Polityka i prawo
Kolejny krok Ministerstwa Cyfryzacji w stronę dyrektywy NIS [KOMENTARZ]
W dniu 1 czerwca br. Ministerstwo Cyfryzacji skierowało do konsultacji publicznych i opiniowania dwa projekty rozporządzeń wykonawczych do wdrażanej w Polsce ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa ta jest pochodną dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.
Zapisy dyrektywy powinny być wdrożone na poziomie krajowym do dnia 10 maja 2018 roku. Projekt ustawy, po przyjęciu jej w dniu 26 kwietnia br. przez Radę Ministrów, został skierowany do Sejmu. 5 czerwca na 63 posiedzeniu Sejmu odbyło się pierwsze czytanie projektu ustawy i została ona skierowana do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej.
Procedowane równolegle rozporządzenia dotyczą określenia wskazanych w ustawie progów uznania incydentu za poważny oraz wykazu usług kluczowych i progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Zarówno w pierwszym jak i drugim przypadku uwzględniony został podział na sektory, podsektory i rodzaje podmiotów wskazanych w ustawie o krajowym systemie cyberbezpieczeństwa, wcześniej zidentyfikowanych w dyrektywie NIS.
Rozporządzenie dotyczące progów uznania incydentu za poważny stanowić będzie wykładnię dla operatorów usług kluczowych co do klasyfikacji zdarzeń i procedury rejestracji zgłaszania i obsługi poszczególnego incydentu. Szczegółowo określone w rozporządzeniu zapisy zostały opracowane w oparciu o propozycje organów właściwych w poszczególnych sektorach. Dodatkowo, w procesie przygotowania projektu, brano pod uwagę analizy Grupy Współpracy powołanej dyrektywą Parlamentu Europejskiego Rady (UE) 2016/1148.
Kolejne ze zgłoszonych do konsultacji rozporządzeń dotyczy kwestii wykazu usług kluczowych w poszczególnych sektorach wskazanych w załączniku nr 1 do ustawy. Wykaz ten jest kluczowy z punktu widzenia klasyfikacji przedsiębiorcy lub podmiotu, a także wydania przez organ właściwy odpowiednich decyzji administracyjnych. Stanowi on zatem podstawę identyfikacji podmiotu w obszarze ustawy o krajowym systemie cyberbezpieczeństwa.
Kolejnym aspektem projektowanego rozporządzenia jest wskazanie, i odpowiednie dopasowanie progów istotności zakłócającego incydentu dla świadczenia usług kluczowych. Charakter i zakres progów istotności skutku zakłócającego incydentu określa Art. 6. ustawy uwzględniając m.in. liczbę użytkowników zależnych od danej usługi kluczowej, wpływ jaki incydent mógłby mieć na działalność gospodarczą i społeczną oraz bezpieczeństwo publiczne.
Procedowane aktualnie w Rządowym Centrum Legislacji dwa projekty rozporządzeń wykonawczych do ustawy o krajowym systemie cyberbezpieczeństwa stanowią kolejny krok resortu cyfryzacji w kwestii wdrożenia dyrektywy NIS.