Wymogi zabezpieczeń teleinformatycznych dla dostawców usług cyfrowych oraz parametry i progi zgłaszania incydentów istotnych

KE określiła wymogi zabezpieczeń teleinformatycznych dla dostawców usług cyfrowych oraz parametry i progi zgłaszania incydentów istotnych

30 stycznia 2018 Komisja Europejska przyjęła rozporządzenie wykonawcze określające środki techniczne i organizacyjne dla dostawców usług cyfrowych. Stosowanie tych środków pozwoli podnieść poziom cyberbezpieczeństwa świadczonych usług.

Zakres regulacji

Rozporządzenie zawiera katalog wymagań służących tworzeniu zabezpieczeń sieci i systemów informatycznych. Dotyczą one bezpieczeństwa teleinformatycznego, fizycznego i środowiskowego oraz bezpieczeństwa dostaw, a także kontroli dostępu, procedur zgłaszania incydentów i zapewnienia ciągłości działania. Rozporządzenie określa, jakie działania należy podjąć celem monitorowania, audytów i testowania wdrożonych zabezpieczeń. Regulacja zawiera parametry określające, jakie incydenty z zakresu cyberbezpieczeństwa będą musiały być zgłaszane zespołowi CSIRT, czyli zespołowi reagowania na komputerowe incydenty bezpieczeństwa.

Proces prawodawczy i konsultacje publiczne

Rozporządzenie zostało przyjęte we współpracy z państwami członkowskimi w tzw. procedurze komitetowej przez Komitet do Spraw Bezpieczeństwa Sieci i Systemów Informatycznych.

Przyjęcie aktu zostało poprzedzone konsultacjami społecznymi. Ministerstwo Cyfryzacji wykorzystało nadesłane uwagi przy formułowaniu stanowiska Rządu RP.

Podstawy prawne

Przepisy rozporządzenia wejdą w życie 10 maja 2018 r. i będą prawnie wiążące dla dostawców usług cyfrowych, o których mowa w tzw. dyrektywie NIS, czyli w dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.

Zgodnie z dyrektywą NIS, dostawcy usług cyfrowych oznaczają średnie lub duże przedsiębiorstwa świadczące usługi cyfrowe na obszarze Unii Europejskiej z wykorzystaniem internetowych platform handlowych, wyszukiwarek internetowych oraz usług przetwarzania w chmurze.

Jednocześnie Ministerstwo Cyfryzacji opracowało projekt ustawy o krajowym systemie cyberbezpieczeństwa, która wdroży do polskiego prawa inne części dyrektywy NIS, np. dotyczące usług kluczowych czy funkcjonowania zespołów CSIRT. Ustawa ureguluje też na poziomie krajowym obowiązki dostawców usług cyfrowych. Nowa wersja projektu, po rozpatrzeniu uwag nadesłanych w drodze konsultacji publicznych i uzgodnień międzyresortowych, została rozpatrzona przez Komitet do Spraw Europejskich Rady Ministrów.

Komisja wzmacnia reakcję UE na nielegalne treści w internecie

Komisja Europejska wydała też w marcu zalecenie zawierające zestaw środków operacyjnych - wraz z odpowiednimi zabezpieczeniami, które mają być stosowane przez przedsiębiorstwa i państwa członkowskie, aby przyspieszyć prace w dziedzinie zwalczania nielegalnych treści w internecie.

Wiceprzewodniczący do spraw jednolitego rynku cyfrowego Andrus Ansip powiedział: "Platformy internetowe stają się głównym źródłem informacji, mają zatem obowiązek zapewnienia bezpiecznego środowiska dla swoich użytkowników. To, co jest nielegalne offline, jest również nielegalne online. Wiele platform usuwa więcej nielegalnych treści niż kiedykolwiek dotychczas, co pokazuje, że samoregulacja może przynieść efekty. Musimy jednak szybciej reagować na propagandę terrorystyczną i inne nielegalne treści, które stanowią poważne zagrożenie dla bezpieczeństwa obywateli i ich praw podstawowych".

