Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie

Stworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC) to cel ustawy, która 28 sierpnia br. weszła w życie. Po raz pierwszy powstaje system z jasnym przydziałem zadań i odpowiedzialności, który umożliwi sprawne działania na rzecz wykrywania, zapobiegania i minimalizowania skutków ataków naruszających cyberbezpieczeństwo RP.

Ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona przez Sejm RP 5 lipca 2018 r., 1 sierpnia podpisał ją Prezydent RP, a następnie została opublikowana w Dzienniku Ustaw RP 13 sierpnia br. (Dz. U. 2018 poz. 1560).

Ustawa oraz towarzyszące jej rozporządzenia wykonawcze w pełni wdrożą do polskiego porządku prawnego tzw. dyrektywę NIS.

Krajowy System Cyberbezpieczeństwa

Kwestia cyberbezpieczeństwa dotyka wielu aspektów, zagrożeń zarówno cywilnych jak i wojskowych, potrzeby zaangażowania różnych organów administracji rządowej i służb. Dlatego też w ustawie przewidziano różnorodne rozwiązania, określono zadania i wskazano podmioty odpowiedzialne za ich realizację.

Do krajowego systemu cyberbezpieczeństwa, poza operatorami, będą włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni – w sposób zharmonizowany z istniejącymi uregulowaniami w tym zakresie.

System zarządzania cyberbezpieczeństwem w Polsce obejmie zarówno na poziom roboczy (Zespół ds. Obsługi Incydentów Krytycznych) jak i instytucjonalny (Pełnomocnik Rządu ds. Cyberbezpieczeństwa oraz Kolegium ds. Cyberbezpieczeństwa).

Kto wchodzi w skład KSC?

Dzięki ustawie powstaje w Polsce krajowy system cyberbezpieczeństwa. W jego skład wejdą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki. W ustawie mowa jest zatem o: operatorach usług kluczowych (OUK), czyli m.in. największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale; dostawcach usług kluczowych (DUC), czyli m.in. internetowych platformach handlowych; organach właściwych (OW), czyli instytucjach publicznych, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla naszej gospodarki np. dla firm zajmujących się transportem lotniczym organem właściwym jest Minister Infrastruktury; Zespołach Reagowania na Incydenty Bezpieczeństwa Komputerowego utworzone w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON), które będą współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa; sektorowych zespołach cyberbezpieczeństwa, np. taki utworzony przez największe banki w Polsce.

Podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa utworzą spójny system pozwalający na podejmowanie różnorodnych oraz skutecznych działań zarówno przeciwdziałających zagrożeniom, jak i zapewniających skuteczne reagowanie w przypadku wystąpienia incydentów.

Wymiana informacji - to serce nowego systemu

Przy Ministrze Cyfryzacji powstanie Pojedynczy Punkt Kontaktowy (PPK), który umożliwi wymianę informacji o poważnych incydentach, które dotknęły co najmniej dwa państwa członkowskie UE. Dzięki temu nasze trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego, a także zespoły sektorowe będą ostrzegane o możliwych zagrożeniach. Ponadto te trzy Zespoły Reagowania będą mogły, poprzez Punkt Kontaktowy, przekazywać innym państwom członkowskim UE ostrzeżenia.

Ustawa wskazuje organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych i usług cyfrowych. Każdemu sektorowi określonemu w załączniku został przydzielony organ właściwy, zgodnie z działami administracji rządowej.

Operatorzy usług kluczowych

Ustawa nakłada obowiązki na operatorów usług, które mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej (usługi kluczowe). Wśród operatorów znajdą się największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale i podmioty tworzące w Polsce infrastrukturę cyfrową.

Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach i ich obsługi we współpracy z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Wymienione podmioty będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.

Wymaganiami z zakresu cyberbezpieczeństwa zostaną także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte zharmonizowanym na poziomie UE reżimem regulacyjnym.

Obowiązki operatorów usług kluczowych

Od momentu otrzymania od organu właściwego decyzji administracyjnej, dany podmiot uznany za operatora usługi kluczowej ma następujące obowiązki:

• Po 3 miesiącach od otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza incydentami, wyznacza osobę kontaktową z właściwym CSIRT i PPK przy MC, prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności;

• Po 6 miesiącach od otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację;

• Po 12 miesiącach od otrzymania decyzji: przygotowuje pierwszy audyt w rozumieniu ustawy, przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom.

Za niewykonanie przez OUK obowiązków wynikających z ustawy przewidziano zastosowanie kar finansowych (patrz rozdział 14 ustawy).

Najważniejsze daty zapisane w ustawie

Poza ww. datami związanymi z obowiązkami OUK, OW np. Ministerstwo Cyfryzacji, najpóźniej do 9 listopada br., są zobowiązane do zidentyfikowania i wydania decyzji administracyjnej o uznaniu danego podmiotu za operatora usługi kluczowej. Data ta jest także granicznym terminem przekazania przez organy właściwe Ministrowi Cyfryzacji wniosków o wpisanie zidentyfikowanych operatorów do wykazu operatorów usług kluczowych.

Natomiast obowiązkiem Ministra Cyfryzacji jest przekazanie do 9 listopada br. Komisji Europejskiej informacji dotyczących m.in. wykazu usług kluczowych oraz liczby zidentyfikowanych operatorów. Na Ministrze Cyfryzacji spoczywa także obowiązek przygotowania strategii cyberbezpieczeństwa RP. Przyjęcie tej strategii ma nastąpić najpóźniej do 31 października 2019 r.

Prezes Rady Ministrów w terminie do 3 miesięcy od wejścia w życie tej ustawy powoła Pełnomocnika do Spraw Cyberbezpieczeństwa, czyli osobę odpowiedzialną za koordynowanie działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w Polsce.

Obsługa incydentów i CSIRT

Ustawa przyjęła federacyjny model obsługi incydentów, gdzie podmioty krajowego systemu będą zgłaszały incydenty do właściwego CSIRT. Rolę CSIRT przyjęły na siebie Agencja Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (CSIRT NASK) oraz resort obrony narodowej (CSIRT MON). Będą one współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa. Razem zapewnią spójny i kompletny system zarządzania ryzykiem na poziomie krajowym, realizując zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także zapewniając koordynację obsługi zgłoszonych incydentów.

Podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa utworzą spójny system pozwalający na podejmowanie różnorodnych i skutecznych działań zarówno przeciwdziałających zagrożeniom, jak i zapewniających skuteczne reagowanie w przypadku pojawienia się takich zagrożeń.

Rozporządzenia wykonawcze do ustawy

Przygotowano osiem rozporządzeń wykonawczych, bez których pełne wdrożenie nowego systemu nie byłoby możliwe.

Poniżej prezentujemy poszczególne rozporządzenia:

• rozporządzenie Rady Ministrów w sprawie progów uznania incydentu za poważny;
• rozporządzenie Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych;
• rozporządzenie Rady Ministrów w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa;
• rozporządzenie Rady Ministrów w sprawie dokumentacji cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych;
• rozporządzenie Ministra Cyfryzacji w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług;
• rozporządzenie Ministra Cyfryzacji w sprawie wzoru formularza do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług;
• rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo;
• rozporządzenie Ministra Cyfryzacji w sprawie wykazu certyfikatów uprawniających do przeprowadzania audytu.

Zob. też:

• Tworzenie Krajowego Systemu Cyberbezpieczeństwa na finiszu
• Krajowy System Cyberbezpieczeństwa
• Wkrótce ustawa o cyberbezpieczeństwie
• Cyberustawa coraz bliżej

A.J.
Zespół e-prawnik.pl