Skip navigation

23 lutego 2018

Cyberbezpieczeństwo Unii Europejskiej. Ochrona informacji krytycznych w świetle przyjęcia dyrektywy NIS.

Udostępnij

Postęp technologiczny w ostatnich dekadach spowodował gwałtowny wzrost informatyzacji. Nie będzie przesadą uznanie, że technologie informatyczne są kręgosłupem współczesnej ekonomii i jej krytycznym zasobem; wiele modeli biznesowych jest już opartych wyłącznie na IT. Sieci i systemy informatyczne mają więc zasadnicze znaczenie m.in. dla funkcjonowania rynku wewnętrznego w Unii Europejskiej. To oczywiście w sposób naturalny wiąże się ze wzrostem zagrożeń, które nadchodzą z wielu kierunków – mogą to być przestępstwa, działalność terrorystyczna, ale także katastrofy naturalne czy ludzkie błędy w programowaniu. Proces informatyzacji zachodzi tak szybko, że zagrożenia przynoszą coraz bardziej odczuwalne skutki.

 

Postęp technologiczny w ostatnich dekadach spowodował gwałtowny wzrost informatyzacji. Nie będzie przesadą uznanie, że technologie informatyczne są kręgosłupem współczesnej ekonomii i jej krytycznym zasobem; wiele modeli biznesowych jest już opartych wyłącznie na IT. Sieci i systemy informatyczne mają więc zasadnicze znaczenie m.in. dla funkcjonowania rynku wewnętrznego w Unii Europejskiej. To oczywiście w sposób naturalny wiąże się ze wzrostem zagrożeń, które nadchodzą z wielu kierunków – mogą to być przestępstwa, działalność terrorystyczna, ale także katastrofy naturalne czy ludzkie błędy w programowaniu. Proces informatyzacji zachodzi tak szybko, że zagrożenia przynoszą coraz bardziej odczuwalne skutki.

Skala popełnianych cyberprzestępstw jest tak wysoka, że organy ścigania w zasadzie nie mają możliwości efektywnego postępowania – samo ustalenie sprawcy powoduje wiele trudności. Aby zobrazować problem, należy odwołać się do liczb – szacuje się, że w przeciętnym przedsiębiorstwie co 4 sekundy jest ściągane nieznane złośliwe oprogramowanie, a średnio co 32 minuty poza serwery przedsiębiorstwa są wysyłane wrażliwe dane1. Tylko w 2015 r. wykryto niemal 144 mln rodzajów nowego złośliwego oprogramowania2. Co roku wzrasta także liczba włamań, w wyniku których zostaje ujawnionych więcej niż 10 mln tożsamości – w 2016 r. wykryto aż 15 takich włamań, a ich skutkiem było ujawnienie ponad miliarda tożsamości3.

Z powyższych względów zapewnienie odpowiedniego poziomu cyberbezpieczeństwa staje się absolutnym priorytetem. W Unii Europejskiej od lat trwają prace w tym zakresie, których wynikiem było przyjęcie takich dokumentów, jak Strategia bezpieczeństwa cybernetycznego Unii Europejskiej4, Europejska agenda bezpieczeństwa5 czy Strategia jednolitego rynku cyfrowego dla Europy6. Bez wątpienia jednak najważniejszym krokiem w kierunku bezpieczeństwa cyfrowego w Unii Europejskiej było przyjęcie przez Parlament Europejski 6 lipca 2016 r. dyrektywy nr 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dalej jako: dyrektywa lub dyrektywa NIS)7.

Celem dyrektywy jest zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w Unii Europejskiej, co ma bezpośrednio wpłynąć na poprawę funkcjonowania rynku wewnętrznego. Bezpieczeństwo zdefiniowano jako „odporność sieci i systemów informatycznych, przy danym poziomie zaufania, na wszelkie działania naruszające dostępność, autentyczność, integralność lub poufność przechowywanych lub przekazywanych, lub przetwarzanych danych lub związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy informatyczne”8.

Środki przewidziane w dyrektywie mają stworzyć spójny system zarządzania ryzykami poprzez identyfikację ryzyka incydentów, zapobieganie im, a w końcu wykrywanie, postępowanie i łagodzenie ich wpływu, przy czym za ryzyko uznaje się „każdą dającą się racjonalnie określić okoliczność lub zdarzenie, które ma potencjalny niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych”9.