Rozprzestrzenianie się nielegalnych treści w internecie podważa zaufanie obywateli do internetu oraz stwarza zagrożenia dla bezpieczeństwa. Chociaż poczyniono postępy, jeśli chodzi o ochronę Europejczyków w sieci, platformy internetowe powinny podwoić swoje wysiłki, aby szybciej i skuteczniej usuwać nielegalne treści. Dobre wyniki przyniosło zastosowanie wspieranych przez Komisję za pośrednictwem Forum UE ds. Internetu dobrowolnych środków branżowych w odniesieniu do treści terrorystycznych, a także Kodeksu postępowania w zakresie zwalczania nielegalnego nawoływania do nienawiści w internecie oraz protokołu ustaleń w sprawie sprzedaży podrabianych towarów. Można jednak podjąć bardziej skuteczne działania, szczególnie w odniesieniu do najpilniejszej kwestii treści terrorystycznych, które stwarzają poważne zagrożenie bezpieczeństwa.

Lepsze procedury w celu bardziej skutecznego usuwania nielegalnych treści

W zaleceniu KE określono środki operacyjne służące szybszemu wykrywaniu i usuwaniu nielegalnych treści w internecie, wzmocnieniu współpracy między przedsiębiorstwami, zaufanymi podmiotami sygnalizującymi a organami ścigania oraz zwiększeniu przejrzystości i bezpieczeństwa obywateli:

• Jaśniejsze procedury zgłaszania nielegalnych treści i reagowania na nie: Przedsiębiorstwa powinny ustanowić proste i przejrzyste zasady zgłaszania nielegalnych treści, w tym przyspieszone procedury dla „zaufanych podmiotów sygnalizujących”. W celu uniknięcia niezamierzonego usunięcia treści legalnych, dostawcy treści powinni być informowani o takich decyzjach i mieć możliwość odwołania się od nich.
• Bardziej wydajne narzędzia i proaktywne technologie: Przedsiębiorstwa powinny zapewnić użytkownikom jasne systemy zgłaszania. Powinny one posiadać proaktywne narzędzia przeznaczone do wykrywania i usuwania nielegalnych treści, w szczególności dotyczących terroryzmu oraz treści, które nie wymagają oceny kontekstu w celu uznania ich za niezgodne z prawem, takich jak materiały prezentujące seksualne wykorzystywanie dziecka lub towary podrobione.
• Silniejsze zabezpieczenia w celu zagwarantowania praw podstawowych: Aby zagwarantować, że decyzje dotyczące usuwania treści będą stosowne i uzasadnione, zwłaszcza w przypadku stosowania zautomatyzowanych narzędzi, przedsiębiorstwa powinny wprowadzić skuteczne i odpowiednie zabezpieczenia, obejmujące nadzór i weryfikację przez człowieka, przy pełnym poszanowaniu praw podstawowych, wolności słowa i ochrony danych.
• Szczególną uwagę należy zwrócić na małe przedsiębiorstwa: Dobrowolne porozumienia powinny umożliwić branży współpracę i wymianę doświadczeń, najlepszych praktyk i rozwiązań technologicznych, w tym narzędzi umożliwiających automatyczne wykrywanie. Poczucie wspólnej odpowiedzialności powinno przynieść korzyści mniejszym platformom o bardziej ograniczonych zasobach i wiedzy fachowej.
• Ściślejsza współpraca z organami: Jeżeli istnieją dowody poważnego przestępstwa lub podejrzenie, że nielegalne treści stanowią zagrożenie dla życia lub bezpieczeństwa, przedsiębiorstwa powinny niezwłocznie poinformować organy ścigania. Zachęca się państwa członkowskie do ustanowienia odpowiednich zobowiązań prawnych.

Środki te mogą się różnić w zależności od charakteru nielegalnych treści, przy czym w zaleceniu zachęca się przedsiębiorstwa do stosowania zasady proporcjonalności przy usuwaniu nielegalnych treści.

Zwiększona ochrona przed treściami terrorystycznymi w internecie

Treści terrorystyczne w internecie stanowią szczególnie poważne zagrożenie dla bezpieczeństwa Europejczyków, zaś kwestia ich rozpowszechniania musi być traktowana priorytetowo. Dlatego dzisiejsze zalecenie Komisji zawiera dodatkowo specjalne przepisy w celu dalszego ograniczenia treści terrorystycznych w internecie:

• Zasada jednej godziny: Mając na uwadze, że treści terrorystyczne są najbardziej szkodliwe w pierwszych godzinach od ich pojawienia się w internecie, co do zasady wszystkie przedsiębiorstwa powinny usuwać takie treści w ciągu jednej godziny od zgłoszenia.
• Szybsze wykrywanie i skuteczne usuwanie: Obok systemu zgłoszeń przedsiębiorstwa internetowe powinny stosować proaktywne środki, w tym automatyczne wykrywanie, aby skutecznie i szybko usuwać treści terrorystyczne lub blokować dostęp do nich i zapobiec ich ponownemu pojawieniu się po usunięciu. Aby wspomóc mniejsze platformy, przedsiębiorstwa powinny udostępniać sobie nawzajem odpowiednie narzędzia technologiczne i je optymalizować oraz wprowadzić uzgodnienia organizacyjne w celu lepszej współpracy ze stosownymi organami, w tym z Europolem.
• Usprawniony system zgłaszania: Należy wprowadzić przyspieszone procedury, aby jak najszybciej zajmować się zgłoszeniami, natomiast państwa członkowskie muszą zapewnić posiadanie koniecznych zdolności i środki do wykrywania, identyfikowania i zgłaszania treści terrorystycznych.
• Regularne sprawozdania: Państwa członkowskie powinny regularnie, najlepiej co trzy miesiące, przedkładać Komisji sprawozdania na temat zgłoszeń oraz podjętych działań, jak również na temat ogólnej współpracy z przedsiębiorstwami w celu ograniczenia treści terrorystycznych w internecie.

Kolejne kroki

Komisja będzie monitorować działania podjęte w odpowiedzi na niniejsze zalecenie i określi, czy wymagane są dodatkowe kroki, w tym ewentualne środki prawne.

Komisja będzie również kontynuować prace analityczne w ścisłej współpracy z zainteresowanymi podmiotami i w najbliższych tygodniach zainicjuje konsultacje publiczne w tej sprawie.

W celu umożliwienia monitorowania skutków zalecenia państwa członkowskie i przedsiębiorstwa będą musiały przedstawić istotne informacje na temat treści terrorystycznych w terminie trzech miesięcy, a innych nielegalnych treści w terminie sześciu miesięcy.

Kontekst

Unia Europejska zareagowała na wyzwanie nielegalnych treści w internecie za pośrednictwem wiążących i niewiążących środków oraz inicjatyw sektorowych i horyzontalnych. Prace prowadzone w ramach dialogów sektorowych z przedsiębiorstwami przynoszą pozytywne rezultaty. Na przykład dzięki Kodeksowi postępowania w zakresie zwalczania nielegalnego nawoływania do nienawiści w internecie przedsiębiorstwa internetowe usuwają średnio 70 proc. zgłoszonych im przypadków nielegalnego nawoływania do nienawiści, a w ponad 80 proc. przypadków dzieje się to w ciągu 24 godzin. Nielegalne treści internetowe wciąż jednak stanowią poważny problem mający ogromne konsekwencje dla bezpieczeństwa i ochrony obywateli i przedsiębiorstw, a także podważają zaufanie do gospodarki cyfrowej. 

Zgodnie z konkluzjami Rady Europejskiej z czerwca 2017 r. oraz w oparciu o dialogi z przedstawicielami branży, we wrześniu 2017 r. Komisja przedstawiła wytyczne i wspólne narzędzia, aby szybko i aktywnie wykrywać i usuwać nielegalne treści nawołujące do nienawiści, przemocy i terroryzmu w internecie oraz zapobiegać ich ponownemu wystąpieniu. Komisja stwierdziła również, że w celu usunięcia nielegalnych treści z internetu potrzebne mogą być inne środki, w tym prawne. Od tego czasu Komisja nalega, by platformy internetowe zintensyfikowały wysiłki mające na celu zapobieganie pojawianiu się, wykrywanie i usuwanie nielegalnych treści w internecie, w szczególności związanych z działalnością terrorystyczną, tak szybko, jak to możliwe.

Dodatkowe informacje:

• Notatka prasowa: Często zadawane pytania: Zalecenie Komisji w sprawie środków do celów skutecznego zwalczania nielegalnych treści w internecie
• Zestawienie informacji na temat nielegalnych treści w internecie
• Komunikat prasowy: Unia bezpieczeństwa: Komisja wypełnia zobowiązania dotyczące przeciwdziałania radykalizacji terrorystycznej
• Oświadczenie: Usuwanie nielegalnych treści publikowanych w internecie Komisja wzywa wszystkie strony do większych wysiłków i szybszych postępów
• Komunikat prasowy(link is external): Unia bezpieczeństwa: Komisja energiczniej zwalcza nielegalne treści w internecie
• Komunikat(link is external): Zwalczanie nielegalnych treści w internecie. W kierunku większej odpowiedzialności platform internetowych
• Press release: Social media companies need to do more to fully comply with EU consumer rules

Mniej hejtu w sieci

Opublikowane wyniki trzeciej oceny kodeksu postępowania w zakresie zwalczania nielegalnego nawoływania do nienawiści w internecie, przeprowadzonej przez organizacje pozarządowe i organy publiczne, pokazują, że przedsiębiorstwa z branży IT usuwały średnio 70 proc. zgłaszanych im przypadków nielegalnej mowy nienawiści.

