Cyberbezpieczeństwo wdrożone

W ostatnim okresie wydano szereg rozporządzeń wykonawczych do ustawy o cyberbezpieczeństwie.

Rozporządzenie o wymogach organizacyjnych dot. cyberbezpieczeństwa

Wymogi dla zespołów bezpieczeństwa

Rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo stanowi wykonanie upoważnienia ustawowego zawartego w art. 14 ust. 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. poz. 1560), zwanej dalej „ustawą”. Przepisy określają wymagania dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo mających wykonywać zadania nałożone na nich przez ustawę.

Zgodnie z ustawą, operatorzy usług kluczowych mogą wykonywać część swoich obowiązków nałożonych przez ustawę poprzez wewnętrzne struktury albo poprzez podmioty zewnętrzne, kontraktowane na zasadach komercyjnych. Ze względu na konieczność zapewnienia odpowiedniego poziomu bezpieczeństwa świadczonych usług, konieczne było określenie warunków technicznych i organizacyjnych, jakie muszą spełniać takie podmioty.

Dwa rodzaje wymogów - oparte na Polskich Normach

Do wymogów organizacyjnych zalicza się posiadanie wdrożonego systemu zarządzania bezpieczeństwem informacji, zapewnianie ciągłości działania usłudze reagowania na incydenty, sporządzić i upublicznić deklarację polityki działania zgodną z RFC 2350, zapewnić wsparcie operatorowi w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej oraz dysponować personelem posiadającym odpowiednie umiejętności i doświadczenie.

Rozporządzenie zawiera również wymogi techniczne dotyczące sprzętu i pomieszczeń takie jak system kontroli dostępu, odpowiednie drzwi, czy też właściwy sprzęt komputerowy i system łączności.

Celem zapewnienia jednoznaczności wymagań i ich zobiektywizowaniu wymagania w dużej mierze opierają się na Polskich Normach.

Wykaz usług kluczowych

Rozporządzenie Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych jest niezbędne dla pełnej implementacji unijnej dyrektywy NIS oraz powstania Krajowego Systemu Cyberbezpieczeństwa.

Ustawa o krajowym systemie cyberbezpieczeństwa nakłada na operatorów usług kluczowych obowiązki dotyczące m.in. szacowania ryzyka wystąpienia incydentu, stosowania właściwych środków bezpieczeństwa oraz obsługi i zarządzania incydentami.

O uznaniu danego podmiotu za operatora usługi kluczowej zdecydują, kompetentne dla danego sektora, organy właściwe (w drodze decyzji administracyjnej). Podpisane rozporządzenie ma kluczowe znaczenie dla przebiegu procesu identyfikacji operatorów usług kluczowych.

Zgodnie z ustawą, operatorem jest podmiot, który spełnia (łącznie) poniższe wymagania:

• został wskazany (jako rodzaj podmiotu) w załączniku do ustawy;
• świadczy usługę kluczową określoną w rozporządzeniu;
• świadczenie tej usługi zależy od systemów informacyjnych;
• usługa jest świadczona powyżej określonego progu istotności – najczęściej jest to wielkość produkcji, zasięg geograficzny świadczenia usługi albo liczba odbiorców.

Usługi kluczowe wymienione w rozporządzeniu obejmują następujące sektory:

• energia (m.in. energia elektryczna, ciepło, ropa i gaz);
• transport (z podziałem na wodny, lądowy i powietrzny);
• bankowość i infrastruktura rynków finansowych;
• uzdatnianie wody i odprowadzanie ścieków;
• ochrona zdrowia (w tym szpitale i przemysł farmaceutyczny);
• infrastruktura cyfrowa (DNS, IXP i TLD).

Wydanie rozporządzenia oznacza, że organy właściwe mogą się przygotowywać do wydawania decyzji administracyjnych przedsiębiorcom. Zgodnie z dyrektywą NIS, pierwsi operatorzy powinni być wskazani do 9 listopada 2018 r.

Nowe kryteria i formularz zgłaszania incydentów u przedsiębiorców telekomunikacyjnych

W Dzienniku Ustaw pojawiły się dwa rozporządzenia wykonawcze Ministra Cyfryzacji do Prawa telekomunikacyjnego, które zmieniają kryteria oraz sposób zgłaszania incydentów w telekomunikacji (z treścią rozporządzeń można się zapoznać na stronie Dziennika Ustaw tutaj i tutaj).

Konieczne zmiany

Przedsiębiorcy telekomunikacyjni identyfikują naruszenia bezpieczeństwa oraz integralności sieci lub usług na podstawie kryteriów uznania zakłócenia za naruszenie mające istotny wpływ na funkcjonowanie sieci lub usług telekomunikacyjnych. Dotychczasowe rozporządzenie wymagało zmiany ze względu na wejście w życie ustawy o krajowym systemie cyberbezpieczeństwa, która m.in. ustanowiła kary finansowe dla przedsiębiorców, którzy nie zgłaszają naruszeń bezpieczeństwa oraz integralności sieci lub usług.