Odpowiedzialnością za bezpieczeństwo obciążono nie tylko sektor publiczny, ale także prywatny.

Zakres obowiązywania dyrektywy

Dyrektywa odnosi się do dwóch typów podmiotów – operatorów usług kluczowych oraz dostawców usług cyfrowych.

Na państwach członkowskich spoczywa obowiązek identyfikacji operatorów usług kluczowych. Pierwsza identyfikacja musi nastąpić do dnia 9 listopada 2018 r. Aktualizacja wykazu operatorów usług kluczowych powinna być dokonywania regularnie, co najmniej raz na 2 lata. Kryteria identyfikacji są następujące:

  • podmiot zajmuje się świadczeniem usług, które mają znaczenie kluczowe dla krytycznej10 działalności gospodarczej lub społecznej;
  • świadczenie takich usług jest zależne od sieci i systemów informatycznych;
  • wystąpienie incydentu skutkowałoby istotnym zakłóceniem świadczenia takich usług (przy czym za incydent uważa się „każde zdarzenie, które ma rzeczywiście niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych”11).

Aby zatem w sposób poprawny zidentyfikować operatora usług kluczowych, państwa członkowskie powinny odpowiednio określić istotność skutku zakłócającego. Z pomocą przychodzi tu art. 6 dyrektywy, zgodnie z którym powinno się uwzględnić co najmniej poniższe czynniki międzysektorowe:

  • liczbę użytkowników zależnych od usługi, którą świadczy dany podmiot;
  • zależność innych sektorów od tej usługi;
  • wpływ (skala i czas trwania) ewentualnych incydentów na działalność gospodarczą i społeczną oraz bezpieczeństwo publiczne;
  • udział danego podmiotu w rynku;
  • zasięg terytorialny skutków ewentualnego incydentu;
  • znaczenie tego podmiotu w zapewnianiu odpowiedniego poziomu usługi (biorąc pod uwagę alternatywne sposoby jej świadczenia).

W stosownych przypadkach należy także uwzględniać inne czynniki sektorowe. Zgodnie z Załącznikiem II do dyrektywy do operatorów usług kluczowych mogą należeć przedsiębiorcy z sektorów: energetyki, transportu, bankowości, infrastruktury rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji, infrastruktury cyfrowej.

Dyrektywa ma zastosowanie także do dostawców usług cyfrowych, za które należy uznać takie podmioty, od których w dużym stopniu zależni są operatorzy usług kluczowych. Jak czytamy w pkt 57 preambuły do dyrektywy, państwa członkowskie – w przeciwieństwie do operatorów usług kluczowych – nie będą objęte obowiązkiem identyfikacji dostawców usług cyfrowych. Wynika to z tego, że usługi dostawców cyfrowych, od których zależni są operatorzy usług kluczowych, jak i sami usługodawcy, charakteryzują się dużą zmiennością. Odgórne zidentyfikowanie dostawców musiałoby być więc niemal nieustannie aktualizowane, co przysparzałoby zbyt wielu trudności. Stosownie do Załącznika nr III do dyrektywy za dostawców usług cyfrowych można uznać te podmioty, które oferują następujące rodzaje usług: internetowe platformy handlowe, wyszukiwarki internetowe, usługi przetwarzania w chmurze12.

Działania na poziomie krajowym

Dyrektywa wprowadza wymóg przyjęcia przez każde państwo członkowskie krajowej strategii dotyczącej bezpieczeństwa sieci i systemów informatycznych. Ma ona określić strategiczne cele, a także środki polityczne i regulacyjne pozwalające na osiągnięcie odpowiedniego poziomu bezpieczeństwa. Krajowa strategia powinna zawierać m.in. priorytety państwowe w przedmiotowym zakresie, role i obowiązki organów rządowych i innych podmiotów, które będą współodpowiedzialne za konkretne działania mające na celu zwiększenie cyberbezpieczeństwa, środki w zakresie reagowania na incydenty lub ryzyka ich wystąpienia czy plany oceny ryzyka. W ciągu 3 miesięcy od przyjęcia strategii krajowej państwo członkowskie jest zobowiązane do przekazania jej Komisji Europejskiej.

W celu zapewnienia odpowiedniego stosowania dyrektywy każde z państw członkowskich musi wyznaczyć:

  • jeden lub więcej tzw. właściwych organów („właściwe organy krajowe ds. bezpieczeństwa sieci i systemów informatycznych”13), które mają za zadanie monitorowanie stosowania tego aktu; a także
  • tzw. pojedynczy punkt kontaktowy („krajowy pojedynczy punkt kontaktowy ds. bezpieczeństwa sieci i systemów informatycznych”14), który ma pełnić funkcję łącznikową, przede wszystkim na potrzeby zapewnienia transgranicznej współpracy organów państw członkowskich.

Wyżej wymienione jednostki powinny zostać zaopatrzone w odpowiednie zasoby konieczne do efektywnego i skutecznego wypełniania zadań, a do ich zadań należy także konsultacja i współpraca z krajowymi organami ścigania oraz krajowymi organami ochrony danych.

Ponadto państwa członkowskie zostały zobowiązane do wyznaczenia jednego lub większej liczby zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), które mają być odpowiedzialne za podejmowanie działań w odniesieniu do ryzyk oraz w przypadku incydentów. Zespoły takie mogą być ustanawiane w ramach właściwego organu. Dyrektywa zobowiązuje do zapewnienia CSIRT dostępu do bezpiecznej i odpowiedniej infrastruktury informacyjnej.

Zgodnie z Załącznikiem I do dyrektywy do zadań CSIRT należą przede wszystkim:

  • monitorowanie wszelkich incydentów występujących w państwie członkowskim;
  • przekazywanie odpowiednim podmiotom ostrzeżeń, ogłaszanie alarmów, wydawanie stosownych ogłoszeń oraz informowanie zainteresowanych podmiotów o ryzykach i incydentach;
  • podejmowanie reakcji na incydenty;
  • dokonywanie dynamicznej analizy incydentów i ryzyka ich wystąpienia, a także orientacji sytuacyjnej;
  • udział w sieci krajowych CSIRT.

Przy wykonywaniu swoich działań każdy CSIRT będzie nawiązywał współpracę z sektorem prywatnym. CSIRT powinny ściśle współpracować z właściwymi organami oraz pojedynczymi punktami kontaktowymi celem kompletnego wypełniania swoich obowiązków; mają one również obowiązek informowania pojedynczych punktów kontaktowych o zgłoszonych incydentach.

Współpraca na poziomie unijnym

Celem wzmocnienia i ułatwienia współpracy oraz komunikacji pomiędzy państwami, a także dążenia do osiągnięcia zaufania oraz wysokiego poziomu bezpieczeństwa stworzona została tzw. grupa współpracy, w skład której wchodzą przedstawiciele państw członkowskich, Komisja Europejska oraz ENISA (Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji). Do zadań grupy współpracy należeć będą m.in.: udzielanie wskazówek sieciom CSIRT, powielanie najlepszych praktyk w zakresie wymiany informacji dotyczących zgłaszania incydentów, omawianie gotowości państw członkowskich w zakresie bezpieczeństwa oraz – na zasadzie dobrowolności – ocena krajowych strategii, wymiana doświadczeń itp.

Efektywną współpracę między państwami członkowskimi ma także zapewnić sieć krajowych CSIRT, która ma się przyczynić do rozwoju zaufania pomiędzy państwami oraz propagowania skutecznej i szybkiej współpracy. W skład sieci CSIRT wchodzą przedstawiciele CSIRT państw członkowskich oraz CERT-EU15, a Komisja Europejska uczestniczy w niej jako obserwator.

Do zadań sieci CSIRT należą m.in.:

  • dzielenie się informacjami na temat operacji, usług oraz zdolności kooperacyjnych CSIRT;
  • dyskusja na temat incydentów i powiązanych z nimi ryzyk;
  • omawianie reakcji na incydent, jeżeli ze stosownym wnioskiem wystąpi przedstawiciel państwa członkowskiego;
  • świadczenie dobrowolnej wzajemnej pomocy w razie wystąpienia incydentów transgranicznych;
  • określanie i dyskusja nad dalszymi formami współpracy operacyjnej;
  • omawianie zdolności i gotowości danego CSIRT, jeśli zgłosi on taki wniosek.

