Coraz bardziej rośnie świadomość cyberryzyk i znaczenie zapewnienia cyberbezpieczeństwa wśród podmiotów prywatnych jak i publicznych. Coraz większą uwagę zwraca się na zapewnienie cyberbezpieczeństwa państw. W ślad za amerykańskimi regulacjami, kolejne kraje europejskie wdrażają szereg przepisów i dyrektyw w tym zakresie. Przykładem są Niemcy, które w ostatnim czasie uchwaliły ustawę dotyczącą bezpieczeństwa IT.

27 lipca 2015 r. weszła w życie długo oczekiwana i budząca kontrowersje niemiecka ustawa dotycząca bezpieczeństwa IT (niem. „IT-Sicherheitsgesetz” - ITSG). Nowa ustawa, która jest częścią strategii „Agendy cyfrowej” niemieckiego rządu, ma na celu wzmocnienie bezpieczeństwa IT obywateli. Ustawa wymaga od operatorów infrastruktury krytycznej wdrożenia minimalnych środków bezpieczeństwa oraz wprowadza system raportowania o incydentach naruszenia bezpieczeństwa IT. Ponadto, zobowiązuje komercyjnych operatorów usług teleinformatycznych do wdrożenia środków odpowiadających najnowocześniejszym standardom, w celu ochrony przed nieautoryzowanym dostępem oraz ochrony danych osobowych. Zmiany w ustawodawstwie sektorowym nałożą dodatkowe zobowiązania na dostawców usług telekomunikacyjnych i sieciowych oraz na operatorów sieci energetycznych.

Kogo obejmą nowe regulacje?

Nowe prawo stosuje się przede wszystkim do operatorów infrastruktury krytycznej w sektorze energetycznym, IT, telekomunikacyjnym, transporcie i ruchu drogowym, ochronie zdrowia, dostawców wody pitnej i żywności jak i w sektorze finansowym i ubezpieczeniowym.  Za infrastrukturę krytyczną uważa się każdy obiekt, instalację lub jej część, która ma kluczowe znaczenie dla bezpieczeństwa dobra publicznego (kryterium jakościowe) jeśli jej awaria lub inne zdarzenie zakłócające jej prawidłowe funkcjonowanie spowodowałoby istotne ograniczenie dostaw dla znaczącej liczby odbiorców (kryterium ilościowe). Ostateczny podmiotowy zakres tej definicji ma zostać doprecyzowany przez Federalne Ministerstwo Spraw Wewnętrznych w rozporządzeniu wykonawczym, które wprowadzi dodatkowe przesłanki dotyczące kryterium jakościowego, jak również wprowadzi odpowiednie progi dla oceny kryterium ilościowego. Niezależnie od przyszłej definicji, dostawcy powszechnie dostępnych usług telekomunikacyjnych i sieciowych, jak również posiadacze koncesji udzielonej na podstawie niemieckiej ustawy o energii atomowej oraz operatorzy sieci i zakładów energetycznych, podlegają już zobowiązaniom, które będą mieć zastosowanie do operatorów infrastruktury krytycznej. ITSG będzie stosowana do podmiotów prywatnych i publicznych mających siedzibę w Niemczech, jak również do podmiotów zagranicznych w zakresie utrzymywanej przez nich infrastruktury na terytorium Niemiec. Ponadto, ustawa będzie mieć zastosowanie do wszystkich dostawców i kontrahentów operatorów infrastruktury krytycznej, w związku z możliwością umownego przeniesienia na nich obowiązków operatorów wynikających z nowej ustawy. Nowe wymogi bezpieczeństwa usług teleinformatycznych będą mieć zastosowanie do wszystkich dostawców komercyjnych tego typu.