Dotychczas funkcjonowały dwa uzupełniające się rozporządzenia – pierwsze zawierało wzór formularza używanego do zgłaszania incydentów, a drugie – kryteria określające, jakie incydenty należy zgłaszać. Określenie kryteriów w odrębnym akcie prawnym pozwoli na skuteczniejsze egzekwowanie obowiązku określonego w art. 175a ust. 1 ustawy – Prawo telekomunikacyjne.

Poprawione kryteria i formularz

Tak jak dotychczas, przedsiębiorcy telekomunikacyjni zgłaszają incydenty do Prezesa Urzędu Komunikacji Elektronicznej.

Określone w rozporządzeniu kryteria zostały rozbudowane w stosunku do dotychczas obowiązujących z uwagi na zmianę wymagań Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji (ENISA).

Obowiązek zgłaszania incydentów dotyczy naruszeń, które dotknęły co najmniej 10 000 użytkowników przez określony czas. Czas braku dostępności lub ograniczenia usługi, jaki podlega zgłoszeniu zależy tego, ilu użytkowników danej usługi dotknęło dane naruszenia. Zgłoszeniu podlegają również naruszenia skutkujące niedostępnością telefonów alarmowych (np. 112).

Uprawnienia do prowadzenia audytów systemu bezpieczeństwa

Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu stanowi kolejne rozporządzenie wykonawcze do ustawy o krajowym systemie cyberbezpieczeństwa; zawiera ono wykaz certyfikatów uprawniających do przeprowadzania audytów.

Wśród obowiązków nakładanych na operatorów usług kluczowych ustawa wymienia audyty systemów bezpieczeństwa. Systemy bezpieczeństwa są indywidualne dla każdego przedsiębiorcy objętego regulacją, dlatego nie wskazano zakresu audytu. Może być on drastycznie różny dla operatorów w zależności od sektora – ustawa obejmuje zarówno dużych przedsiębiorców z potężnymi zasobami, jak i średniej wielkości, bardziej wyspecjalizowane podmioty.

Z tego powodu nacisk położono na określenie, w jaki sposób można przeprowadzić audyt w rozumieniu ustawy. Artykuł 15 ustawy dopuszcza kilka sposobów, które instytucja może wybrać jako najbardziej odpowiedni dla niej. Jednym z nich jest możliwość przeprowadzenia audytu przez zespół składający się co najmniej z dwóch audytorów, posiadających kwalifikacje potwierdzone odpowiednimi certyfikatami.

Właśnie opublikowane rozporządzenie zawiera wykaz tych certyfikatów. Są tam zarówno typowo audytorskie certyfikaty (Certified Information System Auditor (CISA)), jak i operacyjne (Certified Information Systems Security Professional (CISSP)). Dopuszczono także do audytów osoby certyfikowane przez akredytowane jednostki jako audytorzy wiodący ISO/IEC 27000 (bezpieczeństwo informacji) i ISO 22301 (ciągłość działania). Podczas konsultacji specjaliści z poszczególnych branż zasugerowali rozszerzenie wykazu także o certyfikaty branżowe z zakresu automatyki przemysłowej (ISA/IEC 62443 Cybersecurity Expert).

Warto wskazać, że sposób przeprowadzenia audytu wybiera operator usługi kluczowej i to on decyduje, która droga będzie dla niego najbardziej odpowiednia. Czynnikami, które powinien brać pod uwagę, jest wielkość działalności, jej obszar, rodzaj świadczonych usług oraz wykorzystywane systemy teleinformatyczne. Sposób przeprowadzenia audytu powinien być adekwatny do działalności operatora.

Powstało Kolegium ds. Cyberbezpieczeństwa

13 października 2018 r. weszło w życie rozporządzenie Rady Ministrów określające szczegółowy zakres działania oraz tryb pracy Kolegium ds. Cyberbezpieczeństwa. Jest to jedno z rozporządzeń do ustawy o krajowym systemie cyberbezpieczeństwa.

Dzięki rozporządzeniu przy Radzie Ministrów powstanie Kolegium ds. Cyberbezpieczeństwa, organ opiniodawczo-doradczy w sprawach cyberbezpieczeństwa oraz działalności CSIRT MON, CSIRT NASK, CSIRT GOV, sektorowych zespołów cyberbezpieczeństwa i organów właściwych.