Bezpieczeństwo sieci i systemów operatorów usług kluczowych

Zgodnie z dyrektywą państwa członkowskie muszą zapewnić, aby operatorzy usług kluczowych odpowiednio zarządzali ryzykami poprzez podejmowanie proporcjonalnych i odpowiednich środków, zarówno technicznych, jak i organizacyjnych, które pozwolą na zapewnienie poziomu bezpieczeństwa odpowiedniego do istniejącego ryzyka. Ponadto aby zapewnić ciągłość usług, powinni oni stosować środki zapobiegające incydentom oraz minimalizujące ich wpływ.

Ciężar odpowiedzialności za bezpieczeństwo zostaje przerzucony na operatorów usług kluczowych w ten sposób, że będą one zobowiązane zgłaszać właściwemu organowi bądź CSIRT incydenty, które mają istotny wpływ na ciągłość usług kluczowych. Działanie takie musi zostać podjęte niezwłocznie po wystąpieniu incydentu, a zgłoszenie zawierać informacje, które pozwolą na określenie transgranicznego wpływu zgłaszanego incydentu. Dyrektywa jednoznacznie stanowi, że „zgłoszenie nie może narażać strony zgłaszającej na zwiększoną odpowiedzialność”16– ma to zapewne zachęcić do zgłaszania incydentów.

Dla określenia istotności wpływu incydentu na usługi operatorów usług cyfrowych bierze się pod uwagę następujące kryteria:

  • liczbę użytkowników, których dotyczy zakłócenie danej usługi;
  • czas trwania incydentu;
  • zasięg terytorialny obszaru, którego incydent dotyczy.

CSIRT oraz właściwe organy są zobowiązane – na podstawie uzyskanych informacji – do poinformowania innych państw członkowskich, których dotyczy incydent, czy ma on istotny wpływ na ciągłość usług świadczonych przez operatorów usług kluczowych w tym państwie. Jeżeli jest to możliwe, powyższe podmioty powinny także przekazać odpowiednie informacje zgłaszającemu operatorowi usług kluczowych, np. takie, które mogą wskazać skuteczne postępowanie w przypadku wystąpienia incydentu.

Dyrektywa przewiduje także możliwość poinformowania przez właściwy organ lub CSIRT społeczeństwa o danym incydencie, ale jedynie po konsultacji ze zgłaszającym operatorem usług kluczowych oraz gdy wiedza społeczeństwa jest niezbędna, aby podjąć skuteczne działania w związku z trwającym incydentem lub zapobiec jego wystąpieniu w przyszłości.

Należy zwrócić uwagę na art. 14 ust. 7 dyrektywy, który stanowi, że „właściwe organy, działając wspólnie w ramach grupy współpracy, mogą opracować i przyjąć wytyczne dotyczące okoliczności, w których operatorzy usług kluczowych są zobowiązani do zgłaszania incydentów, w tym parametry służące określeniu istotności wpływu incydentu”. Bez wątpienia taki stan rzeczy będzie w przyszłości pożądany – transparentne zasady mogą bowiem wzmocnić i usystematyzować współpracę pomiędzy państwami członkowskimi.

Aby zapewnić wdrożenie i egzekwowanie dyrektywy, właściwe organy krajowe muszą zostać zaopatrzone w uprawnienia i środki, na podstawie których będą mogły wymagać od operatorów usług kluczowych przekazywania informacji niezbędnych do oceny bezpieczeństwa oraz dowodów skutecznej realizacji niezbędnych wymogów w zakresie bezpieczeństwa. Właściwy organ będzie uprawniony do wydania operatorom usług kluczowych wiążących poleceń podjęcia środków zaradczych w przypadku stwierdzenia uchybień.

Bezpieczeństwo sieci i systemów dostawców usług cyfrowych

Państwa członkowskie są zobowiązane zapewnić, aby dostawcy usług cyfrowych określali oraz podejmowali proporcjonalne i odpowiednie środki, techniczne i organizacyjne, celem zarządzania ryzykami. Środki te powinny zapewniać stopień bezpieczeństwa odpowiedni do występującego ryzyka, a także uwzględniać następujące elementy:

  • bezpieczeństwo obiektów i systemów,
  • postępowanie w przypadku wystąpienia incydentu,
  • zarządzanie ciągłością działania,
  • audyt, monitorowanie, testowanie,
  • zgodność z obowiązującymi normami międzynarodowymi.

Podobnie jak w przypadku operatorów usług kluczowych, dostawcy usług cyfrowych będą zobowiązani podejmować środki, które zapobiegną lub zminimalizują wpływ incydentów na usługi.