Przyjmując w maju 2016 r. kodeks postępowania, przedsiębiorstwa Facebook, Twitter, YouTube i Microsoft zobowiązały się do zwalczania rozprzestrzeniania się takich treści w Europie. W trzecim okresie monitorowania wykazano, że przedsiębiorstwa te w coraz większym stopniu wywiązują się obecnie ze swojego zobowiązania, by usuwać większość nielegalnej mowy nienawiści w ciągu 24 godzin. Nadal jednak utrzymują się pewne dalsze wyzwania, takie jak brak systematycznych informacji zwrotnych dla użytkowników.

Instagram i Google+ ogłosiły dzisiaj, że przystępują do kodeksu postępowania. Dzięki tej decyzji jeszcze zwiększy się liczba podmiotów objętych tym kodeksem.

Andrus Ansip, wiceprzewodniczący Komisji i komisarz do spraw jednolitego rynku cyfrowego, z zadowoleniem przyjął te pozytywne zmiany: - "Te wyniki jasno wskazują, że platformy internetowe poważnie traktują swoje zobowiązanie do rozpatrywania zgłoszeń i usuwania nielegalnej mowy nienawiści w ciągu 24 godzin. Gorąco zachęcam przedsiębiorstwa z branży IT do poprawy przejrzystości i informacji zwrotnych dla użytkowników, zgodnie z wytycznymi, które opublikowaliśmy w zeszłym roku. Ważne jest również, aby istniały zabezpieczenia pozwalające uniknąć nadmiernego usuwania treści i chronić prawa podstawowe, do których należy wolność słowa".

Komisarz UE do spraw sprawiedliwości, konsumentów i równouprawnienia płci Vĕra Jourová powiedziała: - "Internet musi być bezpieczniejszy, wolny od nielegalnej mowy nienawiści oraz wolny od treści ksenofobicznych i rasistowskich. Kodeks postępowania okazuje się wartościowym narzędziem szybkiego i skutecznego zwalczania nielegalnych treści. Doświadczenie to pokazuje, że jeśli przedsiębiorstwa technologiczne, społeczeństwo obywatelskie i decydenci ściśle współpracują, udaje się osiągnąć rezultaty, a jednocześnie chronić wolność słowa. Oczekuję, że przedsiębiorstwa z branży IT wykażą się podobną determinacją, pracując nad innymi ważnymi kwestiami, jak np. walka z terroryzmem czy niekorzystne warunki oferowane użytkownikom".

Kodeks postępowania, od czasu jego przyjęcia w maju 2016 r., przyczyniał się do stałych postępów w usuwaniu zgłaszanych nielegalnych treści – co przedstawiono w opublikowanych dzisiaj wynikach oceny:

• Przedsiębiorstwa z branży IT usuwały średnio 70 proc. wszystkich przypadków nielegalnej mowy nienawiści zgłaszanych im przez organizacje pozarządowe i organy publiczne uczestniczące w ocenie. Odsetek ten stale wzrasta – w pierwszym okresie monitorowania w 2016 r. wynosił 28 proc., a w drugim w maju 2017 r. – 59 proc.
• Dzisiaj wszystkie uczestniczące przedsiębiorstwa z branży IT w pełni realizują założony cel polegający narozpatrywaniu większości zgłoszeń w ciągu 24 godzin – średnio odsetek ten wynosi ponad 81 proc.Wskaźnik ten podwoił się w stosunku do pierwszego okresu monitorowania i wzrósł w stosunku do ostatniego okresu monitorowania, kiedy to wynosił 51 proc. rozpatrywanych zgłoszeń w ciągu 24 godzin.

