Firma

Ustawa o Krajowym Systemie Cyberbezpieczeństwa - obowiązku operatorów usług kluczowych

123RF
W związku z wejściem w życie 28 sierpnia 2018r. ustawy o Krajowym Systemie Cyberbezpieczeństwa na operatorów usług kluczowych zostały nałożone szczególne obowiązki mające na celu ochronę zasobów informacyjnych poprzez usprawnienie wykrywania, zapobiegania oraz minimalizowania skutków ataków naruszających cyberbezpieczeństwo.

Oznacza to, że operatorzy zobowiązani są do szacowania ryzyka wystąpienia incydentów, zgłaszania wystąpienia incydentów, zbierania informacji o potencjalnych zagrożeniach oraz stosowania środków zapobiegawczych, zaś za niewypełnienie określonych obowiązków poniosą kary finansowe.

Czytaj także: Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie

Jakie ryzyka

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. poz. 1560; dalej: ustawa) określa sposób wykonywania działań przewidzianych w ramach Krajowego Systemu Cyberbezpieczeństwa, którego głównym celem ma być wszelkiego rodzaju zapobieganie atakom naruszającym cyberbezpieczeństwo w związku z rosnącym ryzykiem przechwycenia zasobów informacyjnych, wynikającym z narastających ataków hackerskich bądź socjotechnicznych. W związku z tym określone zostały w ustawie działania mające na celu niwelowanie niebezpieczeństw wynikających z naruszenia poufności, dostępności oraz autentyczności przetwarzanych danych.

Sposobem mającym na celu eliminację zdarzeń, które mogą wywierać niekorzystny wpływ na działanie systemów informacyjnych jest określenie obowiązków nałożonych na operatorów usług kluczowych. Obowiązki te dotyczą sektora energetycznego, transportu lotniczego, drogowego, wodnego, bankowości i infrastruktury rynków finansowych, infrastruktury cyfrowej czy sektora ochrony zdrowia. Wszystkie sektory, podsektory oraz rodzaje podmiotów podlegających ustawie wymienione zostały w załączniku do niej. Szczegółowe informacje na temat usług kluczowych określa Wykaz Usług Kluczowych, znajdujący się w rozporządzeniu Rady Ministrów z 11 września 2018 r. (Dz.U. z 2018 r. poz. 1806). Oprócz podziału na sektory, podsektory oraz rodzaje podmiotów, w Wykazie Usług Kluczowych zostały również określone wszelkie usługi kluczowe podlegające ustawie oraz poszczególne kryteria pozwalające ocenić szacowanie ryzyka – tzw. „progi istotności skutku zakłócającego", w których to oceniane są między innymi takie czynniki, jak określenie czasu i skali incydentu oraz jego potencjalnego wpływu na działalność gospodarczą, społeczną, a także bezpieczeństwo publiczne.

Powołanie operatora usług kluczowych

Na podstawie ustawy operatorem usług kluczowych będzie podmiot, który otrzymał decyzję administracyjną od właściwego organu do spraw cyberbezpieczeństwa, a także posiadający jednostkę organizacyjną na terytorium Polski. Dopiero na podstawie otrzymania decyzji o uznaniu podmiotu za operatora usługi kluczowej („OUK") biegną poszczególne terminy dotyczące wykonania ciążących na operatorze obowiązków. Samo wydanie decyzji następuje po spełnieniu wskazanych w ustawie kryteriów, do których, oprócz świadczenia usług w jednym z wcześniej wymienionych sektorów, należy także określenie przez właściwy organ, czy świadczenie danej usługi jest zależne od systemów informacyjnych oraz czy ewentualne zdarzenie, mogące negatywnie wpłynąć na cyberbezpieczeństwo, miałoby skutek utrudniający lub uniemożliwiający świadczenie usługi kluczowej przez danego operatora. W ocenie ostatniego z kryteriów istotną rolę pełnią wcześniej wspomniane progi istotności skutku zakłócającego.

Charakter obowiązków

Podmiot po otrzymaniu decyzji o uznaniu za OUK zobowiązany jest w terminie od 3 do 12 miesięcy do dostosowania się do poszczególnych wymogów określonych w ustawie oraz rozporządzeniu wykonawczym, a następnie realizacji obowiązków, które wynikają z rozdziału 3 ustawy.

W ciągu 3 miesięcy od dnia doręczenia decyzji administracyjnej o uznaniu za OUK, operator jest zobowiązany do:

? wdrożenia systemu zarządzania bezpieczeństwem, to znaczy szacowania ryzyka wystąpienia incydentu, zarządzania tym ryzykiem oraz zarządzania samymi incydentami

? powołania osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami Krajowego Systemu Cyberbezpieczeństwa, zaś w przypadku zajścia zmian dotyczących uznania podmiotu za operatora usługi kluczowej w państwach członkowskich Unii Europejskiej czy zakończenia pełnienia przez podmiot usługi kluczowej, osoby odpowiedzialnej za dostarczanie właściwemu organowi danej informacji, nie później niż w ciągu 3 miesięcy od wystąpienia wyżej wspomnianych zmian