Zgodnie z dyrektywą dostawcy usług cyfrowych powinni bez zbędnej zwłoki zgłaszać CSIRT lub właściwemu organowi wszelki incydenty wpływające w sposób istotny na świadczenie danej usługi w Unii. Zgłoszenie musi zawierać informacje, które umożliwią CSIRT lub właściwemu organowi określenie istotności wpływu transgranicznego. Także w przypadku dostawców usług cyfrowych zgłoszenie nie może narażać zgłaszającego na zwiększoną odpowiedzialność.

W przypadku dostawców usług cyfrowych w celu określenia istotności wpływu incydentu uwzględnić należy poniższe parametry:

  • liczbę użytkowników, których dotyczy zakłócenie danej usługi,
  • czas trwania incydentu,
  • zasięg terytorialny obszaru, którego incydent dotyczy,
  • zasięg zakłócenia funkcjonowania danej usługi,
  • zasięg wpływu na działalność społeczną i gospodarczą.

Co ważne, obowiązek zgłoszenia występującego incydentu istnieje jedynie wtedy, gdy dostawca usług cyfrowych ma dostęp do informacji, które są niezbędne do oceny wpływu incydentu.

Na zasadach podobnych jak w przypadku operatorów usług kluczowych istnieje możliwość poinformowania społeczeństwa o poszczególnych incydentach17. Ponadto, także analogicznie, kiedy incydent dotyczy więcej niż jednego państwa członkowskiego, CSIRT lub właściwy organ są zobowiązane do poinformowania tych państw członkowskich, których incydent dotyczy.

W przypadku dostawców usług kluczowych przewidziano także mechanizm informowania operatorów usług kluczowych o incydentach. Jak stanowi art. 16 ust. 5 dyrektywy, „w przypadku gdy do celów świadczenia usługi, która ma istotne znaczenie dla utrzymania krytycznej działalności społecznej i gospodarczej, operator usług kluczowych jest zależny od dostawcy usług cyfrowych będącego stroną trzecią, operatorowi temu zgłasza się wszelki istotny wpływ na ciągłość usług kluczowych związany z incydentem, który dotyczy usług cyfrowych”.

Celem zapewnienia wdrożenia i egzekwowania dyrektywy właściwe organy muszą mieć możliwość podjęcia działania – w drodze środków nadzorczych ex post – w przypadku otrzymania dowodu, że dostawca usług cyfrowych nie spełnia wymogów określonych dyrektywą. Ponadto organy te muszą być zaopatrzone w uprawnienia i środki do tego, aby wymagać od dostawców usług cyfrowych przekazywania informacji niezbędnych do oceny bezpieczeństwa oraz eliminowania wszelkich przypadków niespełnienia wymogów określonych dyrektywą.

Transpozycja

Do dnia 9 maja 2018 r. państwa członkowskie mają czas na przyjęcie i publikację przepisów ustawowych, wykonawczych i administracyjnych niezbędnych do wykonania dyrektywy. Od dnia 10 maja 2018 r. środki te mają być stosowane przez państwa członkowskie.

Uwagi końcowe

Nie ulega wątpliwości, że długotrwale wypracowywana dyrektywa stanowi znaczący skok legislacyjny w kierunku kompleksowego uregulowania kwestii cyberbezpieczeństwa w Unii Europejskiej oraz może znacząco usprawnić współpracę między państwami członkowskimi. Dyrektywa przewiduje także możliwość informowania społeczeństwa o incydentach, co może w sposób pozytywny wpłynąć na stopień świadomości publicznej w tym zakresie.