Oczekiwane postępy

Choć wypełniono główne zobowiązania zadeklarowane w kodeksie postępowania, konieczne są dalsze postępy w następujących obszarach:

• Nadal brakuje informacji zwrotnych dla użytkowników w odniesieniu średnio do niemal jednej trzeciej zgłoszeń, przy czym liczba udzielonych odpowiedzi różni się w zależności od przedsiębiorstwa. Przejrzystość i informacje zwrotne dla użytkowników to obszary, w których należy poczynić dalsze postępy.
• Kodeks postępowania uzupełnia przepisy w dziedzinie zwalczania rasizmu i ksenofobii, które przewidują obowiązek skutecznego ścigania sprawców przestępstw polegających na nielegalnym nawoływaniu do nienawiści w internecie lub poza nim. Średnio jedna na pięć spraw sygnalizowanych przedsiębiorstwom była również zgłaszana przez organizacje pozarządowe policji lub prokuraturze. Wskaźnik ten wzrósł ponad dwukrotnie od czasu ostatniego sprawozdania monitorującego. Policja powinna niezwłocznie podejmować śledztwo w takich sprawach. Komisja zapewniła organom krajowym, społeczeństwu obywatelskiemu i przedsiębiorstwom sieć współpracy i wymiany dobrych praktyk, jak również ukierunkowane wsparcie finansowe oraz wytyczne operacyjne. Obecnie około dwie trzecie państw członkowskich posiada już krajowy punkt kontaktowy do spraw zwalczania mowy nienawiści w sieci. Na wiosnę 2018 r. planowany jest specjalny dialog między właściwymi organami państw członkowskich a przedsiębiorstwami z branży IT.

Dalsze działania

Komisja będzie nadal regularnie monitorować wdrażanie kodeksu przez uczestniczące przedsiębiorstwa z branży IT z pomocą organizacji społeczeństwa obywatelskiego. Komisja zamierza również zachęcić inne platformy internetowe do przystąpienia do kodeksu, a ponadto rozważy wprowadzenie dodatkowych środków, jeśli wysiłki nie będą kontynuowane lub reakcje przedsiębiorstw będą spowolnione.

Kontekst

Decyzja ramowa w sprawie zwalczania rasizmu i ksenofobii przewiduje kryminalizację publicznego nawoływania do przemocy lub nienawiści skierowanej przeciwko grupie osób lub członkowi takiej grupy zdefiniowanej według rasy, koloru skóry, wyznawanej religii, pochodzenia albo przynależności narodowej lub etnicznej. Mowa nienawiści w rozumieniu decyzji ramowej stanowi przestępstwo także wtedy, gdy występuje w internecie.

UE, jej państwa członkowskie, przedsiębiorstwa zarządzające mediami społecznościowymi i inne platformy mają wspólny obowiązek promowania wolności słowa i sprzyjania jej w przestrzeni internetowej. Jednocześnie wszystkie te podmioty muszą czuwać nad tym, by internet nie stał się schronieniem dla przemocy i nienawiści.

W celu zareagowania na rozprzestrzenianie się rasistowskiej i ksenofobicznej mowy nienawiści w internecie Komisja Europejska oraz cztery największe przedsiębiorstwa z branży IT (Facebook, Microsoft, Twitter i YouTube) przedstawiły w maju 2016 r. kodeks postępowania w zakresie zwalczania nielegalnego nawoływania do nienawiści w internecie.

Trzecią ocenę przeprowadziły organizacje pozarządowe i organy publiczne w 27 państwach członkowskich, które były autorami zgłoszeń. W dniu 7 grudnia 2016 r. Komisja zaprezentowała wyniki pierwszej oceny wdrożenia tego kodeksu postępowania. W dniu 1 czerwca 2017 r. opublikowano wyniki za drugi okres monitorowania.

W dniu 28 września Komisja przyjęła komunikat zawierający wytyczne dla platform internetowych dotyczące procedur powiadamiania i działania w celu eliminacji nielegalnych treści online. W tych wytycznych położono szczególny nacisk na znaczenie zwalczania nielegalnej mowy nienawiści w internecie oraz na potrzebę dalszych działań na rzecz wdrażania kodeksu postępowania.

W dniu 9 stycznia 2018 r. kilku komisarzy europejskich spotkało się z przedstawicielami platform internetowych w celu omówienia postępów w zwalczaniu nielegalnych treści w internecie, w tym propagandy terrorystycznej online oraz ksenofobicznej i rasistowskiej nielegalnej mowy nienawiści, jak też przypadków łamania prawa własności intelektualnej (zob. wspólne oświadczenie).

Dodatkowe informacje:

• Zestawienie informacji – trzecie monitorowanie kodeksu postępowania
• Pytania i odpowiedzi

A.J.
Zespół e-prawnik.pl