Smart City© Sergey Nivens
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (tzw. dyrektywa NIS 2) została opublikowana w Dzienniku Urzędowym Unii Europejskiej pod koniec grudnia 2022 r. i weszła w życie w styczniu br.
Tekst dyrektywy NIS 2 dostępny jest tutaj (link)
Na transpozycję dyrektywy do krajowego porządku prawnego są niecałe dwa lata. - Do dnia 17 października 2024 r. państwa członkowskie przyjmują i publikują przepisy niezbędne do wykonania niniejszej dyrektywy. Niezwłocznie powiadamiają one o tym Komisję [Europejską – przyp. red.] – czytamy w dyrektywie NIS 2.
Państwa członkowskie zgodnie z dyrektywą przyjmą krajowe strategie cyberbezpieczeństwa, które będą przewidywać „cele strategiczne, zasoby kluczowe do osiągnięcia tych celów i odpowiednie środki z zakresu polityk publicznych i regulacji, z myślą o osiągnięciu i utrzymaniu wysokiego poziomu cyberbezpieczeństwa”.
W dyrektywie wskazuje się na konieczność rozszerzenia zakresu stosowania przepisów dotyczących cyberbezpieczeństwa na większą część gospodarki, aby „zapewnić całościowe uwzględnienie sektorów i usług mających istotne znaczenie dla kluczowych rodzajów działalności społecznej i gospodarczej na rynku wewnętrznym”. Przypomnijmy, że nowa dyrektywa wyznacza 11 sektorów kluczowych i 7 ważnych wraz z podsektorami dla wybranych sektorów (patrz ramka).
1. Energetyka (energia elektryczna, system ciepłowniczy lub chłodniczy, ropa naftowa, gaz, wodór);
2. Transport (transport lotniczy, transport kolejowy, transport wodny, transport drogowy);
3. Bankowość;
4. Infrastruktura rynków finansowych;
5. Opieka zdrowotna;
6. Woda pitna;
7. Ścieki;
8. Infrastruktura cyfrowa;
9. Zarządzanie usługami ICT (między przedsiębiorstwami);
10. Podmioty administracji publicznej;
11. Przestrzeń kosmiczna.
Sektory ważne (podsektory):
1. Usługi pocztowe i kurierskie;
2. Gospodarowanie odpadami;
3. Produkcja, wytwarzanie i dystrybucja chemikaliów;
4. Produkcja, przetwarzanie i dystrybucja żywności;
5. Produkcja (produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, produkcja komputerów, wyrobów elektronicznych i optycznych, produkcja urządzeń elektrycznych, produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana, produkcja pojazdów samochodowych, przyczep i naczep);
6. Dostawcy usług cyfrowych;
7. Badania naukowe.
Wyzwania lat 20. XXI wieku. Ochrona w smart city
W dyrektywie podkreśla się, że sieci i systemy informatyczne stały się zasadniczym elementem codziennego życia. - Zmiana ta doprowadziła do ewolucji krajobrazu cyberzagrożeń, przynosząc nowe wyzwania, które wymagają dostosowanych, skoordynowanych i innowacyjnych reakcji we wszystkich państwach członkowskich. Liczba, skala, zaawansowanie, częstotliwość oraz wpływ incydentów stają się coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych – zauważono w dyrektywie.
Czytaj: Czy jesteśmy wystarczająco smart dla smart city?
Miejskie usługi użyteczności publicznej łączą się z sieciami cyfrowymi, aby „poprawić sieci cyfrowe transportu miejskiego, usprawnić zaopatrzenie w wodę i unieszkodliwianie odpadów oraz zwiększyć efektywność oświetlenia i ogrzewania budynków”. Drugą stroną medalu jest narażenie tych cyfrowych usług użyteczności publicznej na cyberataki. – A skuteczny cyberatak grozi obywatelom szkodami na dużą skalę ze względu na wzajemne powiązanie tych usług – dodano. Dlatego też zgodnie z dyrektywą państwa UE w ramach krajowych strategii cyberbezpieczeństwa powinny opracować „politykę uwzględniającą rozwój takich połączonych z siecią lub inteligentnych miast oraz ich potencjalny wpływ na społeczeństwo”.
