Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

PLNOG16: DYREKTYWA NIS, Mirosław Maj

148 views

Published on

PLNOG16: DYREKTYWA NIS, Mirosław Maj

Published in: Internet
  • Be the first to comment

  • Be the first to like this

PLNOG16: DYREKTYWA NIS, Mirosław Maj

  1. 1. DYREKTYWA NIS Mirosław Maj Fundacja Bezpieczna Cyberprzestrzeń @MirekMaj
  2. 2. Zanim zacznę … • NIE JESTEM PRAWNIKIEM • NIE ODNOSZĘ SIĘ DO WSZYSTKICH SZCZEGÓŁOWYCH ZAPISÓW • UŻYWAM UPROSZONEJTERMINOLOGII • regularnie publikują na wspólnej stronie internetowej niemające poufnego charakteru informacje na temat aktualnych wczesnych ostrzeżeń i skoordynowanych reakcji - > publikują informacje o incydentach • OGRANICZAM SPOJRZENIE Z PUNKTU WIDZENIA INSTYTUCJI EUROPEJSKICH (SIEĆWSPÓŁPRACY) • PREZENTACJA NIE JEST OCENĄ ZAŁOŻEŃ DO STRATEGII CYBERBEZPEICZEŃSTWA RP OPUBLIKOWANEJ PRZEZ MINISTERSTWO CYFRYZACJI
  3. 3. SEKTORY DOSTAWCY USŁUG HANDEL ELEKTRONICZNY PORTALE PŁATNICZE PORTALE SPOŁECZNOŚCIOWE USŁUGI CHMUR OBLICZENIOWYCH SKLEPY Z APLIKACJAMI ENERGETYKA DOSTAWCY ENERGII I GAZU DYSTRYBUTORZY ENERGII OPERATORZY PRZESYŁOWI PODMIOTY DZIAŁAJĄCE NA RYNKU GAZU I ENERGII OPERATORZY INSTALACJI SŁUŻĄCY DO PRODUKCJI TRANSPORT PRZEWOŹNICY LOTNICZY PRZEWOŹNICY MORSCY PORTY LOTNICZE PORTY MORSKIE OPERATORZY ZARZĄDZAJĄCY RUCHEM USŁUGI LOGISTYCZNE FINANSE BANKOWOŚĆ INSTYTUCJE KREDYTOWE GIEŁDY PAPIERÓW WARTOŚCIOWYCH IZBY ROZLICZENIOWE SŁUŻBA ZDROWIA SZPITALE KLINIKI PRYWATNE INNE PODMIOTY ŚWIADCZĄCE USŁUGI PRZEDSIĘBIORSTWA TELEKOMUNIKACYJNE ADMINISTRACJA PUBLICZNA
  4. 4. Założenia • Dyrektywę stosuje się bez uszczerbku dla przepisów o infrastrukturze krytycznej i ochronie danych osobowych • Państwa członkowskie dopilnowują, by w przypadku incydentów zagrażających bezpieczeństwu danych osobowych przewidziane sankcje były zgodne z sankcjami przewidzianymi w rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych
  5. 5. Najważniejsze elementy dyrektywy • Strategia cyberbezpieczeństwa • Właściwy organ krajowy do spraw bezpieczeństwa sieci i systemów informatycznych • CERT/CSIRT narodowy • Wymogi w zakresie bezpieczeństwa i zgłaszanie incydentów • Sieć współpracy europejskiej
  6. 6. Strategia cyberbezpieczeństwa • Jasne określenie funkcji i zakresu obowiązku organów rządowych i innych właściwych podmiotów • Określenie zasad zarządzania incydentami i współpracy publiczno-prywatnej • Wstępne określenie programów edukacyjnych, informacyjnych i szkoleniowych • Plany w zakresie badań i rozwoju • Krajowy plan współpracy …
  7. 7. Krajowy plan współpracy • Plan oceny zagrożeń i ocena wpływu potencjalnych incydentów • Funkcje i zakres obowiązków poszczególnych podmiotów • Procedury współpracy i komunikacji • (zapobieganie, wykrywanie, reagowanie, naprawa) • Plany szkoleń i ćwiczeń
  8. 8. Właściwy organ krajowy (1) • Przyjmuje zgłoszenia dotyczące incydentów • Uprawnienia w zakresie wykonywania i egzekwowania przepisów • Współpraca z organami ścigania (PL / EU) • Współpraca z organem ochrony danych osobowych • Otrzymuje zasoby techniczne, finansowe i ludzkie • Publikują informacje o incydentach, ostrzegają • Uczestniczą we współpracy międzynarodowej
  9. 9. Właściwy organ krajowy (2) • Może wymagać: • a) przekazywania informacji potrzebnych do oceny bezpieczeństwa ich sieci i systemów informatycznych, w tym dokumentów dotyczących polityki w zakresie bezpieczeństwa • b) poddania się audytowi bezpieczeństwa przeprowadzonemu przez wykwalifikowany niezależny podmiot lub organ krajowy oraz udostępnienia wyników tego audytu właściwemu organowi.
  10. 10. CERT/CSIRT narodowy (1) • Może być częścią „właściwego organu” (środki tech. …) • Nadzór poprzez system zarządzania jakością usług (pomiary) • CERT sam w sobie musi być “bezpieczny” • Dostępność, kanały komunikacji (muszą być dobrze znane), bezp. fizyczne, etc. • Przekazuje zainteresowanym podmiotom informacje o zagrożeniach (online <- również opinię publiczną) • Reaguje na incydenty i dynamiczna anazliza zagrożeń
  11. 11. CERT/CSIRT narodowy (2) • CERT nawiązuje współpracę z sektorem prywatnym • Wspiera korzystanie z:  - formatów wymiany informacji dotyczących zagrożeń i incydentów oraz konwencji nazewnictwa systemów  - systemów klasyfikacji incydentów, zagrożeń i informacji  - taksonomii metod pomiarów  - procedur postępowania w przypadku wystąpienia incydentów i zagrożeń
  12. 12. Sankcje i transpozycja • Państwa członkowskie ustanawiają przepisy o sankcjach mających zastosowanie, gdy naruszone zostaną krajowe przepisy przyjęte na podstawie niniejszej dyrektywy, i stosują wszelkie niezbędne środki, aby zapewnić ich wykonanie. Przewidziane sankcje muszą być skuteczne, proporcjonalne i odstraszające. • 18 miesięcy od daty przyjęcia (czerwiec 2016 r.) • Przepisy ustawowe, wykonawcze i administracyjne
  13. 13. Założenia do strategii cyberbezpieczeństwa RP UWAGI do 8 marca 2016 r.
  14. 14. Dziękuję Mirosław Maj / Fundacja Bezpieczna Cyberprzestrzeń http://www.cybsecurity.org/ twitter: @MirekMaj

×