Skład Kolegium

Przewodniczącym Kolegium jest Prezes Rady Ministrów. W skład Kolegium wchodzą również: Peł-nomocnik Rządu ds. Cyberbezpieczeństwa, sekretarz Kolegium, minister właściwy do spraw we-wnętrznych, minister właściwy do spraw informatyzacji, Minister Obrony Narodowej, minister wła-ściwy do spraw zagranicznych, Szef Kancelarii Prezesa Rady Ministrów, Szef Biura Bezpieczeństwa Narodowego, jeżeli został wyznaczony przez Prezydenta Rzeczypospolitej Polskiej, minister – czło-nek Rady Ministrów właściwy do spraw koordynowania działalności służb specjalnych lub osoba przez niego upoważniona.

W obradach Kolegium uczestniczą także Dyrektor Rządowego Centrum Bezpieczeństwa, Szef Agen-cji Bezpieczeństwa Wewnętrznego albo jego zastępca, Szef Służby Kontrwywiadu Wojskowego albo jego zastępca oraz Dyrektor Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego.

Zadania Kolegium

Do zadań Kolegium należy wyrażanie opinii w sprawach m.in.:

• kierunków i planów na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa;
• wykonywania przez CSIRT MON, CSIRT NASK, CSIRT GOV, sektorowe zespoły cyberbezpie-czeństwa i organy właściwe do spraw cyberbezpieczeństwa powierzonych im zadań zgod-nie z kierunkami i planami na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa;
• współdziałania organów prowadzących lub nadzorujących CSIRT MON, CSIRT GOV i CSIRT NASK;
• organizacji wymiany informacji istotnych dla cyberbezpieczeństwa i międzynarodowej po-zycji Rzeczypospolitej Polskiej między organami administracji rządowej;
• wniosków CSIRT MON, CSIRT NASK lub CSIRT GOV w sprawie rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania.

Do zadań Kolegium należy także opracowywanie rekomendacji dla Rady Ministrów dotyczących działań w zakresie zapewnienia cyberbezpieczeństwa na poziomie krajowym.

Organizacja pracy Kolegium

Rozporządzenie określa szczegółowo organizację pracy Kolegium. Ponieważ Kolegium wyraża swoje stanowisko w formie rekomendacji lub opinii, którego dokonuje się w drodze głosowania, opisano dokładne zasady tej procedury.

W rozporządzeniu przewidziano także, że Przewodniczący Kolegium m.in. może powołać zespoły doraźne (do rozpatrzenia konkretnej sprawy) i określa kto, poza wymienionymi wyżej, może wziąć udział w posiedzeniu Kolegium (np. przedstawiciele organów właściwych). Określono również zadania sekretarza Kolegium, który odpowiada m.in. za część organizacyjną prac Kolegium oraz wykonuje zadania wynikające z wyrażonych przez Kolegium stanowisk, rekomenda-cji i opinii oraz decyzji przewodniczącego Kolegium.

Więcej o systemie cyberbezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeństwa implementuje do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148), tzw. Dyrektywę NIS. Ustawa ta zaczęła obowiązywać 28 sierpnia br. Pełne wdrożenie Dyrektywy NIS wymagało ponadto przyjęcia dwóch rozporządzeń Rady Ministrów: w sprawie uznania incydentu za poważny, jak i w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Obecnie zakończony został etap konsultacji społecznych, uzgadniania oraz opiniowania, dotyczących rozporządzeń, na tą chwilę prowadzone są konsultacje wewnątrz-rządowe.

Celem przygotowanej przez Ministerstwo Cyfryzacji ustawy o krajowym systemie cyberbezpieczeństwa było opracowanie uregulowań prawnych umożliwiających implementacje dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym.

Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności:

• niezakłóconego świadczenia usług kluczowych i usług cyfrowych,
• osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.

Budowany system obejmuje operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa. Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Do krajowego systemu cyberbezpieczeństwa będą również włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni – w sposób zharmonizowany z istniejącymi uregulowaniami w tym zakresie.

Wymaganiami z zakresu cyberbezpieczeństwa zostali także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych są objęte zharmonizowanym na poziomie UE reżimem regulacyjnym. Ustawa odwołuje się tutaj do decyzji wykonawczej Komisji Europejskiej.

Dostawcy usług cyfrowych - obowiązki

Wdług nowych przepisów, dostawca usług cyfrowych:

• przeprowadza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów
• zapewnia w niezbędnym zakresie dostęp do informacji właściwemu CSIRT o incydentach zakwalifikowanych jako krytyczne przez właściwy CSIRT
• klasyfikuje incydent jako istotny
• zgłasza incydent istotny niezwłocznie, nie poźniej jednak niż w ciągu 24H od momentu wykrycia, do właściwego CSIRT
• zapewnia obsługę incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT, przekazując niezbędne dane
• usuwa podatności
• przekazuje operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora.

