Obowiązki dostawców usług cyfrowych w świetle postanowień Dyrektywy NIS ‑ cz. 2

Wstęp

Niniejszy artykuł jest kolejnym z serii, odnoszącym się do Dyrektywy PE i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (zwana dalej również Dyrektywą NIS [ang. Network Information Security] lub Dyrektywą), której postanowienia powinny zostać wprowadzone do porządków krajowych w terminie do dnia 9 maja 2018 roku.

W związku z faktem, iż w artykule poprzednim wyjaśniona została definicja dostawców usług cyfrowych, niniejszy artykuł opisuje obowiązki jakie spoczywają na tych dostawcach.

Jak już zostało wskazane, głównym celem Dyrektywy jest zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w każdym państwie członkowskim, dlatego też, tak istotnym jest by na dostawcach usług cyfrowych spoczywały takie same obowiązki.

Kim jest dostawca usługi cyfrowej w rozumieniu Dyrektywy NIS ?

Dostawcą usług cyfrowych zgodnie z artykułem 4 pkt 6 Dyrektywy jest każda osoba prawna, która świadczy usługę cyfrową, czyli taką, która jest świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług, oraz która jednocześnie jest klasyfikowana jako internetowa platforma handlowa, wyszukiwarka internetowa lub usługa przetwarzania w chmurze w rozumieniu Dyrektywy NIS.

(Więcej na temat dostawców usług cyfrowych w artykule Obowiązki dostawców usług cyfrowych w świetle postanowień Dyrektywy NIS – cz. 1)

Obowiązki dostawców usług cyfrowych

Artykuł 16 Dyrektywy NIS wskazuje następujące obowiązki przewidziane dla dostawców usług cyfrowych, mające na celu zagwarantowanie bezpieczeństwa sieci i systemów informatycznych.

Po pierwsze, zgodnie z artykułem 16 pkt 1 Dyrektywy NIS, dostawcy usług cyfrowych są obowiązani określać oraz podejmować odpowiedne i proporcjonalne środki techniczne oraz organizacyjne w celu zarządzania ryzykami. Ponadto Dyrektywa wskazuje, że środki te mają odpowiadać aktualnemu stanowi wiedzy oraz muszą zapewniać poziom bezpieczeństwa odpowiedni do istniejącego ryzyka, a także uwzględniać następujące elementy: a) bezpieczeństwo systemów i obiektów; b) postępowanie w przypadku incydentu; c) zarządzanie ciągłością działania; d) monitorowanie, audyt i testowanie; e) zgodność z normami międzynarodowymi.

Kolejnym obowiązkiem przewidzianym w Dyrektywie NIS w artykule 16 pkt 2, jest podejmowanie środków zapobiegających i minimalizujących wpływ incydentów, które mają na celu zapewnienie ciągłości usług.

Następnym obowiązkiem dostawców usług cyfrowych jest zgłaszanie bez zbędnej zwłoki właściwemu organowi lub CSIRT wszelkich incydentów mających istotny wpływ na świadczenie usług internetowej platformy handlowej, wyszukiwarki internetowej oraz usługi przetwarzania w chmurze. Zgodnie z artykułem 16 pkt 3 Dyrektywy, zgłoszenia dokonywane przez dostawców muszą zawierać informacje umożliwiające określenie istotności wpływu transgranicznego.

Dla dokonania oceny istotności danego incydentu należy uwzględnić poniższe parametry: a) liczby użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług; b) czas trwania incydentu; c) zasięg geograficzny, którego dotyczy incydent; d) zasięg zakłócenia funkcjonowania usługi; e) zasięg wpływu na działalność gospodarczą i społeczną. Ponadto, należy wskazać, że obowiązek zgłoszenia incydentu ma zastosowanie wyłącznie wówczas, gdy dostawca usług cyfrowych ma dostęp do informacji niezbędnych do oceny wpływu incydentu względem parametrów, o których mowa powyżej.

Co więcej, na podstawie artykułu 16 pkt 5 Dyrektywy, dostawca usług cyfrowych jest zobowiązany do zgłoszenia operatorowi usług kluczowych, który jest zależny od tego dostawcy w zakresie usługi, która ma istotne znaczenie dla utrzymania krytycznej działalności społecznej i gospodarczej, wszelkiego istotnego wpływu na ciągłość usług kluczowych związanego z incydentem, który dotyczy tego dostawcy usług cyfrowych.

Jurysdykcja

Na koniec można dodać, że Dyrektywa NIS w artykule 18 określa jurysdykcję, czyli właściwość sądów danego państwa do rozstrzygania sporów, które mogą wyniknąć wobec dostawcy usług cyfrowych. Dostawca usług cyfrowych według Dyrektywy podlega jurysdykcji państwa członkowskiego, w którym posiada główną siedzibę, czyli państwa członkowskiego, w którym znajduje się siedziba zarządu tego dostawcy. Powyższe stosuje się do dostawców usług cyfrowych, których siedziba znajduje się na terenie UE.

Natomiast dostawcy usług cyfrowych, którzy nie posiadają jednostki organizacyjnej na terenie UE, ale oferują usługi cyfrowe na terytorium UE, wyznaczają swojego przedstawiciela w Unii. Przedstawiciel musi posiadać jednostkę organizacyjną w jednym z tych państw członkowskich, w których oferowane są usługi cyfrowe. Ponadto, zgodnie z artykułem 18 pkt 2 Dyrektywy NIS „dostawca usług cyfrowych podlega jurysdykcji państwa członkowskiego, w którym przedstawiciel posiada jednostkę organizacyjną”.

Share This:

Dodaj komentarz