Ustawa o Krajowym Systemie Cyberbezpieczeństwa – co nowego przynosi

06.02.2019 4 minuty na przeczytanie artykułu
Akademia Bezpieczeństwa Ekonomiczno-Prawnego

Ostatni okres to czas wejścia w życie kilku niezwykle ważnych, z perspektywy ochrony danych osobowych i bezpieczeństwa cyfrowego, aktów prawnych. Obok oczywiście RODO i skorelowanej z nim nowej ustawy o ochronie danych osobowych, 5 lipca 2018 r. została uchwalona przez Sejm RP Ustawa o krajowym systemie cyberbezpieczeństwa (Dz. U. 2018 poz. 1560).

Sama ustawa jest szalenie istotna, ponieważ praktycznie po raz pierwszy ustanowienia w założeniu spójny i kompletny krajowy systemu cyberbezpieczeństwa. Tym samym po raz pierwszy ustawodawca zobowiązał szereg niezwykle istotnych z perspektywy bezpieczeństwa cyfrowego podmiotów do współudziału w zapewnieniu niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcia odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług[1]. Dzisiaj krótko o kilku najważniejszych postanowieniach powyższej ustawy.

Zakres przedmiotowy ustawy i cele krajowego systemy bezpieczeństwa

Zgodnie z art. 3 ustawy — krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi wszelkich incydentów naruszenia owego bezpieczeństwa.  Tak ogólnie zarysowane cele mają zostać osiągnięte poprzez określenie:

  • organizacji krajowego systemu cyberbezpieczeństwa oraz zadań i obowiązków podmiotów wchodzących w skład tego systemu;
  • sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy;
  • zakresu Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Skład krajowego systemu cyberbezpieczeństwa

Krajowym systemem cyberbezpieczeństwa objętych zostało 20 podmiotów, spośród których najważniejsze to, m.in.: operatorzy usług kluczowych oraz dostawcy usług cyfrowych, którzy jako podmioty na co dzień świadczące usługi najbardziej narażone na incydenty naruszenia bezpieczeństwa cyfrowego, będą musiały podjąć największy wysiłek w spełnieniu szeregu nowych obowiązków. Obok nich ustawa przewiduje także, iż uczestnikami systemu będą także sektorowe zespoły cyberbezpieczeństwa; szereg jednostek sektora finansów publicznych, instytuty badawcze; Narodowy Bank Polski; podmioty świadczące usługi z zakresu cyberbezpieczeństwa; organy właściwe do spraw cyberbezpieczeństwa; Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa; Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa, Kolegium do Spraw Cyberbezpieczeństwa.

Ustanowienie krajowego systemu cyberbezpieczeństwa z uwzględnieniem wskazanych podmiotów, ma w założeniu — podnieść odporność kluczowych usług świadczonych z wykorzystaniem technologii informacyjnych na ataki pochodzące z cyberprzestrzeni oraz przyczynić się do lepszego zapewnienia ciągłości działania tych usług, tak, aby zarówno obywatele, jak i przedsiębiorcy mieli do nich stały dostęp[2]. Czas pokaże czy uda nam się to osiągnąć.

Operatorzy usług kluczowych

Pod enigmatycznym pojęciem operatorów usług kluczowych mieszczą się przedsiębiorstwa bądź podmioty publiczne należące do jednego z określonych sektorów (energia, transport, bankowość i infrastruktura rynków finansowych, zaopatrzenie w wodę pitną i jej dystrybucja, ochrona zdrowia, infrastruktura cyfrowa), które świadczą usługę wymienioną w wykazie usług kluczowych. Jej świadczenie zależy od systemów teleinformatycznych, a potencjalny incydent rozumiany, jako zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo, miałby istotny skutek zakłócający dla jej świadczenia[3].

Co najistotniejsze, na podmioty, wobec których zostanie wydana decyzja o uznaniu za operatora usługi kluczowej, ustawa nakłada szereg obowiązków zmierzających zasadniczo do maksymalnego zminimalizowania ryzyka wystąpienia wszelkich incydentów naruszenia bezpieczeństwa cyfrowego oraz wypracowania niezbędnych mechanizmów reagowania w obliczu ich wystąpienia. Owe obowiązki składają się przede wszystkim na:

  • obowiązek wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej;
  • obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów
    z podmiotami krajowego systemu cyberbezpieczeństwa oraz obowiązek zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy w zakresie zagrożeń cyberbezpieczeństwa;
  • obowiązek opracowania, wdrożenia i aktualizacji dokumentacji cyberbezpieczeństwa i systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
  • obowiązek obsługi incydentów, zgłaszania incydentów poważnych i współdziałania przy obsłudze incydentu poważnego i incydentu krytycznego;
  • powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa;
  • audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

Dostawcy usług cyfrowych

Drugą grupą najważniejszych uczestników krajowego systemu cyberbezpieczeństwa są dostawcy usługi cyfrowej, w których katalogu ustawodawca zamieścił:

  • internetową platformę handlową (zawieranie umów drogą elektroniczną z przedsiębiorcami na stronie internetowej platformy handlowej albo na stronie internetowej przedsiębiorcy, który korzysta z usług świadczonych przez internetową platformę handlową.);
  • przetwarzanie w chmurze (dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników);
  • wyszukiwarka internetowa (wyszukiwanie wszystkich stron internetowych lub stron internetowych w danym języku za pomocą zapytania przez podanie słowa kluczowego, wyrażenia lub innego elementu, przedstawiającą w wyniku odnośniki, odnoszące się do informacji związanych
    z zapytaniem).

Dostawcy usług cyfrowych bardzo często świadczą swoją pracę na rzecz operatorów usługi kluczowej, stąd obowiązki na nich nałożone będą bardzo zbliżone i skupiające się przede wszystkim na przeprowadzaniu czynności umożliwiających wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie wszelkich incydentów.

Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej

Warto jeszcze wspomnieć, że Rada Ministrów w drodze uchwały ma za zadanie przyjąć niezwykle ważny dokument, jakim jest Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Określać ma ona cele strategiczne oraz odpowiednie środki polityczne i regulacyjne, zmierzające do osiągnięcia i utrzymania wysokiego poziomu cyberbezpieczeństwa. Strategia ma być podstawowym źródłem określającym długoterminowe priorytety w zakresie cyberbezpieczeństwa. Ponadto ma przewidywać, m.in.  podmioty zaangażowane w jej wdrażanie i realizację, środki służące realizacji jej celów, środki w zakresie gotowości, reagowania i przywracania stanu normalnego, w tym zasady współpracy pomiędzy sektorami publicznym
i prywatnym. Strategia ma też uwzględniać podejście do oceny ryzyka, działania odnoszące się do programów edukacyjnych, informacyjnych i szkoleniowych dotyczących cyberbezpieczeństwa, działania odnoszące się do planów badawczo-rozwojowych w zakresie cyberbezpieczeństwa.

 

[1] https://legislacja.rcl.gov.pl/docs//2/12304650/12466702/12466703/dokument314512.pdf

[2] Ibid.

[3] ibid

Współfinansowane ze środków Fundacji PZU

Program dofinansowany ze środków Programu Fundusz Inicjatyw Obywatelskich 2018