Dostawca usługi cyfrowej w celu sklasyfikowania incydentu jako istotnego uwzględnia w szczególności:

• liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług
• czas trwania incydentu
• zasięg geograficzny obszaru, którego dotyczy incydent
• zakres zakłócenia funkcjonowania usługi
• zakres wpływu incydentu na działalność gospodarczą i społeczną

Incydent istotny: incydent, który ma istotny wpływ na świadczenie usługi cyfrowej.

Kim jest Dostawca Usług Cyfrowych?

Dostawcy Usług Cyfrowych to osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej, mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadczące usługi cyfrowe, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe.

Powinni oni zapewnić poziom bezpieczeństwa współmierny do stopnia ryzyka, na jakie narażone jest bezpieczeństwo świadczonych przez nich usług cyfrowych, ze względu na znaczenie tych usług dla działalności innych przedsiębiorców w Unii.

Zharmonizowane podejście na poziomie Unii mają zapewnić akty wykonawcze, w tym rozporządzenie wykonawcze 2018/151. W rozporządzeniu doprecyzowano elementy, jakie mają zostać uwzględnione przez dostawców usług cyfrowych przy określaniu i przedsiębraniu środków mających na celu zapewnienie poziomu bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez nich w kontekście oferowania usług, jak również parametry, które należy wziąć pod uwagę w celu ustalenia, czy incydent ma istotny wpływ na świadczenie tych usług.

Dostawca usługi cyfrowej nie ma obowiązku dokonania zgłoszenia, gdy nie posiada informacji pozwalających na ocenę istotności wpływu incydentu na świadczenie usługi cyfrowej.

Incydent uznaje się za mający istotny wpływ, jeżeli zaistniała co najmniej jedna z następujących sytuacji:

1. usługa świadczona przez dostawcę usług cyfrowych była niedostępna przez ponad 5 000 000 użytkownikogodzin, przy czym pojęcie „użytkownikogodziny” odnosi się do liczby dotkniętych incydentem użytkowników w Unii przez okres sześćdziesięciu minut;
2. incydent doprowadził do utraty integralności, autentyczności lub poufności przechowywanych lub przekazywanych bądź przetwarzanych danych lub powiązanych usług, oferowanych bądź dostępnych poprzez sieci i systemy informatyczne dostawcy usług cyfrowych, która dotknęła ponad 100 000 użytkowników w Unii;
3. incydent spowodował ryzyko dla bezpieczeństwa publicznego lub ryzyko wystąpienia ofiar śmiertelnych;
4. incydent wyrządził co najmniej jednemu użytkownikowi w Unii stratę materialną, której wysokość przekracza 1 000 000 EUR.

Do zadań ministra właściwego do spraw informatyzacji należy m.in. opracowanie Strategii Cyberbezpieczeństwa, prowadzenie polityki informacyjnej na temat krajowego systemu cyberbezpieczeństwa, realizacja obowiązków sprawozdawczych wobec instytucji unijnych oraz uruchomienie z dniem 1 stycznia 2021 r. systemu teleinformatycznego, umożliwiającego zautomatyzowane zgłaszanie i obsługę incydentów, szacowanie ryzyka teleinformatycznego, ostrzeganie o zagrożeniach cyberbezpieczeństwa.

Zespoły CSIRT poziomu krajowego będą współpracować ze sobą, aby zapewnić spójny i kompletny system zarządzania ryzykiem w zakresie cyberbezpieczeństwa państwa oraz obsługę zgłoszonych incydentów, w tym zwłaszcza incydentów poważnych i krytycznych, najpoważniejszych z punktu widzenia państwa.

Do zadań CSIRT NASK, CSIRT GOV i CSIRT MON, należy koordynacja obsługi incydentów zgłaszanych przez:

CSIRT NASK:

• jednostki samorządu terytorialnego
• jednostki budżetowe,samorządowe zakłady budżetowe
• agencje wykonawcze, instytucje gospodarki budżetowej
• uczelnie publiczne i Polska Akademia Nauk
• Urząd Dozoru Technicznego, Polską Agencję Żeglugi Powietrznej, Polskie Centrum Akredytacji
• Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej
• spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej, których celem jest bieżące i nieprzerwane zaspokajanie zbiorowych
• obywateli.

CSIRT GOV:

• organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały
• ZUS, KRUS, NFZ
• Narodowy Bank Polski, Bank Gospodarstwa Krajowego

CSIRT MON:

• podmioty podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane, w tym podmioty, których systemy teleinformatyczne lub sieci teleinformatyczne objęte są jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej
• przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym, w stosunku do których organem organizującym i nadzorującym wykonywanie zadań na rzecz obronności państwa jest Minister Obrony Narodowej

Organ właściwy - kim jest?

