Dyrektywa w sprawie bezpieczeństwa sieci i systemów informatycznych weszła w życie w sierpniu 2016 roku, a państwa członkowskie UE miały ją wdrożyć do prawa krajowego do 9 maja 2018 roku. Dotychczas jedynie 11 krajów członkowskich powiadomiło KE o tym, że w pełni ją wdrożyło. Obowiązku tego nie dopełniła jeszcze Polska, a także Austria, Belgia, Bułgaria, Chorwacja, Dania, Francja, Grecja, Hiszpania, Holandia, Irlandia, Litwa, Luksemburg, Łotwa, Portugalia, Rumunia i Węgry. Dlatego Komisja Europejska wszczęła w czwartek wobec tych krajów procedurę o naruszenie prawa w związku z niewdrożeniem w pełni dyrektywy dotyczącej cyberbezpieczeństwa. Przepisy te mają wzmocnić ochronę państw UE przed cyberatakami.

Polska na finiszu

Z tym, że na początku lipca Sejm uchawlił już ustawę o Krajowym Systemie Cyberbezpieczeństwa. Teraz czeka ona tylko na podpis Prezydenta. Będzie obowiązywała po 14 dniach od opublikowania, choć powinna już właśnie  od  maja. Do tego czasu bowiem Polska powinna wdrożyć dyrektywę Unii Europejskiej. Zobowiązuje ona m.in.: państwa UE do wskazania lub ustanowienia organów właściwych do spraw cyberbezpieczeństwa oraz powołania tzw. zespołów reagowania na incydenty komputerowe. I uchwalona ustawa przewiduje powstanie Krajowego Systemu Cyberbezpieczeństwa (KSC), który będzie zapobiegał, wykrywał oraz minimalizował skutki ataków naruszających bezpieczeństwo informatyczne kraju. Konfederacja Lewiatan jest zaniepokojona jednak zakresem uprawnień zespołów do spraw bezpieczeństwa komputerowego. Będa mogły na przykład żądać wielu informacji od firm telekomunikacyjnych.

Ważna strategia

Ponadto dyrektywa  przewiduje m.in., że wszystkie państwa członkowskie muszą przyjąć krajową strategię w zakresie bezpieczeństwa sieci i systemów informatycznych.  Ma ona w doprowadzić do osiągnięcia i utrzymania wysokiego poziomu cyberbezpieczeństwa. Do tej pory jednak Polska nie przyjęłą stategii. Jesienią międzyresortowa grupa robocza zakończyła prace nad projektem Strategii Cyberbezpieczeństwa. Teraz dokument jest opiniowany. Zgodnie z ustawą o cyberbezpieczeństwie powinnien zostać przyjęty przez Radę Ministrów w drodze uchwały. Tyle, że jak pisze portal niebepziecnzik.pl  z punktu widzenia zwykłego użytkownika powstanie strategii absolutnie niczego nie zmieni.  Przewidziana prawem UE strategia ma zawierać np. plan oceny ryzyka i metody współpracy między sektorem publicznym i prywatnym oraz wskazuje środki reagowania na zagrożenia cyberbezpieczeństwa.

Dwa miesiące na odpowiedź

Państwa członkowskie, których dotyczy procedura, mają dwa miesiące na udzielenie odpowiedzi na wezwanie do usunięcia uchybienia. W przeciwnym razie KE może podjąć decyzję o kolejnych krokach w procedurze o naruszenie prawa UE, a na końcu skierować sprawę do Trybunału