Popyt na technologie smart city będzie wzrastał, a szacunki wskazują, że zapotrzebowanie na systemy i rozwiązania tego typu będzie rosło rocznie o 25%. Więcej na ten temat pisaliśmy tutaj.
Jak do nowych wymagań odnoszą się przedsiębiorstwa zajmujące się gospodarką wodno-ściekową oraz odpadową? Zapytaliśmy organizacje branżowe z sektora komunalnego.
Rozdrobnienie sektora wod-kan wymaga wspólnego podejścia do „systematyki” prawodawstwa
- Dyrektywa NIS 2 ma na celu podniesienie poziomu cyberbezpieczeństwa sektorów o wysokim i krytycznym znaczeniu. Usługi wodociągowe i kanalizacyjne zostały w niej właśnie uznane za wysoce krytyczne – wyjaśnia redakcji Klara Ramm, członek Zarządu EurEau i ekspert Izby Gospodarczej Wodociągi Polskie. Dyrektywa jest skierowana do średnich i dużych przedsiębiorstw. - Mniejsze podmioty będą nią objęte, jeżeli zakłócenie usługi przez nie świadczonej mogłoby mieć znaczący wpływ na bezpieczeństwo i zdrowie publiczne – dodaje.
Jak wymienia dyrektywa obejmuje instrumenty, takie jak zarządzanie ryzykiem cybernetycznym i obowiązki sprawozdawcze oraz zasady i obowiązki dotyczące wymiany informacji dotyczących cyberbezpieczeństwa. - Oczywiście cyberbezpieczeństwo nie jest dla nas nowym wyzwaniem, jednak skala działań na jego rzecz zwiększy się znacząco. Wymaga to od sektora pozyskania nowych kompetencji, zapewnienia wdrożenia nowych rozwiązań czy przeprowadzenia inwestycji – podkreśla.
Klara Ramm zwraca też uwagę na przewidywane trudności we wdrażaniu dyrektywy. - Należy podkreślić, że dyrektywa napisana jest bardzo trudnym, specjalistycznym językiem, co prowadzi do jej słabego w branży zrozumienia; udział w transpozycji będzie dla nas wyzwaniem – zauważa. Wyjaśnia też, że w Europie istnieje kilka krajów o bardzo rozdrobnionej organizacji sektora wod-kan. I jednym z nich jest Polska. W jej opinii generuje to potrzebę wspólnego podejścia do „systematyki” prawodawstwa, aby zapobiec niepotrzebnym różnicom między różnymi sektorami krajowymi lub krajami UE. - Jako unijna branża zorganizowana w ramach EurEau wskazujemy na konieczność podjęcia inicjatyw sektorowych związanych z zarządzaniem ryzykiem, zunifikowanymi procedurami, np. w oparciu o normy ISO z jednolitym aparatem pojęciowym. Istnieje potrzeba praktycznych wskazówek dotyczących sposobu spełniania i wdrażania wymagań NIS2. Dotyczy to szczególnie wielu małych polskich przedsiębiorstw, które nie mają wystarczających wewnętrznych kompetencji informatycznych ani odpowiedniego sprzętu, ani funduszy na ich zakup – mówi.
Warto dodać, że dyrektywa NIS2 jest powiązana z dyrektywą dotyczącą odporności infrastruktury krytycznej (ang. Critical Entities Resilience CER). - W obu dyrektywach pojawiają się podobne definicje i wyzwania, co ma oczywiście sens. Ważne jest, aby transpozycja tych dyrektyw do polskiego prawa była zharmonizowana – konkluduje Klara Ramm.