Nowe wymogi bezpieczeństwa

  • Operatorzy infrastruktury krytycznej, z wyjątkiem dostawców powszechnie dostępnych usług telekomunikacyjnych lub sieciowych, podlegających już odpowiednim obowiązkom wynikającym z ustawy o prawie telekomunikacyjnym, są zobowiązani do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony i zabezpieczenia dostępności, integralności, autentyczności i poufności swoich systemów IT. Środki te muszą odpowiadać najnowocześniejszym standardom i  muszą zostać w pełni wdrożone w ciągu dwóch lat od uchwalenia wspomnianego rozporządzenia, a następnie weryfikowane minimum co dwa lata przez Federalny Urząd Bezpieczeństwa Informacji (niem. „Bundesamt für Sicherheit in der Informationstechnik” - BSI).
    • W ciągu sześciu miesięcy po uchwaleniu rozporządzenia, operatorzy infrastruktury krytycznej muszą wyznaczyć w swojej organizacji właściwe osoby kontaktowe odpowiedzialne za komunikację z BSI w planowanym systemie notyfikacji.
    • Operatorzy infrastruktury krytycznej mają ponadto obowiązek powiadamiania BSI o wszystkich incydentach dotyczących bezpieczeństwa ich systemów informatycznych, komponentów i procesów, które mogłyby doprowadzić do awarii lub ograniczenia dostępności infrastruktury krytycznej. Powiadomienia powinny być dokonywane za pośrednictwem wyznaczonej właściwej osoby kontaktowej, ale mogą być również składane anonimowo, jeśli zdarzenie nie spowodowało rzeczywistego ograniczenia dostępności lub awarii systemów informatycznych.
    • Oprócz istniejących zobowiązań, dostawcy powszechnie dostępnych usług telekomunikacyjnych lub sieciowych, są obecnie zobowiązani powiadamiać niezwłocznie Federalną Agencję ds. Sieci o naruszeniach bezpieczeństwa, które mogły prowadzić do nieautoryzowanego dostępu do systemów użytkowników lub zakłóceń w ich dostępności (nie jest wymagana faktyczna utrata dostępności). Są oni również zobowiązani do powiadamiania użytkowników o zakłóceniach, których źródłem są własne systemy użytkowników oraz, w miarę możliwości poinformować ich o odpowiednich, skutecznych i dostępnych technicznych środkach w celu wykrycia i wyeliminowania takich zakłóceń. Powyższe obowiązki zostały wprowadzane przez ITSG do ustawy o prawie telekomunikacyjnym.
    • Dostawcy komercyjnych usług teleinformatycznych, niezależnie od wymagań infrastruktury krytycznej, są zobowiązani do podjęcia technicznie wykonalnych i ekonomicznie uzasadnionych środków odpowiadających najnowocześniejszym standardom, w celu uniemożliwienia nieautoryzowanego dostępu do systemów technicznych, wykorzystywanych do świadczonych przez nich usług, oraz w celu ochrony tych systemów przed naruszeniem danych i przed innymi zewnętrznymi zakłóceniami.

Niedopełnienie ww. obowiązków może skutkować karą grzywny w wysokości do EUR 50.000 dla dostawców usług teleinformatycznych i dostawców telekomunikacyjnych oraz do EUR 100.000 dla operatorów infrastruktury krytycznej.

Nowa ustawa a ochrona danych osobowych

Zobowiązania wynikające z ITSG będą stosowane równolegle do już istniejących zobowiązań np. do podjęcia działań technicznych i organizacyjnych oraz do zgłaszania przypadków naruszenia danych zgodnie z Federalną Ustawą o ochronie danych osobowych. Wciąż pozostaje jednak niejasne, jak jednocześnie stosować te wymagania, w szczególności gdy przekraczają one swoim zakresem zobowiązania już istniejące. Konieczne będzie zatem dostosowanie każdego istniejącego już środka i postępowania do nowych wymagań prawnych.

Wnioski

ITSG nakłada wiele zupełnie nowych, często bardzo daleko idących obowiązków na operatorów infrastruktury krytycznej, dostawców usług teleinformatycznych i usług telekomunikacyjnych, które wymagają odpowiedniego i starannego przygotowania oraz muszą być wdrożone w przewidzianym okresie czasu. Podczas ustalania, kiedy i jakimi środkami dostosować się do nowych wymagań, należy mieć na uwadze nowe wytyczne Unii Europejskiej, a mianowicie dyrektywę dotyczącą Bezpieczeństwa Sieci i Informacji (tzw. Dyrektywę NIST) oraz Ogólne Rozporządzenie o Ochronie Danych. Oba te akty prawne zawierają podobne i zbieżne wymogi w zakresie bezpieczeństwa IT, co oznacza, że odpowiednie skoordynowanie wdrożenia zarówno istniejących jak i przyszłych wymagań, może ułatwić i obniżyć koszty ogólnego dostosowania do nowych ram prawnych w tym zakresie. Ponadto, operatorów telekomunikacyjnych wciąż obowiązuje Rozporządzenie UE nr 611/2013 w sprawie powiadamiania o przypadkach naruszeniu danych osobowych.

Nowa ustawa może mieć bezpośrednie skutki dla wszystkich podmiotów, które prowadzą w Niemczech działalność w sektorach objętych nową regulacją lub świadczą usługi na rzecz takich podmiotów. Ustawa ta może być też wskazówką dla polskiego ustawodawcy.

Warszawskie biuro Bird & Bird ściśle współpracuje z czterema naszymi biurami w Niemczech. Dzięki tej współpracy jesteśmy w stanie zapewnić Klientom kompleksowe wsparcie prawne w obszarze złożonych projektów i zagadnień z dziedziny bezpieczeństwa IT, zarówno w Polsce jak i w Niemczech. Jeżeli są Państwo zainteresowani wsparciem w tym zakresie, zapraszamy do kontaktu.

Autorzy