ORGAN WŁAŚCIWY

• Minister właściwy ds. energii - dla sektora energii
• Minister właściwy ds. transportu - dla sektora transportu (poza podsektorem transportu wodnego)
• Minister właściwy ds. gospodarki morskiej i minister właściwy ds. żeglugi śródlądowej - dla podsektora transportu wodnego
• Komisja Nadzoru Finansowego - dla sektora bankowego i infrastruktury rynków finansowych
• Minister właściwy ds. zdrowia - dla sektora ochrony zdrowia
• Minister właściwy ds. gospodarki wodnej - dla sektora zaopatrzenia w wodę pitną i jej dystrybucji
• Minister właściwy ds. informatyzacji - dla sektora infrastruktury cyfrowej

Ustawa powołuje także organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych i usług cyfrowych. Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego.

ZADANIA ORGANU WŁAŚCIWEGO (OW)

Organ ten:

• na bieżąco prowadzi analizę podmiotów w danym sektorze lub podsektorze pod katem uznania ich za operatora usługi kluczowej;
• wydaje decyzje o uznaniu podmiotu za operatora usługi kluczowej;
• przygotowuje rekomendacje działań mających na calu wzmocnienie cyberbezpieczeństwa, w tym wytyczne sektorowe dotyczące działania incydentów (współpraca z CSIRT NASK, CSIRT GOV, CSIRT MON i sektorowymi zespołami cyberbezpieczeństwa);
• prowadzi kontrole operatorów usług kluczowych i dostawców usług cyfrowych (monitoruje stosowanie przez nich przepisów ustawy);
• na wniosek CSIRT NASK, CSIRT GOV LUB CSIRT MON wzywa operatorów usług kluczowych lub dostawców usług cyfrowych do usunięcia w wyznaczonym terminie podatności które doprowadziły lub mogły doprowadzić do incydentu poważnego, istotnego lub krytycznego;
• uczestniczy w ćwiczeniach w zakresie cyberbezpieczeństwa organizowanych w RP lub UE;
• dla danego sektora lub podsektora może ustanowić, sektorowy zespół cyberbezpieczeństwa (SCZ to opcjonalne zadanie OW, tylko one decydują jak je ustanawiają i w jakiej formie prawnej

Procedura zakwalifikowania podmiotu jako operatora usługi kluczowej

• Organ Właściwy bada rynek w celu identyfikacji potencjalnych Operatorów Usług Kluczowych;
• Organ Właściwy zaczyna postepowanie administracyjne i zbiera informacje o podmiocie;
• Organ Właściwy sprawdza, czy podmiot spełnia wymogi rozporządzenia;
• Organ Właściwy wskazuje Operatora Usługi Kluczowej (DECYZJA ADMINISTRACYJNA);
• Operator Usługi Kluczowej ma od 3 do 12 miesięcy na dostosowanie się do wymogów zawartych w rozporządzeniu;
• Operator Usługi Kluczowej realizuje obowiązki wynikające z ustawy:

Za niewykonanie wyżej wymienionych obowiązków, w rozdziale 14 Ustawy, przewidziano zastosowanie kar finansowych.

Rodzaje incydentów:

• Incydent krytyczny - incydent, skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi;
• Incydent poważny - incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej;
• Incydent istotny - incydent, który ma istotny wpływ na świadczenie usługi cyfrowej;
• Incydent o podmiocie publicznym - incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny;
• Incydent zwykły - zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo – ten incydent nie podlega zgłoszeniu, ale też należy go obsługiwać.

PRZEKAZYWANIE INFORMACJI O INCYDENCIE PRZEZ OPERATORA USŁUGI KLUCZOWEJ

• Operator zgłasza incydent niezwłocznie, nie później niż w ciągu 24H od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV
• Operator współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane
• Operator usuwa wskazane podatności oraz informuje o ich usunięciu organ właściwy

Ustawa przedstawia szczegółowo klasyfikację incydentów oraz zakres kompetencji CSIRT MON, CSIRT NASK, CSIRT GOV.

OBSŁUGA INCYDENTU

• Wykrywanie
• Rejestrowanie
• Analizowanie
• Klasyfikowanie
• Priorytetyzowanie
• Podejmowanie działań naprawczych
• Ograniczenie skutków inctdentu

SEKTOROWY ZESPOŁ CYBERBEPIECZEŃSTWA (SCZ)

• przyjmowanie zgłoszeń o incydentach poważnych oraz wsparcie w ich obsłudze
• wspieranie operatorów usług kluczowych w wykonywaniu obowiązków
• analizowanie incydentów poważnych, wyszukiwanie powiązań pomiędzy incydentami oraz opracowywanie wniosków z ich obsługi
• współpraca z właściwym CSIRT NASK, CSIRT GOV, CSIRT MON w zakresie koordynowania obsługi incydentów poważnych
• SZC może przekazywać do innych państw i przyjmować od nich informacje o incydentach poważnych, w tym dot. dwóch lub większej liczby państw członkowskich UE
• SZC może otrzymywać zgłoszenia incydentu poważnego z innego państwa członkowskiego UE, dot. dwóch lub większej liczby państw. Takie zgłoszenia przekazuje do właściwego CSIRT NASK, CSIRT GOV, CSIRT MON oraz PPK.

