Zakres regulacji

Projekt decyzji zawiera katalog wymagań służących tworzeniu zabezpieczeń systemów teleinformatycznych. Dotyczą one bezpieczeństwa fizycznego i środowiskowego, kontroli dostępu, procedur zgłaszania incydentów, zapewnienia ciągłości działania. Decyzja określa jakie działania należy podjąć celem monitorowania, audytów i testowania wdrożonych zabezpieczeń. Projekt regulacji zawiera parametry określające, jakie incydenty z zakresu cyberbezpieczeństwa będą musiały być zgłaszane właściwym zespołom CSIRT.

Proces tworzenia decyzji, zasady komunikacji

Decyzja będzie przyjęta w tym roku przez Komisję Europejską we współpracy z państwami członkowskimi w tzw. procedurze komitetowej przez Komitet do spraw Bezpieczeństwa Sieci i Systemów Informatycznych.

Zainteresowani mogą zapoznać się z pełną treścią projektu oraz zgłosić uwagi. Projekt decyzji wykonawczej znajduje się tutaj /https://ec.europa.eu/info/law/better-regulation/initiatives/ares-2017-4460501_en/, na stronie internetowej Komisji Europejskiej.

Z uwagi na znaczenie regulacji dla podmiotów gospodarczych prosimy o przesłanie stanowisk i opinii odnośnie proponowanej decyzji także do Ministra Cyfryzacji. Przesłane materiały zostaną wykorzystane przez Rząd RP we wspomnianej procedurze komitetowej.

Podstawy prawne

Przepisy decyzji będą prawnie wiążące dla dostawców usług cyfrowych, o których mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, czyli średnich lub dużych przedsiębiorstw, będących dostawcami usług cyfrowych na obszarze Unii Europejskiej, a więc internetowych platform handlowych, wyszukiwarek internetowych oraz usług przetwarzania w chmurze.

Prosimy o przesyłanie powyższych materiałów do 11 października 2017 r., na adresy: andrzej.szyszko@mc.gov.pl; jaroslaw.luba@mc.gov.pl;.