NIS, czyli Cyberustawa

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (w skrócie cyberustawa) to zaimplementowana dyrektywa Unii Europejskiej NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r.) wprowadzająca szczególne środki na rzecz zwiększenia poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium całej Unii Europejskiej. Dyrektywa NIS weszła w życie w państwach członkowskich Unii Europejskiej w sierpniu 2016 roku. To pierwszy akt prawny w Europie regulujący działanie sektora cyberbezpieczeństwa na poziomie krajowym. Głównym celem powstania dyrektywy NIS było wyrównanie poziomu zabezpieczeń sieci i systemów informatycznych w całej Unii Europejskiej oraz wzmocnienie ochrony państw członkowskich przed cyberatakami.

W Cyberustawie znalazły się zapisy dotyczące podziału podmiotów gospodarczych. W klasyfikacji uwzględniono m.in. instytucje administracji rządowej i samorządowej oraz największych przedsiębiorców z kluczowych sektorów gospodarki. Wyróżniono operatorów usług kluczowych (OUK), dostawców usług kluczowych (DUC) oraz organy właściwe (OW). Podmioty, które zostały sklasyfikowane w danej grupie muszą spełnić obowiązki z zakresu cyberbezpieczeństwa. Finansowanie takich działań jest drogie a dodatkowo wiele z tych podmiotów ma niską świadomość tych obowiązków. Bardzo często, tj. do czasu wejścia w życie cyberustawy, podmioty nie przywiązywały uwagi do cyberbezpieczeństwa.

W związku z tym pojawia się kilka wyzwań i pytań przed podmiotami, które kwalifikują się i podlegają cyberustawie. Kto decyduje o przyznaniu statusu DUK lub OUC? Kim są DUK i OUK? Na ile grup NIS dzieli podmioty? Czy i gdzie zgłaszać incydenty? Kto będzie reagował na zgłoszenia? Jak wygląda kwestia kar?

Więcej znajdziesz w komentowanym przez mec. Marcina Jana Wachowskiego artykule „Zarządcy infrastruktury muszą dbać o cyberbezpieczeństwo, chociaż nie wszyscy o tym wiedzą opublikowanego w portalu prawo.pl