Czytaj: Infrastruktura energetyczna i wod-kan. Nowa dyrektywa ma wzmocnić odporność podmiotów krytycznych
Branża odpadowa w awangardzie działalności w cyberprzestrzeni
Dyrektywa stawia także wyzwania przed branżą odpadową.
- Nasza branża została zaliczona do podmiotów ważnych. Wiąże się to z zatwierdzaniem i nadzorowaniem tzw. środków zarządzania ryzykiem w cyberbezpieczeństwie. Mówiąc językiem NIS 2, środki te mają bazować na podejściu uwzględniającym wszystkie zagrożenia i ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami. Elementami tworzącymi te środki są głównie narzędzia biurokratyczne, jak polityki i procedury, ale również dobre praktyki w zakresie cyberhigieny (szkolenia, uwierzytelnianie wieloskładnikowe, zabezpieczanie połączeń i systemów łączności) – opowiada Tomasz Miś, członek Rady Programowej Izby Branży Komunalnej i radca prawny wKancelarii ORSO. Podkreśla przy tym, że naruszenia w tym zakresie mają wiązać się z nakładaniem administracyjnych kar pieniężnych.
Co nas czeka? Ekspert IBK wyjaśnia, że „trzeba będzie dokonać przeglądu i aktualizacji polityk i narzędzi zabezpieczających funkcjonowanie w cyberprzestrzeni oraz oswoić się z kolejnymi obowiązkami audytowymi i raportowaniem incydentów”. Najpierw jednak – przypomina Tomasz Miś – od ustawodawcy krajowego będzie należało wdrożenie ram prawnych, do których branża będzie musiała się następnie dostosować.
Warto zauważyć, że choć dyrektywa stawia nowy kontekst prawny zapewnienia cyberbezpieczeństwa w UE, to branża odpadowa już teraz radzi sobie z wyzwaniami w tym obszarze.
- Zmieniająca się rzeczywistość wymusza wdrażanie środków dotyczących cyberbezpieczeństwa. Szczególnie w branży odpadowej, która – co może nie dla wszystkich jest oczywiste – idzie w awangardzie, jeśli chodzi o działalność w cyberprzestrzeni i stosowanie rozwiązań informatycznych – podkreśla Tomasz Miś. Wyjaśnia, że gospodarka odpadami objęta jest zamówieniami publicznymi, w ramach których procedura zakupowa jest w pełni zelektronizowana. - Wprowadzenie elektronicznego rejestru BDO wymagało integracji z dotychczas stosowanymi systemami zarządzania danymi i raportowania – dodaje. Zauważa, że z jednej strony „to wszystko usprawnia bieżące funkcjonowanie”, ale z drugiej „powoduje zagrożenia: występowanie incydentów - awarie systemów wewnętrznych i zewnętrznych – brak dostępu do danych, ich wyciek lub utratę”.
Branża odpadowa dostrzega konieczność wdrażania środków bezpieczeństwa. Tomasz Miś dzieli je na prawne i organizacyjne (techniczne). Wśród wyzwań prawnych związanych z zapewnieniem cyberochrony wymienia wdrażanie środków i polityk dotyczących bezpieczeństwa danych, co ma związek z obowiązywaniem RODO. - W aspekcie technicznym wiąże się to z wdrażaniem nowoczesnych, bezpiecznych rozwiązań informatycznych: rozwiązaniach chmurowych, korzystania z wsparcia firm informatycznych albo utrzymywania własnego personelu informatycznego. Coraz częściej kontakty z mieszkańcami odbywają się przez aplikacje. Powszechnym standardem staje się stosowanie dobrych praktyk tzw. cyberhigieny, w szczególności związanych z szyfrowaniem połączeń, uwierzytelnianiem wieloskładnikowym, częstą zmianą haseł – mówi Tomasz Miś.
Dominika AdamskaSekretarz redakcji, geograf
Więcej treści dotyczących samorządów w zakładce Teraz Samorząd.