W związku z przyjęciem dyrektywy pojawiają się jednak także wątpliwości – przede wszystkim, czy wszystkie państwa członkowskie są gotowe w określonym terminie w odpowiedni sposób dokonać transpozycji dyrektywy tak, aby środki w niej przewidziane rzeczywiście były efektywne. Nasuwa się również pytanie, czy wszystkie zobowiązane do tego podmioty będą zgłaszały incydenty – może to bowiem w sposób istotny wpłynąć na ich reputację, zwłaszcza w świetle możliwości informowania społeczeństwa o incydentach. Jeżeli zaś nie będą, to czy rzeczywiście mogą powstać mechanizmy, które będą skutecznie weryfikować, czy podmioty te należycie wywiązują się ze swoich obowiązków? Wprawdzie dyrektywa nakłada na państwa członkowskie obowiązek ustanowienia skutecznych, proporcjonalnych i odstraszających sankcji za naruszenie przepisów krajowych przyjętych na jej podstawie, ale trudności może przysporzyć wykrywanie takich naruszeń. Kolejna wątpliwość dotyczy kwestii informacji poufnych oraz ochrony danych osobowych – w dyrektywie wprawdzie zaznacza się, że wymiana informacji nie może obejmować takich danych, jednak nasuwa się pytanie, czy takie rozgraniczenie będzie rzeczywiście możliwe i respektowane.

Bez względu na powyższe należy jednak stwierdzić, że Unia Europejska podąża w kierunku poprawy poziomu bezpieczeństwa sieci i systemów informatycznych. Pozostaje czekać do 2018 r., aby przekonać się, jakie efekty przyniesie transpozycja dyrektywy.

Ewelina Ocipińska

prawnik,

współpracownik kancelarii Maruta Wachta sp. j.

Artykuł pochodzi z Biuletynu Euro Info 3 (174) 2017.



[1] 2016 Security Report, http://pages.checkpoint.com/security-report.html, dostęp: 29.09.2017 r.

[2] Tamże.

[3] 2017 Internet Security Threat Report, https://www.symantec.com/security-center/threat-report, dostęp: 29.09.2017 r.

[4] Strategia bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń z dnia 7.02.2013 r., baza aktów prawnych Unii Europejskiej EUR-Lex, nr dokumentu 52013JC0001.

[5] Europejska agenda bezpieczeństwa z dnia 28.04.2015 r., baza aktów prawnych Unii Europejskiej EUR-Lex, nr dokumentu 52015DC0185.

[6] Strategia jednolitego rynku cyfrowego dla Europy z dnia 6.05.2015 r., baza aktów prawnych Unii Europejskiej EUR-Lex, nr dokumentu: 52015DC0192.

[7] Dyrektywa Parlamentu Europejskiego i rady (UE) 2016/1148 z dnia 6.07.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, opubl. W Dz. Urz. UE L 194 z 19.07.2016 r., s. 1.

[8] Zob. art. 4 pkt 2 dyrektywy NIS.

[9] Zob. art. 4 pkt 9 dyrektywy NIS.

[10] Zgodnie z art. 2 dyrektywy Rady 2008/114/WE z dnia 8.12.2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony, opubl. w Dz.Urz. UE L 345 z 23.12.2008 r., s. 75, „«infrastruktura krytyczna» oznacza składnik, system lub część infrastruktury zlokalizowane na terytorium państw członkowskich, które mają podstawowe znaczenie dla utrzymania niezbędnych funkcji społecznych, zdrowia, bezpieczeństwa, ochrony, dobrobytu materialnego lub społecznego ludności oraz których zakłócenie lub zniszczenie miałoby istotny wpływ na dane państwo członkowskie w wyniku utracenia tych funkcji”.

[11] Zob. art. 4 pkt 7 dyrektywy NIS.

[12] W trakcie prac nad dyrektywą NIS rozważano także objęcie jej zakresem serwisów społecznościowych, jednak ostatecznie z tego zrezygnowano.

[13] Zob. art. 8 ust. 1 dyrektywy NIS.

[14] Zob. art. 8 ust. 3 dyrektywy NIS.

[15] EU’s Computer Emergency Response Team (zespół reagowania na incydenty komputerowe).

[16] Zob. art. 14 ust. 8 dyrektywy NIS.

[17] Zob. art. 16 ust. 7 dyrektywy NIS: „Po konsultacji z zainteresowanym dostawcą usług cyfrowych właściwy organ lub CSIRT oraz, w stosownych przypadkach, organy lub CSIRT innych zainteresowanych państw członkowskich mogą poinformować społeczeństwo o poszczególnych incydentach lub zobowiązać dostawce usług cyfrowych, aby to zrobił, w przypadku gdy wiedza społeczeństwa jest niezbędna, żeby zapobiec wystąpieniu incydentu lub aby poradzić sobie z trwającym incydentem lub w przypadku gdy ujawnienie incydentu z innych względów leży w interesie publicznym”.

Zobacz więcej podobnych artykułów