stanie się obowiązującym prawem w ciągu dwóch – trzech lat. Podczas panelu dyskusyjnego specjaliści odpowiadali na pytanie: Jakie są najpilniejsze zadania w związku z jej wdrożeniem?

Trudna współpraca z biznesem

- Według mnie będzie to próba zmierzenia się z identyfikacją usług kluczowych. To jest coś, co już uruchomiliśmy na potrzeby infrastruktury krytycznej. Chodzi o przejście z obiektowego podejścia do podejścia usługowego. To, co dyrektywa NIS nazywa usługami podstawowymi będzie kojarzona z infrastrukturą krytyczną. Musimy zmierzyć się z tym, jakie wymagania bezpieczeństwa postawić wobec usługodawców – mówił podczas debaty Maciej Pyznar z Rządowego Centrum Bezpieczeństwa. - Zapewnienie bezpieczeństwa teleinformatycznego to jeden z tych elementów. Po lekturze szeregu planów wiemy, że różnie to bywa  w różnych sektorach. Są branże, jak energetyka czy banki, gdzie świadomość wyzwań jest dość duża.  Są też takie sektory, np. dostarczanie wody, gdzie świadomość zagrożeń teleinformatycznych nie jest wysoka – dodał.

Zastępca dyrektora CERT NASK Krzysztof Silicki tłumaczył, że dyrektywa NIS to szansa stworzenia krajowego systemu ochrony cyberprzestrzeni, który będzie zanurzony we współpracy międzynarodowej. Jest jednak pewne ryzyko.

 - Można sobie wyobrazić, że spełnienie wymogów dyrektywy to wydanie aktów prawnych, a w praktyce wszystko pozostanie po staremu. Trzeba się skoncentrować  na praktycznych sposobach działania – tak, by poziom bezpieczeństwa faktycznie wzrósł. Takie działania to np. powołanie krajowego CERT – mówił Silicki.

Tomasz Chodor z departamentu bezpieczeństwa PGNiG mówił o trudnej współpracy między administracją a biznesem. -  Na tym etapie prac nad dyrektywą ważne jest budowanie relacji z jednostkami, które będą nią objęte. Do jej wdrożenia będą wymagane znaczne nakłady finansowe. Jeżeli mówimy o wydatkach, to my jako biznes chcielibyśmy mieć informację, co możemy zyskać ze strony państwa, które będzie organizowało struktury, definiowało wymogi. Istotne jest nawiązanie właściwych relacji między uczestnikami programu, budowa zaufania. Mówimy tu o przekazywaniu różnych informacji, również takich, które nie powinny ujrzeć światła dziennego. Kwestie bezpieczeństwa również są istotne – wyjaśniał.

Czym zajmie się narodowy CERT?

Padło też pytanie – jaka będzie rola CERT-u działającego obecnie w ramach NASK w implementacji dyrektywy? Wiadomo, że CERT Polska w przyszłości ma pełnić funkcję CERT-u narodowego.

– NASK jest obecnie nadzorowane przez ministerstwo cyfryzacji. Ważne, jakie ramy wyznaczy nam resort. NASK jest w stanie w kilku obszarach dotarczyć swoją wiedzę i doświadczenie. Jako przykład można podać m.in. analitykę, obraz sytuacyjny zagrożeń, pogłębione analizy, reagowanie na incydenty, dostarczanie różnorakiej wiedzy o tym, co się dzieje. Można też wyznaczyć usługi podstawowe, stworzyć kryteria, schematy reagowania na incydenty, zapewnić mechanizmy współpracy  - tłumaczył  Krzysztof Silicki.

Piotr Januszewicz, zastępca dyrektora departamentu cyberbezpieczeństwa w ministerstwie cyfryzacji rozwinął tę kwestię - CERT Polska zostanie przekształcony w instytucję, która będzie zbierała informacje od wszystkich jednostek. Stanie się takim CERT-em  narodowym. Jego głównym zadaniem będzie koordynacja zdarzeń i incydentów bezpieczeństwa i przekazywanie i dystrybucja zdarzeń dalej. Pion analityczny w zajmie się sposobami obejścia problemów – mówił dyrektor.

Uczestnicy spotkania pytali, czy powstaną osobne CERT-y w ramach instytucji państwowych. Piotr Januszewicz wyjaśniał, że to zły pomysł. - Państwo musi optymalizować koszty funkcjonowania. Ile  możemy zbudować CERT-ów? Lepiej zorganizować jeden duży, dobry ośrodek -  niż tworzyć dziesięć bytów udających, że są CERT-ami i nie mających zdolności do operacyjnego działania - wyjaśnił.

Czytaj też: Szef NIK zarzuca administracji brak polityki cyberbezpieczeństwa

CERT Narodowy na razie przy NASK

 

Komentarze