Zbliżająca się aktywacja dwóch urządzeń regulacyjnych w 2016 r. Do cyberbezpieczeństwa i ochrony danych, zaplanowana na maj 2018 r., Wymaga refleksji nad złożoną logiką i leżącymi u jej podstaw skrzyżowaniami aplikacji, które mogą doprowadzić do rewolucji na znanym nam krajowym i europejskim rynku cyfrowym. Ilościowy scenariusz ataków sygnalizuje niepokojące trendy: 80% europejskich firm doświadczyło co najmniej jednego incydentu związanego z cyberbezpieczeństwem w 2015 r. I w tym samym roku. Liczba incydentów bezpieczeństwa we wszystkich branżach na świecie wzrosła o 38%. Raport CLUSIT na lata 2016-2017 informuje nas, że trend jest dramatycznie pejoratywny. W tym scenariuszu interwencja unijnej dyrektywy 2016/1148 z dnia 6 lipca 2016 r. (W zakresie zwięzłości NIS, bezpieczeństwa sieci i systemów informatycznych) oraz ogólnego rozporządzenia o ochronie danych (RODO) regulują, z jednej strony, zakres gospodarki cyfrowa bardziej narażona ze względu na konsekwencje cyberataków, czyli tzw. `` infrastruktur krytycznych '', z którymi sprzedawcy rozwiązań cyfrowych są skorelowani z powiązanymi obowiązkami i karami z drugiej strony, odnoszące się do danych osobowych przechowywanych przez organizacje, firmy, firmy zawodowe itp. dziś zrewidowany w świetle rynku danych również związany z obowiązkiem cyberobrony. Przede wszystkim podsumowujemy logikę wdrożeniową dla Nis: terminy, tematy wdrożeń, umiejętności i rodzaje podmiotów korporacyjnych, do których będą prowadziły obowiązki compliance, czyli operatorów usług kluczowych i dostawców usług cyfrowych.
Przede wszystkim pamiętajmy o terminach: dyrektywa NIS obowiązuje od sierpnia 2016 i oczekuje na transpozycję przez państwa członkowskie UE; państwa członkowskie mają miesiące 21 na przyjęcie niezbędnych krajowych środków wykonawczych do prawodawstwa oraz dodatkowe miesiące 6 na identyfikację operatorów krajowej infrastruktury krytycznej; termin transpozycji upływa w 9 w maju 2018, w okresie przejściowym grupa współpracy i sieć CSIRT działają od 9 w lutym 2017. Należy od razu zauważyć podstawową rolę grupy współpracy, która powinna / powinna pomagać państwom członkowskim w identyfikacji operatorów usług kluczowych oraz negatywne skutki w nowym okresie, który upłynął lub od 9 Luty 2017 do 9 Listopad 2018; nadal należy wspomnieć o wsparciu technicznym Enisy dla Komisji, a także dla organów koordynujących, tj. grupy współpracy i sieci CSIRT. Należy jednak wyznaczyć krajowe organy referencyjne, krajowe zespoły CSIRT i pojedynczy krajowy punkt kontaktowy. Chociaż napływają wiadomości, że niektóre państwa członkowskie zakończyły już formalną procedurę transpozycji NIS, zauważamy wyraźne opóźnienie krajowe w niedawnej delegacji do rządu w sprawie transpozycji dyrektyw europejskich, które weszły w życie w 21 w listopadzie ubiegłego roku. Sytuacja krajowa zawiera aktualizację krajowych ram strategicznych w lutym 2017 i planu operacyjnego, które jednak nie są realizowane zgodnie z dwoma wymienionymi przepisami. Jeśli chodzi o wątpliwości Komisji dotyczące stosowania NIS, moim zdaniem należy odnotować różne przepisy dotyczące przeglądu dyrektywy.
Artykuł. 23 oczekuje, że Komisja przedstawi Parlamentowi Europejskiemu i Radzie raport na temat spójności w identyfikacji operatorów podstawowych usług przez 9. Dwa lata po wejściu w życie dyrektywy w sprawie bezpieczeństwa sieci i informacji oraz każdego kolejnego 2018 sieć CSIRT opracuje raport oceniający doświadczenia zdobyte we współpracy operacyjnej, w tym wnioski i zalecenia, które się pojawiły. Sprawozdanie zostanie przesłane do Komisji i planowany jest okresowy przegląd dyrektywy. Pierwsza obserwacja systemu dotyczy związku między dyrektywą w sprawie bezpieczeństwa sieci i informacji a powiązanymi zasadami kontekstowymi, mianowicie Gdpr i ogólnie ochroną danych, przepisami sektorowymi UE, na przykład w transporcie morskim i bankowości finansowej, standardami krajowymi i międzynarodowe zasady i umowy, w tym tarczę prywatności. Na przykład nie jest jasne, w jaki sposób zostanie rozwiązany problem zgodności z NIS i RODO oraz sankcje przewidziane w odniesieniu do tarczy prywatności, która powinna podlegać standardom europejskim. Tymczasem zobaczmy obowiązki i kary przewidziane dla operatorów podstawowych usług. „Operatorzy niezbędnych usług to prywatne firmy lub podmioty publiczne, które odgrywają ważną rolę dla społeczeństwa i gospodarki w następujących sektorach: Energia: energia elektryczna, ropa i gaz. Transport: lotniczy, kolejowy, morski i drogowy. Bankowość: instytucje kredytowe. Infrastruktury rynku finansowego: systemy obrotu i partnerzy centralni. Zdrowie: środowiska opieki zdrowotnej. Woda: zaopatrzenie i dystrybucja wody pitnej. Infrastruktura cyfrowa: w szczególności punkty wymiany internetowej, dostawcy usług DNS (Domain Name System) i rejestry TLD (domena najwyższego poziomu).