? Zapewnienia użytkownikowi usługi kluczowej dostępu do informacji na temat zagrożeń cyberbezpieczeństwa poprzez publikowanie informacji na swojej stronie internetowej

? Obsługi incydentu oraz przekazania dostępu do informacji o rejestrowanych incydentach Właściwym zespołom reagowania na incydenty (do których należą CSIRT MON – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej, CSIRT NASK – prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy oraz CSIRT GOV – prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego)

? Powołania wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub zawarcia umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

W ciągu pół roku

Natomiast w terminie 6 miesięcy od otrzymania decyzji administracyjnej, na operatorze ciąży obowiązek:

? wdrożenia odpowiednich środków technicznych oraz organizacyjnych w tym także objęcie systemu wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym, czy zapewnienie pomieszczeń spełniających wymogi wynikające z rozporządzenia wykonawczego,

? uzyskiwania informacji o zagrożeniach i podatności na zagrożenia systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,

? stosowania wszelkich środków mających na celu zapobieżenie oraz ograniczenie wpływu incydentów na bezpieczeństwo systemu informacyjnego takich jak aktualizacja oprogramowania, ochrona przed nieuprawnioną modyfikacją oraz stosowanie środków zapewniających bezpieczną komunikację,

? tworzenia, aktualizacji oraz ustanowienia nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego. Co istotne, operator obowiązany jest przechowywać daną dokumentację przez co najmniej dwa lata od dnia jej wycofania lub zakończenia świadczenia usługi kluczowej.

Ponadto, w terminie 12 miesięcy od dnia doręczenia decyzji administracyjnej, na operatorze spoczywa obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego, który następnie powinien być powtarzany nie rzadziej niż raz na dwa lata.

Wykrycie incydentu

Ustawa wprowadza także rozgraniczenie incydentów, czyli wszelkich zdarzeń mogących wpłynąć niekorzystnie na cyberbezpieczeństwo, na incydenty poważne tzn. mogące wpłynąć na obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez operatora oraz incydenty krytyczne, wywołujące znaczną szkodę dla bezpieczeństwa, porządku publicznego, interesów międzynarodowych lub gospodarczych.

W sytuacji wykrycia incydentu, operator zobowiązany jest niezwłocznie, maksymalnie do 24h, zgłosić właściwemu zespołowi reagowania na incydenty (CSIRT MON, CSIRT NASK lub CSIRT GOV) fakt wystąpienia incydentu. Jeżeli wykryty incydent należy do kategorii incydentu poważnego lub incydentu krytycznego, operator zobowiązany będzie do przekazania wszelkich niezbędnych danych oraz dalszego współdziałania w zakresie obsługi incydentu (w tym także wykonywania czynności umożliwiających wykrywanie, rejestrowanie, analizowanie, klasyfikowanie) z poszczególnymi zespołami reagowania na Incydenty, natomiast po podjęciu działań naprawczych i ograniczeniu skutków, obowiązkiem operatora będzie zawiadomienie właściwego organu o usunięciu podatności na dalsze zagrożenia.

Są słone sankcje

Informacje na temat sankcji za niedopełnienie przez operatora usług kluczowych obowiązku wynikającego z ustawy oraz wysokości wynikającej z tego kary pieniężnej zostały zawarte w rozdziale 14 ustawy. Wynika z niej, iż najwyższe kary mogą dotknąć operatora w sytuacji nieprzeprowadzenia audytu lub niewykonania w wyznaczonym terminie zaleceń pokontrolnych określonych w art. 59 ust. 1 ustawy, dla których to kary mogą wynieść nawet do 200 tys. zł. W przypadku gdy OUK nie będzie systematycznie przeprowadzał szacowania ryzyka lub zarządzania ryzykiem wystąpienia incydentu, może ponieść karę pieniężną w wysokości do 150 tys. zł, natomiast w sytuacji niewdrożenia środków technicznych i organizacyjnych uwzględniających wymagania ustawy, karę do 100 tys. zł. Najniższe kary ustawodawca przewidział miedzy innymi w przypadku niewyznaczenia przez operatora osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami Krajowego Systemu Cyberbezpieczeństwa. W tym przypadku górną granicą kary jest kwota do 15 tys. zł., natomiast żadna z nałożonych kar, nie może być niższa niż tysiąc złotych. Należy też zwrócić szczególną uwagę, iż w przypadku stwierdzenia przez organ właściwy do spraw cyberbezpieczeństwa uporczywego naruszania przepisów, istnieje możliwość poniesienia przez operatora usług kluczowych kary w wysokości nawet miliona złotych. ?

Karolina Liwińska prawnik w APLaw

Przypominamy, że według informacji zamieszczonych na stronie internetowej Ministerstwa cyfryzacji, termin wyznaczenia OUK przez właściwe organy decyzją administracyjną upłynął 9 listopada 2018r. Był to ostateczny termin przekazania ministrowi cyfryzacji przez właściwe organy wniosków o wpisanie zidentyfikowanych operatorów do wykazu operatorów usług kluczowych. Minister Cyfryzacji zaś do 9 listopada miał przekazać Komisji Europejskiej informacje dotyczące wykazu usług kluczowych oraz liczby zidentyfikowanych operatorów. ?

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL