Dyrektywa NIS2 – zgłaszanie incydentów
W poprzednich wpisach (dostępnych na naszym blogu) przekazywaliśmy Państwu informacje o tym kogo będzie obejmować Dyrektywa 2022/2555 z 14 grudnia 2022 roku w sprawie stosowania środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („NIS2” lub „Dyrektywa”), a także jakie środki zarządzania ryzykiem przewiduje oraz o celach i treści samej Dyrektywy. Dziś skupimy się na obowiązkach związanych ze zgłaszaniem incydentów, które niestety mogą pojawiać się w związku ze znacznym wzrostem cyber-zagrożeń w ostatnich latach.
Wprowadzenie
Zgłaszanie incydentów z zakresu cyberbezpieczeństwa stało się jednym z najważniejszych obowiązków nałożonych na podmioty kluczowe i ważne w Dyrektywie. Powodem dużego nacisku na zgłaszanie incydentów jest próba zapewnienia szybkiej reakcji na działania, które mogą zagrażać bezpieczeństwu obywateli UE – przepisy Dyrektywy przewidują transgraniczną wymianę informacji, która może umożliwić skoordynowanie wysiłków obronnych.
Incydenty z zakresu cyberbezpieczeństwa będą zgłaszane do CSIRT (Computer Security Incident Response), czyli zespołów reagowania na incydenty bezpieczeństwa komputerowego, powoływanych przez państwa członkowskie. Informacje zgłaszane w zakresie poważnego incydentu powinny umożliwiać CSIRT ustalenie transgranicznego wpływu incydentu. Takich punktów kontaktowych może być w danym kraju utworzonych kilka i przewiduje się, że również Polska powoła co najmniej 2 lub 3 takie zespoły.
Co to jest ten „incydent”?
Zgodnie z art. 6 pkt 6 Dyrektywy incydent oznacza „zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem”. Tym samym poprzez incydent będziemy rozumieli każde zdarzenie, które naruszy jakikolwiek z 4 wskazanych atrybutów (dostępność, autentyczność, integralność, poufność) w odniesieniu do jakichkolwiek danych (nie tylko osobowych!) lub usług. Incydentem będzie zatem zarówno zakłócenie świadczenia usługi (np. poprzez atak DDoS), jak i uzyskanie przez hakera dostępu do danych nieosobowych, np. nieopublikowanych danych technicznych czy finansowych.
Należy jednak mieć na uwadze, że do punktów kontaktowych CSIRT nie zgłaszamy wszystkich incydentów, a jedynie tzw. „poważne incydenty”, mające istotny wpływ na świadczenie usług przez podmioty ważne lub kluczowe. W myśl Dyrektywy incydenty uznaje się za poważne, jeśli:
- spowodowały lub mogą spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu (np. zablokowanie rurociągu przesyłowego);
- wpłynęły lub są w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe (np. wycieki danych finansowych osób fizycznych lub uniemożliwienie dostaw tlenu dla szpitala).
Dokładniejsze wyjaśnienie tego co będzie rozumiane jako incydent poważny znajdzie się w aktach wykonawczych, które Komisja Europejska powinna przyjąć nie później niż do 17 października 2024 roku.
Jak będzie wyglądać zgłaszanie incydentów?
Dyrektywa przewiduje, że zgłaszanie poważnych incydentów będzie miało charakter wieloetapowy, gdyż już na starcie wprowadzono konieczność przekazania CSIRT w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie, wstępnego ostrzeżenia, w którym wskazuje się, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny. Warto zauważyć, że na tym etapie podmiot zgłaszający może poprosić CSIRT o wytyczne lub porady mające ograniczyć ryzyko związane z incydentem, a CSIRT powinien w ciągu kolejnych 24 godzin udzielić odpowiedzi i wsparcia.
Następnie bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie, należy już dokonać ostatecznego zgłoszenia incydentu, z aktualizacją informacji podanych we wstępnym zgłoszeniu oraz ze wskazaniem oceny incydentu, w tym jego dotkliwości i skutków, a także wskaźników integralności systemu.
Trzecim etapem zgłaszania incydentów jest sprawozdanie końcowe z incydentu, które powinno zostać przekazane do CSIRT w ciągu miesiąca od zgłoszenia incydentu. Jeśli jednak obsługa incydentu nie została w tym czasie zakończona to sprawozdanie takie powinno być przesłane do CSIRT w ciągu miesiąca od zakończenia obsługi incydentu. Sprawozdanie końcowe powinno zawierać następujące elementy:
- szczegółowy opis incydentu, w tym jego dotkliwości i skutków;
- rodzaj zagrożenia lub pierwotną przyczynę, która prawdopodobnie była źródłem incydentu;
- zastosowane i wdrażane środki ograniczające ryzyko;
- w stosownych przypadkach transgraniczne skutki incydentu.
Ponadto, CSIRT (lub inny właściwy organ wskazany w przepisach krajowych) może zobowiązać podmiot ważny lub kluczowy do złożenia w każdym czasie sprawozdania okresowego.
Wnioski
Nacisk położony w Dyrektywie na zgłaszanie incydentów i przekazywanie istotnych informacji ich dotyczących oznacza, że poczynienie wyjaśnień co do poszczególnych incydentów musi być potraktowane w każdej organizacji z najwyższą starannością, a poszczególne etapy działań muszą być dokumentowane. W naszej ocenie podmioty ważne i kluczowe będą musiały poważnie rozważyć utworzenie w swoich strukturach tzw. SOC (Security Operations Center) oraz włożenie szczególnej energii w zdobycie odpowiednich kompetencji i wiedzy, które pozwolą na należytą obsługę incydentów. Niewątpliwie, w najbliższych latach znacznie wzrośnie także wartość specjalistów ds. cyberbezpieczeństwa na rynku pracy.
W kolejnym wpisie podejmiemy temat sankcji przewidzianych w NIS2, a także odpowiedzialności zarządów i kierowników jednostek, która została przewidziana w projekcie ustawy implementującym Dyrektywę do polskiego porządku prawnego.
Współautorką wpisu jest Weronika Głodek, praktykantka w zespole ds. ochrony danych osobowych i cyberbezpieczeństwa.
AUTOR WPISU
E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891