Jednak motywy dyrektywy informują nas, że sektory takie jak bankowość finansowa i transport morski mają normy branżowe, które w razie potrzeby będą musiały zostać ocenione i zintegrowane w celu zastosowania nowego standardu. Wychodząc z założenia, że terminy są dotrzymywane, państwa członkowskie powinny już sporządzić wykazy operatorów podstawowych usług świadczonych na 9 w listopadzie zeszłego roku (art. 23). W tym celu prawo stanowi: „1. Do 9 Listopad 2018 państwa członkowskie określają, dla każdego sektora i podsektora, operatorów podstawowych usług posiadających biuro na ich terytorium. Kryteria identyfikacji operatorów podstawowych usług są następujące: podmiot zapewnia usługę, która jest niezbędna do utrzymania podstawowej działalności społecznej i / lub gospodarczej; świadczenie tej usługi zależy od sieci i systemów informatycznych; wypadek miałby znaczący negatywny wpływ na świadczenie tej usługi. Każde państwo członkowskie ustanawia wykaz usług. „Tak sformułowany tekst sugerowałby, że operatorzy usług kluczowych powinni być identyfikowani konkretnym„ imieniem i nazwiskiem ”. Pomijając tautologię „niezbędnego”, od razu rozumiemy delikatność tematu, pierwszą potencjalną usterkę / podatność na zagrożenia, w przypadku której ewentualna selektywna identyfikacja operatorów podstawowych usług, w tym europejskich i międzynarodowych korporacji, mogłaby spowodować zwolnione traktowanie zgodnie z listami różnych państw członkowskich, stałą organizacją i / lub lokalizacją terytorialną jej „przedstawiciela”, zgodnie z wymogami NIS. Ponieważ duże firmy usługowe korzystają z sieci firm pośredniczących dla samych usług, w kaskadzie, na przykład w energetyce, wodzie, telekomunikacji itp. jak zachowają się władze w razie wypadków z udziałem tych podmiotów, a nie spółek macierzystych? I jak należy rozumieć obowiązek przestrzegania norm bezpieczeństwa? I ponownie, do jakiego poziomu należy przeprowadzić ocenę ryzyka i ocenę ryzyka? Ilościowa i jakościowa niejasność znaczących negatywnych skutków sprawia, że określenie progu wpływu jest bardzo niepewne. Prawo przewiduje zatem czynniki międzysektorowe w celu zdefiniowania „znaczących negatywnych skutków: liczby użytkowników zależnych od usług świadczonych przez zainteresowaną stronę; zależność innych sektorów, o których mowa w załączniku II, od usług świadczonych przez ten temat; wpływ, jaki wypadki mogłyby mieć pod względem wielkości i czasu trwania na działalność gospodarczą i społeczną lub na bezpieczeństwo publiczne; udział w rynku tego przedmiotu; zasięg geograficzny w stosunku do obszaru, na który wypadek mógł mieć wpływ; znaczenie przedmiotu dla utrzymania wystarczającego poziomu usług, biorąc pod uwagę dostępność alternatywnych narzędzi do świadczenia tej usługi. „Oraz„ czynniki sektorowe: w stosownych przypadkach ”. Zastanawiające jest, kto, jako jeden z pierwszych w klasie europejskiej, dostarczył już dane ekonometryczne i społeczne oraz oszacowania tej wielkości dotyczące ich terytorium i / lub zakładów położonych gdzie indziej lub których przedstawiciele w przypadku międzynarodowych korporacji świadczą usługi na terytorium krajowym, ale znajdować się gdzie indziej. Chyba że ktoś myśli o działaniu, przypadek po przypadku w przypadku wypadku, ale w tym przypadku nie miałby jasnych założeń do powiadamiania o samych incydentach.
Teraz dochodzimy do zgodności, którą można streścić w następujący sposób. Obowiązki oceny ryzyka i oceny ryzyka muszą być skorelowane ze zgodnością z normami UE i międzynarodowymi: w celu zrozumienia wytycznych i norm, takich jak ramy NIST, COBIT, ISO, ISA itp. Ale który z dziesiątek standardów będzie preferowany w poszczególnych krajach członkowskich? I tu pojawia się trzeci błąd aplikacji, który może wywołać „wojnę” standardów dla dostawców produktów i usług cyfrowych, ponieważ normy europejskie i amerykańskie różnią się i mają różny wpływ na same produkty i usługi. Presja lobbystyczna ze strony firm świadczących usługi cyfrowe w poszczególnych krajach członkowskich jest oczywiście możliwa. Obowiązkowe powiadomienia, do których państwa członkowskie będą musiały dopasować ewentualne kary. Wszystkie muszą odpowiadać obiektywnym obiektywnym kryteriom lub wspólnym kryteriom oceny ryzyka oraz jurysdykcji i weryfikacji terytorialnej. Krótko mówiąc, ładny legalny i pragmatyczny szerszeń lub czwarty błąd aplikacji.
Źródło Nova