Identity management and security Could an IdP be considered an OES? www.law.kuleuven.be/citip
What is an Identity provider (IdP)? 2
Proprietary IdM and PKI IdM e.g. e.g. Belgian eID Facebook IdP IdP Verifies Issues Issues credential certificate credential at the IdP Relying Relying User Party User Party Uses Uses Verifies certificate to credential to certificate authenticate authenticate C. Sullivan, E. Burger, “ Blockchain, Digital Identity, E- government”, in: H. Treiblmaier, R. Beck (eds.), Business Transformation through Blockchain, 2019, pp. 233-258, p. 241. 3
Could the NIS Directive be applicable to IdPs? Could an IdP be considered an operator of essential services or a digital service provider? 4
What is an OES? Operator of essential services • Art 4 (4) NIS: Annex II + criteria of art. 5 (2) NIS • Specific sectors, including Digital Infrastructure: • IXPs • DNS service providers • TLD name registries + an entity provides a service which is essential for the maintenance of critical societal and/or economic activities; + the provision of that service depends on network and information systems; and + an incident would have significant disruptive effects on the provision of that service. 5
What is a DSP? Digital Service Provider: • Legal person that provides a digital service: Information Society service of a type: • online marketplace; • online search engine; or • cloud computing service 6
National implementation of NIS • Austria : Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG) • Belgium : 7 APRIL 2019. - Wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid ( changes to 1 JULI 2011. - Wet betreffende de beveiliging en de bescherming van de kritieke infrastructuren) • Estonia : Cybersecurity Act (also important: Emergency Act) • Germany : Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union ( changes to BSI Gesetz, see also Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV)) • Netherlands : Wet van 17 oktober 2018, houdende regels ter implementatie van richtlijn (EU) 2016/1148 (Wet beveiliging netwerk- en informatiesystemen) (& Besluit beveiliging netwerk- en informatiesystemen) • UK : The Network and Information Systems Regulations 2018 7
National implementation of DSP? The same as in the NIS Directive: • online marketplace, • online search engine, • cloud computing service IdP not a DSP 8
National implementation of OES? §3 9 .„ wesentlicher Dienst “ einen Dienst, der in einem der in § 2 genannten Sektoren erbracht wird und der eine Austria wesentliche Bedeutung insbesondere für die Aufrechterhaltung des öffentlichen Gesundheitsdienstes, der öffentlichen Versorgung mit Wasser, Energie sowie lebenswichtigen Gütern, des öffentlichen Verkehrs oder die Funktionsfähigkeit öffentlicher Informations- und Kommunikationstechnologie hat und dessen Verfügbarkeit abhängig von Netz- und Informationssystemen ist; 10 . „ Betreiber wesentlicher Dienste “ eine Einrichtung mit Niederlassung in Österreich, die einen wesentlichen Dienst erbringt; art. 6 11° " aanbieder van essentiële diensten ": een publieke of private entiteit die actief is in België in een van de Belgium sectoren opgenomen in bijlage I bij deze wet, die aan de criteria bedoeld in artikel 12, § 1, voldoet en die als dusdanig is aangewezen door de sectorale overheid; (2 ) Service providers specified in subsection (1) of this section who operate in sectors set out in Annex II t o Estonia Directive (EU) 2016/1148 of the European Parliament and of the Council concerning measures for a high common level of security of network and information systems across the Union (OJ L 194, 19.07.2016, pp. 1 – 30) are deemed to be operators of essential services for the purposes of said Directive. (10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die Germany 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Netherlands aanbieder van een essentiële dienst als bedoeld in artikel 4 van de NIB-richtlijn, aangewezen op grond van artikel 5, eerste lid, onder a; Vitale aanbieder : a. aanbieder van een essentiële dienst; b. aanbieder van een andere dienst waarvan de continuïteit van vitaal belang is voor de Nederlandse samenleving. “operator of an essential service ” (“OES”) means a person who is deemed to be designated as an operator of an UK essential service under regulation 8(1) or is designated as an operator of an essential service under regulation 8(3); 9
Overlaps with critical infrastructure legislation • E.g. Estonia, Germany, Netherlands 10
Germany Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union amended BSI Gesetz Based on §10 (1) BSI Gesetz Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI- Gesetz (BSI-Kritisverordnung - BSI-KritisV)) 11
Germany §2 (10) BSI Gesetz : Critical infrastructures within the meaning of this Act are facilities, installations or parts thereof which 1. belong to the sectors energy, information technology and telecommunications, transport and traffic, health, water, nutrition, finance and insurance, and 2. Of great importance to the functioning of the community, because their failure or impairment would result in significant supply shortages or threats to public safety. BSI-Kritisverordnung §1 Critical service: a service for the general public in the sectors according to §§ 2 to 8 whose failure or impairment would lead to significant supply bottlenecks or threats to public safety. § 5 Sektor Informationstechnik und Telekommunikation Annex 4 Part 3: Trust services Facilities to provide trust services Threshold: 500 000 issued qualified Certificates or > 10 000 certificates used to authenticate publicly accessible servers (Server certificates, eg for web servers, E-mail server, cloud server (eg TLS / SSL certificates)) 12
What are the obligations? - Germany NIS Directive German BSI Gesetz take appropriate organizational and technical measures to prevent appropriate and disruptions to the availability, integrity, authenticity and confidentiality of proportionate technical and their information technology systems, components or processes relevant organisational measures to to the functioning of their critical infrastructures. manage the risks The state of the art should be adhered to state of the art Organizational and technical arrangements are appropriate if the effort involved is not disproportionate to the consequences of failure or appropriate to the risk impairment of the Critical Infrastructure concerned appropriate measures to see 1 prevent and minimise the impact of incidents Notification obligations: Must notify • Disruptions […] that have resulted in the failure or significant notify, without undue delay, impairment of the functioning of their Critical Infrastructures; incidents having a • Significant disruptions […] that may result in failure or significant significant impact disruption to the functioning of their Critical Infrastructure. Every two years: audit/test/certificates to proof meeting the requirements Provide a contact point for the critical infrastructure to the BSI 13
Netherlands Wet beveiliging netwerk- en Wet gegevensverwerking en informatiesystemen meldplicht cybersecurity Besluit beveiliging netwerk- en Besluit meldplicht informatiesystemen cybersecurity Art. 1 WBNI vital provider: a. operator of an essential service; b. provider of another service whose continuity is vital for Dutch society. Art. 3 Bbni: Art. 2 Bbni: Other vital providers OES according to NIS 14
Recommend
More recommend
