Wspólny wysoki poziom bezpieczeństwa sieci i informacji w obrębie UE cz.I łączność elektroniczna



P. del Castillo: Celem jest wpływ i weryfikacja pewnych aspektów propozycji Komisji pod dwoma fundamentalnymi kątami. Z jednej strony skuteczności, z drugiej strony zaufania. Jeśli o chodzi o efektywność, potrzebny jest wysoki poziom bezpieczeństwa naszych sieci, co wymaga analizy wniosków Komisji Europejskiej, które wykraczają poza wyłączną gestię naszej Komisji ITRE. Leży to również w kompetencji Komisji IMCO. Komisja w załączniku nr 2 wskazuje, że wymogi dotyczyłyby wszystkich usługodawców działających w branży łączności elektronicznej. Zachodzi tu jednak ryzyko zwiększenia biurokracji wspólnotowej, tworząc trudnym zarządzanie sieciami publicznymi przez bardzo wysoką liczbę wymaganych powiadomień czy notyfikacji wobec władz publicznych. Jeśli działania mają być efektywnie, nie można opierać się tylko na takim systemie powiadomień, dlatego wymogi ujęte w rozdziale IV powinny skupiać się na kluczowych usługach dla dobrego funkcjonowania. Chodzi tutaj przede wszystkim o rynki finansowe, zdrowie i transport. Stąd poprawki do załącznika nr 2. Jeżeli są jeszcze jakieś branże, które nie są tutaj uwzględnione jako elementy krytyczne infrastruktury, jeżeli podmioty chcą również dobrowolnie sygnalizować zdarzenia, które wykryły, mogą to oczywiście robić ale chodzi tutaj o wymogi bezwzględne, prawne, a nie działania dobrowolne. Trzeba rozwinąć odpowiednią równowagę między istniejącymi podmiotami ze strony władz, a dążeniami do informatyzacji służb administracji publicznej, a zatem realizacji wszystkich powiadomień przewidzianych w rozdziale IV i art. 15. aby zapewnić właściwą sprawność tej części, gdzie chodzi o efektywność działania. Komisja postuluje odpowiednią władzę odpowiedzialną za monitorowania zastosowania dyrektywy, do czego trzeba podejść bardziej elastycznie. W każdym państwie członkowskim jest własny sposób zapewnienia bezpieczeństwa. W jednych państwach jest to jeden urząd dla wielu sektorów, w innych różne dla poszczególnych sektorów. Nie powinno się jednak tworzyć nowej władzy, tylko przekrojowo podejść do tej propozycji. Zapewnić jedno okienko, przez które krąży informacja w ramach sieci współpracy. Kiedy chodzi o zdarzenia w systemach informatycznych, to opowiadać się trzeba za stosowaniem również podobnej logiki. W poszczególnych krajach różne są sieci: mogą być publiczne, mogą być prywatne, mogą być publiczno-prywatne. Mogą również mieć różny zasięg: krajowy, regionalny, branżowy, sektorowy, powszechnie dostępny. Dlatego też zapewnienie bezpieczeństwa w każdym państwie członkowskim może wyglądać inaczej, stosując odpowiednie kryteria techniczne i polityczne, które każde państwo w swoim zakresie uzna za właściwe. Państwa członkowskie uczestniczą w rozmaitych forach i sieciach, jeżeli chodzi o służby informacyjne. Zatem powinno się zapewnić wsparcie przynajmniej jednego takiego ośrodka dla każdej branży w zakresie kluczowych usług, które wskazane były w tych czterech wielkich obszarach. Natomiast są jeszcze inne aspekty, które każde państwo członkowskie organizuje sobie inaczej. Ujednolicanie, czy harmonizacja tego w jakimś stopniu jest potrzebna, ale należy również zapewnić elastyczność zgodną z oceną poszczególnych państw członkowskich. Trzeba również liczyć się z konsekwencjami, takimi jak liczba aktów delegowanych, których udział jest proponowany podmiotom prywatnym w sieciach współpracy, czy zastosowanie dyrektyw do instytucji wspólnotowych. Potrzeba, aby informacja krążyła dwustronnie w sektorach uczestniczących w tym systemie powiadomień i by informacja była w dyspozycji kompetentnych władz. Chodzi o to, by informacja krążyła w różnych kierunkach.

S. Kelly: Administracja państwowa musi być zaangażowana w tę dyrektywę i musi mieć kompetencje, jeżeli chodzi o przekazywanie informacji o incydentach. Z drugiej strony, nie wiadomo czy należy rozszerzyć zakres sprawozdawczości dla firm i oprzeć to np. na sektorze. Jeśli chodzi o usługi finansowe, to powstaje pytanie, czy trzeba korzystać z określonych formularzy płatności? Zgoda co do opinii, jeśli chodzi o to, że każdy ma przekazywać informację w związku z poszczególnymi incydentami, co doprowadziłoby do trudności w zarządzaniu. Trzeba również wyjaśnić na jakim etapie dany incydent powinien być zgłoszony, ponieważ jedne z firm mogą udawać, że sytuacja się komplikuje, jeżeli zgłasza się ten incydent wcześniej. Z drugiej strony, co ze sprawozdawczością statystyczną w sytuacji, w której do incydentu nie dochodzi. Trzeba mieć wczesne informowanie, ale bez komplikacji dla danej procedury. Należy również znaleźć dwustronny przepływ komunikacyjny. Chodzi o to, aby każdy miał prawo uzyskać informacje na temat środków, które realizuje konkretny organ albo jaka jest jego wytyczna. Takie komunikaty powinny biec dwustronnie. Powinno się wzmocnić potrzebę i gwarancję, aby funkcjonowały specjalne zespoły reagowania na incydenty komputerowe 24h na dobę, 7 dni w tygodniu w każdym kraju członkowskim. Zgodzić się trzeba w zupełności z koncepcją wspólnego okienka dla zgłaszania tego typu incydentów, oczywiście w sytuacji idealnej byłoby to jedno okienko dla całej Unii ale jest to na tym etapie niestety niemożliwie. W każdym kraju członkowskim powinno być taki punkt. Pamiętać trzeba, że jeśli w danym kraju sprawa należy do bezpieczeństwa narodowego, a w innym zajmuje się tym inny organ, podejście może się różnić, dlatego trzeba znaleźć wspólną kulturę, która pozwoli podejść do całej procedury zgłaszania tego typu incydentów. Bardzo ważne jest również włączenie odniesienia do otwartych międzynarodowych standardów, jeśli chodzi o bezpieczeństwo. Warto tutaj skorzystać ze standardów, które już działają i pozwalają dawać rekomendacje dla małych i średnich przedsiębiorstw. Dyrektywa ta nie powinna być też sprzeczna z tym, co już działa, jeśli chodzi o zgłaszanie incydentów w obrębie informacji prywatnych, ale również w ramach tzw. Pakietu Telecom, który również wymaga takiej sprawozdawczości.