W połowie sierpnia wchodzi w życie ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (dalej „ustawa”), której celem jest dostosowanie polskiego prawa do unijnej dyrektywy 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS). Temat dla czytelników ISBtech przybliża partner zarządzający i CEO butiku prawniczego Discretia Tomasz Gwara.

Przedmiotem ustawy jest organizacja krajowego systemu cyberbezpieczeństwa oraz określenie zadań i obowiązków podmiotów wchodzących w jego skład. Określa ona również sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Celem organizacji systemu jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągniecie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienia obsługi incydentów.

Uczestnicy krajowego systemu cyberbezpieczeństwa

Krajowy system cyberbezpieczeństwa obejmuje kilkanaście kategorii podmiotów, w szczególności tzw. operatorów usług kluczowych (wybrane firmy działające m.in. w sektorach: finansowym, energetycznym, transportowym, ochrony zdrowia, zaopatrzenia w wodę pitną), dostawców usług cyfrowych, Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. zespoły CSIRT poziomu krajowego), sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa, Pełnomocnika Rządu oraz Kolegium do Spraw Cyberbezpieczeństwa oraz Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (służący komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie).

Obowiązki operatorów usług kluczowych

Ustawa zawiera zasady wskazywania operatorów usług kluczowych i określa ich obowiązki dotyczące wdrożenia skutecznego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, stosowanie zabezpieczeń systemów informacyjnych adekwatnych do zidentyfikowanego ryzyka, procedur i mechanizmów zgłaszania oraz postępowania
z incydentami, prowadzenia dokumentacji czy organizacji struktur wewnętrznych.

Operator usługi kluczowej ma również zapewnić przeprowadzenie minimum raz na 2 lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej oraz powołać osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Obowiązki dostawców usług cyfrowych

Przepisami ustawy zostaną objęci również tzw. dostawcy usług cyfrowych (internetowe platformy handlowe, usługi przetwarzania danych w chmurze oraz wyszukiwarki internetowe). Obowiązki dostawców usług cyfrowych są analogiczne jak dla operatorów usług kluczowych, jednak ze względu na transgraniczny charakter tych usług zostaną one objęte łagodniejszym reżimem regulacyjnym (ustawa odwołuje się tutaj do rozporządzenia wykonawczego Komisji Europejskiej 2018/151).

Postępowanie w przypadku incydentów

Ustawa wprowadza kompleksowe obowiązki zarządzania zdarzeniami, mającymi negatywny wpływ na cyberbezpieczeństwo (tzw. incydenty) dotyczące ich obsługi, mitygowania skutków oraz raportowania do CSIRT.

Ustawa definiuje kilka kategorii incydentów, w zależności od rodzaju podmiotu zgłaszającego oraz stopnia ich oddziaływania. Incydent poważny, zgłaszany przez operatora usług kluczowych, związany jest z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej, natomiast incydent istotny – musi mieć istotny wpływ na świadczenie usługi cyfrowej. Wprowadzono także tzw. incydenty krytyczne, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów gospodarczych i działania instytucji publicznych.

CSIRT, do których raportowane będą incydenty, będą odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów. Ponadto CSIRT będą się wzajemnie informować oraz informować Rządowe Centrum Bezpieczeństwa o każdym incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego.

W ustawie ustanowiono organy właściwe ds. cyberbezpieczeństwa, odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych w sektorach wymienionych
w dyrektywie 2016/1148/UE.

Obowiązki ministra

Ustawa przewiduje, że minister właściwy ds. informatyzacji będzie m.in. monitorował wdrażanie Strategii Cyberbezpieczeństwa oraz prowadził wykaz operatorów usług kluczowych i politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa. Ma też realizować obowiązki sprawozdawcze wobec instytucji unijnych. Minister będzie również prowadził Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, który zapewni odbieranie i przekazywanie zgłoszeń incydentów poważnych i istotnych z innych krajów członkowskich, reprezentację Rzeczypospolitej Polskiej w Grupie Współpracy, współpracę z Komisją Europejską, współpracę między organami właściwymi w Rzeczypospolitej Polskiej i organami właściwymi państw członkowskich Unii Europejskiej. W przyszłości zadaniem Ministra Cyfryzacji będzie też rozwój systemu teleinformatycznego umożliwiającego zgłaszanie i obsługę incydentów, szacowanie ryzyka i ostrzeganie o zagrożeniach cyberbezpieczeństwa.

Zadania Pełnomocnika i Kolegium rządu ds. Cyberbezpieczeństwa

W celu koordynacji działań i wymiany informacji między instytucjami odpowiedzialnymi za cyberbezpieczeństwo w sferach: cywilnej, wojskowej, sektorów usług kluczowych oraz instytucji odpowiedzialnych za zwalczanie cyberprzestępczości – ustawa powołuje pełnomocnika rządu ds. cyberbezpieczeństwa (będzie powoływany i odwoływany przez premiera, ma podlegać Radzie Ministrów) oraz Kolegium ds. cyberbezpieczeństwa (przewodniczącym ma być premier).