Przy Ministrze Cyfryzacji działa Pojedynczy Punkt Kontaktowy (PKK), który jest odpowiedzialny m.in. za:

• tworzenie ram prawnych funkcjonowania obszaru cyberbezpieczeństwa RP, w tym czuwanie nad ich spójnością;
• pełnienie funkcji łącznika w celu zapewnienia współpracy podmiotami odpowiedzialnymi za cyberbezpieczeństwo;
• gromadzenie i przetwarzanie informacji otrzymanych od m.in. operatorów usług kluczowych;
• kontrolowanie spełniania przez podmioty świadczące usługi z zakresu cyberbezpieczeństwa wymagań organizacyjnych i technicznych;
• przekazywanie na wniosek właściwego CSIRT, zgłoszenia incydentu poważnego lub incydentu istotnego dotyczącego dwóch lub większej liczby państw członkowskich Unii Europejskiej do pojedynczych punktów kontaktowych innych państwa członkowskich UE;
• zapewnienie reprezentacji RP w Grupie Współpracy;
• zapewnienie współpracy z Komisją Europejską w dziedzinie cyberbezpieczeństwa;
• koordynację współpracy między organami właściwymi ds. cyberbezpieczeństwa RP z odpowiednimi organami w państwa członkowskich UE.

Współpraca PPK z innymi organami:

• w uzasadnionych przypadkach współpracują z organami ścigania i organem właściwym do spraw ochrony danych osobowych;
• W przypadku gdy podmiot świadczy usługę kluczową w innych państwach członkowskich UE, organ właściwy w toku postępowania administracyjnego, za pośrednictwem Pojedynczego Punktu Kontaktowego, prowadzi konsultacje z tymi państwami w celu ustalenia, czy ten podmiot został uznany w tych państwach za operatora usługi kluczowej.

Przygotowanie ustawy poprzedzone zostało wstępnymi konsultacjami z przedstawicielami resortów kluczowych z punktu widzenia funkcjonowania krajowego systemu cyberbezpieczeństwa, przewidzianych w projekcie ustawy organów właściwych oraz z reprezentantami sektorów wskazanymi w załączniku do projektu. Ustawa realizuje zapisy Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022.

KRAJOWE RAMY POLITYKI CYBERBEZPIECZEŃSTWA RZECZPOSPOLITEJ POLSKI NA LATA 2017-2022

9 maja 2017 r. Prezes Rady Ministrów Beata Szydło podpisała uchwałę nr 52/2017 Rady Ministrów z dnia 27 kwietnia 2017 r. w sprawie Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022.

Dokument wpisuje się w kontynuację działań, podejmowanych w przeszłości przez administrację rządową, mających na celu podniesienie poziomu bezpieczeństwa w cyberprzestrzeni RP. Celem Krajowych Ram jest osiągnięcie zdolności do skoordynowanych działań w skali kraju, wzmocnienie zdolności do przeciwdziałania cyberzagrożeniom, zwiększanie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni oraz zbudowanie silnej pozycji międzynarodowej RP w obszarze cyberbezpieczeństwa. Głównym celem opracowanej strategii jest zapewnienie wysokiego poziomu bezpieczeństwa sektora publicznego, sektora prywatnego oraz obywateli w zakresie świadczenia lub korzystania z usług kluczowych oraz usług cyfrowych.

Krajowe Ramy Polityki Cyberbezpieczeństwa wskazują, w szczególności:

• cele w zakresie bezpieczeństwa teleinformatycznego,
• główne podmioty zaangażowane we wdrażanie krajowych ram polityki w zakresie bezpieczeństwa teleinformatycznego,
• ramy zarządzania służące realizacji celów krajowych ram polityki w zakresie bezpieczeństwa teleinformatycznego,
• na potrzebę zapobiegania i reagowania w odniesieniu do incydentów oraz przywracania stanu normalnego zakłóconego incydentem, w tym zasady współpracy pomiędzy sektorami publicznym i prywatnym,
• podejście do oceny ryzyka,
• kierunki podejścia do programów edukacyjnych, informacyjnych i szkoleniowych dotyczących cyberbezpieczeństwa,
• działania odnoszące się do planów badawczo-rozwojowych w zakresie bezpieczeństwa teleinformatycznego,
• podejście do współpracy międzynarodowej w zakresie cyberbezpieczeństwa.

