Cyberbezpieczeństwo – nowe przepisy dot. bezpieczeństwa systemów informacyjnych sektora usług kluczowych
Ustawa o krajowym systemie cyberbezpieczeństwa stanowi implementację Dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej. Regulacja cyberbezpieczeństwa na poziomie unijnym stanowi wyraz coraz większej dbałości unijnego prawodawcy o bezpieczeństwo danych. Po rozporządzeniu o ochronie danych osobowych nadszedł czas na regulacje cyberbezpieczeństwa. Bez wątpienia do regulacji tej materii przyczynił się rozwój środków komunikacji elektronicznej oraz rosnące ryzyko wycieku danych. Nowa regulacja obejmuje jednak tylko sektory usług o charakterze strategicznym takie jak energetyka, bankowość, transport. Zadaniem krajowego systemu cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, a więc przede wszystkim zapewnienie niezakłóconego funkcjonowania usług kluczowych. W realizacji tego celu pomóc ma stworzenie krajowego systemu cyberbezpieczeństwa zapewniającego odpowiednio wysoki poziom bezpieczeństwa systemów informacyjnych oraz zajmujący się obsługą incydentów.
Usługa kluczowa
Według ustawy, operatorem usługi kluczowej jest podmiot, który prowadzi działalność w sektorze o charakterze strategicznym, a świadczenie usług związane jest z systemami informacyjnymi oraz posiada jednostkę organizacyjną na terytorium RP wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję administracyjną o uznaniu za operatora usługi kluczowej. Przy czym należy zwrócić uwagę, iż fakt że uznanie za operatora usługi kluczowej następuje w drodze decyzji administracyjnej, powoduje możliwość sądowej kontroli załatwienia sprawy. Kontrola sądowa może skutkować niezakwalifikowaniem danego podmiotu jako operatora usługi kluczowej mimo, że działa on w sektorze strategicznym.
Organy właściwe ds. cyberbezpieczeństwa
Zadania związane z monitorowaniem stosowania przepisów ustawy, kontrolę operatorów usług kluczowych i dostawców usług cyfrowych jak też przygotowywanie rekomendacji dot. działań w celu wzmocnienia cyberbezpieczeństwa wykonują organy właściwe ds. cyberbezpieczeństwa. Krajowy ustawodawca nie zdecydował się na stworzenie jednego krajowego podmiotu właściwego, a kompetencje organu ds. cyberbezpieczeństwa przyznał właściwym ze względu na sektor usługi uznanej za kluczową ministrom.
Poza organami ds. cyberbezpieczeństwa za aspekt techniczny cyberbezpieczeństwa odpowiedzialne są Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego prowadzone przez MON, Szefa ABW oraz Naukową i Akademicką Sieć Komputerową Państwowy Instytut Badawczy. W myśl przepisów ustawy, do ich kompetencji należy:
- monitorowanie zagrożeń, incydentów na poziomie krajowym,
- przekazywanie informacji dot. incydentów i ryzyka podmiotom krajowego systemu cyberbezpieczeństwa,
- reagowanie na zgłoszone incydenty,
- przekazywanie oraz przyjmowanie informacji o incydentach poważnych i istotnych innym państwom, w tym państwom członkowskim UE.
Obowiązki operatora usług kluczowych
Poza obowiązkami nałożonymi na organy właściwe ds. cyberbezpieczeństwa jak też Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego, ustawa o krajowym systemie cyberbezpieczeństwa nakłada szereg obowiązków na operatorów usług kluczowych.
Przede wszystkim podmioty te są zobowiązane do:
- wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej – zapewniając systematyczne szacowanie ryzyka wystąpienia incydentu, odpowiednie środki techniczne i organizacyjne celem bezpiecznej eksploatacji systemu informacyjnego oraz ciągłość dostawy usług o charakterze kluczowym,
- wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu bezpieczeństwa – zapewniając jej dostęp do informacji pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa. Operator jest zobowiązany do przekazania danych osobowych osoby odpowiedzialnej organom właściwym ds. cyberbezpieczeństwa, a także właściwym Zespołom Reagowania na Incydenty Bezpieczeństwa Komputerowego,
- opracowania, wdrożenia i aktualizacji dokumentacji cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej – w tym do ustanowienia nadzoru nad dokumentacją dot. cyberbezpieczeństwa systemu informacyjnego,
- obsługi incydentów oraz zgłaszania incydentów poważnych i współdziałania przy obsłudze incydentu poważnego i incydentu krytycznego,
- przeprowadzenia, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
W celu realizacji ww. obowiązków operator usługi kluczowej powinien powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo bądź zawrzeć umowę z odpowiednim podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. Za brak realizacji wskazanych obowiązków, organ właściwy będzie uprawniony do nakładania administracyjnych kar pieniężnych w wysokości nawet do 200 000 złotych.
Podsumowując, nowe przepisy będą miały wpływ przede wszystkim na sytuacje małych i średnich przedsiębiorców świadczących usługi kluczowe, oczywiście w przypadku, gdy zostanie wobec nich wydana decyzja o uznaniu za operatora usługi kluczowej. Regulacja aspektów związanych z ochroną systemów informacyjnych w sektorach kluczowych stanowi legislacyjne novum, gdyż do tej pory materia ta nie była regulowana w sposób kompleksowy przez krajowego prawodawcę.