Opis
Dyrektywa NIS z 2016 roku w skrócie.
Co to jest NIS?
Dyrektywa NIS (Network and Information Security - Bezpieczeństwo sieci i informacji) została przyjęta 6 lipca 2016 r i jest to pierwsze europejskie prawo dotyczące cyberbezpieczeństwa. Jej celem jest zabezpieczenie sieci i systemów informatycznych przed atakiem i kradzieżą danych na terytorium Unii Europejskiej.
Nakłada ona na państwa członkowskie szereg obowiązków oraz zobowiązuje do utworzenia odpowiednich instytucji nadzorczych i wprowadzenia mechanizmów współpracy.
Zakres Dyrektywy NIS.
NIS obowiązuje dwa typy podmiotów:
- operatorów usług kluczowych:
przedsiębiorców z sektorów energetyki,transportu,bankowości i infrastruktury rynków finansowych,służby zdrowia,zaopatrzenia w wodę pitną,infrastruktury cyfrowej,
- dostawców usług cyfrowych:
internetowych platform handlowych,wyszukiwarek internetowych,usług przetwarzania w chmurze.
Identyfikacja operatorów i dostawców
Operatorzy usług kluczowych obowiązuje sześciostopniowy sposób identyfikacji
Dostawcy usług cyfrowych mają być identyfikowani z poziomu UE.
Obowiązki operatorów
wprowadzenie środków ochrony (technicznych i organizacyjnych) zależnych od poziomu ryzyka,
konieczność raportowania incydentów
Obowiązki dostawców
zapewnić poziom bezpieczeństwa zależnie od zidentyfikowanego ryzyka,
raportować incydenty właściwym organom lub CSIRT
Organizacja i ważniejsze instytucje nadzorujące w skrócie:
Organy właściwe
Ich zadaniem jest nadzór nad operatorami usług kluczowych i dostawcami usług cyfrowych. Organy otrzymują od operatorów i dostawców informacje o stanie bezpieczeństwia oraz powinny przeprowadzać audyty bezpieczeństwa.
CSIRT
Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego, które zakresem swojego działania obejmują wszystkich wyznaczonych operatorów usług kluczowych i dostawców usług cyfrowych. CSIRT wybierane są przez władze krajów członkowskich.
Agencja ENISA
Sieć Zespołów Reagowania Na Incydenty Bezpieczeństwa Komputerowego - ma rolę obserwatora zbierającegodane na poziomie europejskim
CERT-EU (Computer Emergency Response Team - Zespół reagowania na awarie komputerowe) działa na poziome europejskim
Grupa Współpracy
Jej zadania to współpraca, wymiana dobrych praktyk oraz zbieranie cyklicznych raportów. Grupę tworzą Komisja Europejska, przedstawiciele państw, CERT-EU oraz agencja ENISA.
W kraju wyróżniamy:
CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty, jeden z trzech CSIRT-ów (z ang. Computer Security Incident Response Team) poziomu krajowego, odpowiedzialny między innymi za ochronę polskiej cyberprzestrzeni przed zagrożeniami i udział w międzynarodowych projektach naukowo-badawczych.
CSIRT NASK to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy z siedzibą w Warszawie.
30.04.2024
źródło: Fundacja Bezpieczna Cyberprzestrzeń
---------------------------------
Dyrektywa NIS, NIS, Bezpieczeństwo sieci i informacji, cyberbezpieczeństwo,Incydenty Bezpieczeństwa Komputerowego, CSIRT, CERT-EU, CERT Polska, CSIRT NASK, NASK, zabezpieczenie sieci i systemów informatycznych, zabezpieczenie sieci przed atakiem, zabezpieczenie systemów informatycznych przed atakiem, zakres dyrektywy NIS, obowiązki w ramach dyrektywy NIS, zespół reagowania na awarie komputerowe, NIS Directive, NIS, Network and information security, cybersecurity, Computer Security Incidents, CSIRT, CERT-EU, CERT Polska, CSIRT NASK, NASK, securing networks and information systems, securing networks against attacks, securing IT systems against attacks, scope of the NIS directive , obligations under the NIS directive, computer failure response team,