REALIZACJA ZADAŃ NADZOROWANYCH PRZEZ MINISTRA CYFRYZACJI

Minister właściwy do spraw informatyzacji realizuje swoje zadania również we współpracy z jednostkami podległymi (Centrum Projektów Polska Cyfrowa), nadzorowanymi (Centralny Ośrodek Informatyki, Instytut Łączności – Państwowy Instytut Badawczy, Instytut Maszyn Matematycznych, Instytut Technik Innowacyjnych EMAG, Naukowa i Akademicka Sieć Komputerowa – NASK Państwowy Instytut Badawczy – NASK PIB) oraz organami nadzorowanymi (Prezes Urzędu Komunikacji Elektronicznej).

Ponadto, na poziomie operacyjnym funkcjonują następujące rozwiązania: CERT Polska, działający w NASK PIB jest pierwszym polskim zespołem reagowania na incydenty cyberbezpieczeństwa, którego zadaniem jest rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci, oraz wykrywanie i analiza zagrożeń wymierzonych przeciwko polskim internautom lub zagrażających domenie „.pl”. CERT Polska współpracuje ponadto z podobnymi podmiotami na świecie, zarówno w ramach działalności operacyjnej, jak i badawczo-wdrożeniowej.

Centrum Cyberbezpieczeństwa - utworzone w roku 2016 w strukturach NASK PIB, jest jednym z podmiotów krajowego systemu cyberbezpieczeństwa odpowiedzialnym za bezpieczeństwo cyberprzestrzeni RP. Centrum, która działając w systemie 24/7 monitoruje zagrożenia, przyjmuje i obsługuje incydenty cyberbezpieczeństwa i zarządza trybem informowania o zagrożeniach sieciowych. Centrum zajmuje się również obsługą zgłoszeń szkodliwych i nielegalnych treści – Dyżurnet.pl. W ramach Centrum powstał system partnerskiej współpracy z kilkudziesięcioma podmiotami kluczowymi dla gospodarki kraju.

POZOSTAŁE PROJEKTY

Rządowy Klaster Cyberbezpieczeństwa jest projektem mającym zapewnić systemom administracji państwowej bezpieczny, efektywny dostęp do zasobów Internetu przy jednoczesnym zapewnieniu bezpieczeństwa użytkowników oraz zapewnienie niezakłóconej komunikacji pomiędzy instytucjami państwowymi, nawet w wypadku ataku na dużą skalę. Klaster będzie w szczególności zapewniał bezpieczeństwo serwisów informacyjnych państwa, biuletynów informacji publicznej, bezpieczną pocztę elektroniczną, bezpieczny dostęp do centralnych baz danych i usług dla obywateli. Prezes Rady Ministrów wyraziła zgodę na budową Rządowego Klastra Cyberbezpieczeństwa w lecie 2017 roku.

Zintegrowany system bieżącego zarządzania bezpieczeństwem Cyberprzestrzeni RP ma za zadanie zapewnienie informacji o bieżącym stanie bezpieczeństwa teleinformatycznego niezbędnego do oceny sytuacji i stanu bezpieczeństwa cyberprzestrzeni w Polsce. System będzie dokonywał powyższej oceny na podstawie zarejestrowanych incydentów pochodzących z kluczowych sektorów gospodarki oraz korelacji i analiz własnych. Koordynatorem systemu będzie Centrum Cyberbezpieczeństwa (NASK-PIB).

Cyberpark „ENIGMA” jest projektem mającym na celu uzyskanie przez polskie firmy zdolności do konkurowania na globalnym rynku nowych technologii. Szczególnie w okresie rozwoju nowej gałęzi, jaka będzie „Internet rzeczy” (IoT) oraz robotyzacja procesów produkcyjnych (Industry 4.0), który zmieni filozofię produkcji i dostarczania dóbr dla konsumentów. Kolejnym obszarem zainteresowania Cyberparku jest specjalizacja w zakresie wytwarzania produktów w obszarze cyberbezpieczeństwa. Pozostałe założenia ENIGMY to przełamanie pułapki średniego rozwoju, rozwój nauki poprzez dostęp do najnowszych technologii, stworzenie ekosystemu nauka–przemysł-państwo obejmującego praktycznie wszystkie gałęzie produkcji przemysłowej (uzyskanie efektu dźwigni rozwoju), a także podniesienie kompetencji społeczeństwa w zakresie korzystania z nowych technologii, oraz powstrzymanie drenażu „inteligencji” przez inne państwa. W ramach Cyberparku planowana jest ponadto budowa zaplecza naukowego i kadr inżynierskich jak i budowa HUB-ów innowacyjności. Ministerstwo Cyfryzacji jest partnerem inicjatywy Cyberpark ENIGMA prowadzonej przez Ministerstwo Rozwoju.

KRAJOWY SYSTEM OCENY I CERTYFIKACJI

Z uwagi na procesy globalizacyjne niezbędne jest włączenie Polski w międzynarodowy system oceny i certyfikacji oparty na międzynarodowych normach i standardach. Polska aktywnie włącza się w ustanowienie europejskiego systemu oceny i certyfikacji produktów oraz usług sektora technologii informatycznych i komunikacyjnych.

Obecnie trwają intensywne prace nad projektem rozporządzenia RE i PE tzw. Cybersecurity Act. W projektowanym dokumencie zapisano m.in. potrzebę utworzenia Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeństwa, która zajmie się uregulowaniem europejskich ram certyfikacji cyberbezpieczeństwa na poziomie unijnym celem zwiększenia zaufania obywateli i przedsiębiorców do jednolitego rynku cyfrowego.

W lutym br. Polska dołączyła do grupy państw sygnatariuszy porozumienia SOGIS (Senior Official Group Information Security Systems), dzięki czemu będziemy mogli w przyszłości samodzielnie oceniać i certyfikować wyroby IT zgodne z powszechnie uznawaną normą oceny (ewaluacji) bezpieczeństwa teleinformatycznego, czyli PN - ISO/IEC 15408: Technika informatyczna – Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych (znana jako Common Criteria).

EDUKACJA W DZIEDZINIE CYBERBEZPIECZEŃSTWA

Propozycje konkretnych działań dot. tego obszaru znajdują się w Krajowych Ramach Polityki Cyberbezpieczeństwa Rzeczpospolitej Polski na lata 2017-2022 oraz w przepisach projektu ustawy o krajowym systemie cyberbezpieczeństwa. Projekt zakłada wśród obowiązków podmiotów publicznych zapewnienie użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami. W projekcie przewidziano także zadanie dla CSIRT NASK prowadzenia działań z zakresu budowania świadomości w obszarze cyberbezpieczeństwa, prowadzenia współpracy w zakresie rozwiązań edukacyjnych w obszarze cyberbezpieczeństwa. Krajowe Ramy uwzględniają rozwijanie na polskich uczelniach interdyscyplinarnych specjalizacji związanych z cyberbezpieczeństwem i rozwojem nowych technologii oraz podnoszenie kwalifikacji nauczycieli informatyki. Tematyka bezpiecznego korzystania z cyberprzestrzeni ma wg Krajowych Ram być elementem programu nauczania już na poziomie kształcenia wczesnoszkolnego.

Edukacja społeczna realizowana przez administrację publiczną w tym MC, we współpracy z organizacjami pozarządowymi oraz ośrodkami akademickimi, przekłada się na systemowe działania uwrażliwiające społeczeństwo na zagrożenia płynące z w cyberprzestrzeni, a także działania edukacyjne w zakresie praw i wolności w środowisku cyfrowym. Krajowe Ramy przewidują m.in. kampanie społeczne, skierowane do różnych grup docelowych (między innymi dzieci, rodziców, seniorów). Administracja publiczna ma wspierać wszelkie działania, zarówno operatorów usług kluczowych jak i dostawców usług cyfrowych, w zakresie podejmować działania edukacyjne i informacyjne. Celem działań będzie zapewnienie użytkownikom końcowym dostępu do wiedzy pozwalającej na zrozumienie zagrożeń w cyberprzestrzeni i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami. W myśl projektu ustawy o KSC, minister właściwy do spraw informatyzacji będzie prowadził działania informacyjne dotyczące dobrych praktyk, programów edukacyjnych, kampanii i szkoleń na rzecz poszerzania wiedzy i podnoszenia świadomości z zakresu cyberbezpieczeństwa, w tym bezpiecznego korzystania z Internetu przez różne kategorie użytkowników.

Edukacja ekspercka obejmuje z kolei wypracowanie skuteczniej formy przeciwdziałań dla rozwijającej się cyberprzestępczości, w oparciu o system szkoleń dla pracowników podmiotów istotnych dla funkcjonowania bezpieczeństwa w cyberprzestrzeni oraz dla przedstawicieli organów ścigania i wymiaru sprawiedliwości.

• Rusza krajowy system cyberbezpieczeństwa
• Komisja Europejska proponuje pakiet cyberbezpieczeństwa
• Tworzenie Krajowego Systemu Cyberbezpieczeństwa na finiszu
• Krajowy System Cyberbezpieczeństwa

• Organ właściwy - schemat graficzny

• Operatorzy usług kluczowych - schemat graficzny

Na podst. www.gov.pl/web/cyfryzacja

A.J.
Zespół e-prawnik.pl