Modzelewska: Cyberbezpieczeństwo przedsiębiorstw kluczowych (ANALIZA)

15 listopada 2017, 07:30 Bezpieczeństwo

Po nieco ponad 15-stu miesiącach od przyjęcia przez Parlament Europejski dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”), polskie Ministerstwo Cyfryzacji w dniu 02.11.2017 r. opublikowało projekt ustawy o krajowym systemie cyberbezpieczeństwa – Aleksandra Modzelewska, prawnik w Kancelarii Prawnej RKKW – KWAŚNICKI, WRÓBEL & Partnerzy.

Główne założeniu ustawy

Dyrektywa NIS nakłada na każde Państwo Członkowskie UE obowiązek wdrożenia na gruncie krajowym odpowiednich regulacji prawnych, gwarantujących osiągnięcie oraz zachowanie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych. Tego rodzaju zobowiązanie ma w polskim systemie prawnym realizować projektowana ustawa o krajowym systemie cyberbezpieczeństwa.

Przepisy krajowe powinny mieć na celu ochronę oraz zapewnienie nieprzerwanego i niezakłóconego świadczenia usług kluczowych dla sektora państwowego, jak również świadczenia usług cyfrowych obywatelom UE.

Krajowy system bezpieczeństwa

Powyższe założenia Dyrektywy NIS mają być urzeczywistnione między innymi dzięki odpowiednio zorganizowanej strukturze organizacyjnej jednostek publicznych i prywatnych. W tym celu Ministerstwo Cyfryzacji – na wzór Dyrektywy NIS – wprowadziło tzw. krajowy system bezpieczeństwa. Podmioty wchodzące w skład przedmiotowego systemu mają być odpowiedzialne za administrowanie cyberbezpieczeństwem oraz zarządzanie lub zapobieganie incydentom takimi jak zdarzenia cybernetyczne, zakłócające działania sieci lub systemów informatycznych.

Rzeczony krajowy system bezpieczeństwa ma obejmować między innymi niektóre jednostki władzy wykonawczej i sądowniczej (jak np. organy administracji rządowej, organy samorządu terytorialnego, sądy oraz trybunały), jednostki sektora finansów publicznych, przedsiębiorców telekomunikacyjnych, uczelnie publiczne, dostawców usług cyfrowych (np. wyszukiwarek internetowych, aplikacji chmurowych, itp.) a przede wszystkim operatorów usług kluczowych.

Operatorzy usług kluczowych

Należy bowiem wskazać, iż istotną z punktu widzenia gospodarki państwowej grupą podmiotów, które zgodnie z projektem ustawy mają wchodzić w skład krajowego systemu bezpieczeństwa, są właśnie operatorzy usług kluczowych, tj. usług o kluczowej roli w utrzymaniu działalności społecznej lub gospodarczej Państwa o znaczeniu instytucjonalnym.

Przedmiotowa kategoria usługodawców będzie więc dotyczyć przedsiębiorstw prowadzących działalność gospodarczą w sektorach (lub również podsektorach) priorytetowych dla gospodarki oraz współczesnego społeczeństwa, w tym przede wszystkim w bankowości i infrastrukturze rynków finansowych, energetyce, transporcie, infrastrukturze cyfrowej, zaopatrzeniu w wodę pitną i jej dystrybucji, czy też ochronie zdrowia. Dokładny wykaz usług kluczowych wynikać będzie z przepisów wykonawczych do ustawy.

Wymogi dla uzyskania statusu usługodawcy kluczowego

Co ważne, uzyskanie statusu operatora usług kluczowych przez przedsiębiorstwo, posiadające jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, będzie wymagało przeprowadzenia odpowiedniego postępowania administracyjnego, zakończonego wydaniem pozytywnej decyzji identyfikującej status danego usługodawcy jako „kluczowego”. Przedmiotowe, skądinąd deklaratoryjne, akty administracyjne mają być wydawane przez organy właściwe dla danego sektora, w którym działa zainteresowane przedsiębiorstwo.

Wydanie ww. decyzji w stosunku do danego operatora jest uwarunkowane wieloma czynnikami. Po pierwsze, poszczególni usługodawcy winni świadczyć usługi konieczne dla funkcjonowania społeczeństwa i gospodarki za pomocą systemów informatycznych. Po drugie, organ administracji, prowadząc postępowanie, powinien określić jaki skutek dla świadczenia usług kluczowych będzie miało wystąpienie po stronie danego operatora określonego rodzaju incydentów (zwykłych, poważnych lub krytycznych), zakłócających jego działalność. Sama decyzja, w projektowanym stanie prawnym, będzie mogła zostać wydana z urzędu bądź na wniosek zainteresowanego usługodawcy kluczowego.

Obowiązki operatorów usług kluczowych

Projekt ustawy formułuje również szeroki wachlarz zadań i obowiązków przedsiębiorstw, świadczących usługi kluczowe dla gospodarki, w zakresie bezpieczeństwa administrowanych przez nich sieci teleinformatycznych.

Operatorzy, w ramach prowadzonej działalności, będą także zobowiązani do wyznaczenia osoby odpowiedzialnej za utrzymanie, zarządzanie i obsługę bezpieczeństwa informacyjnego, jak również do ustanowienia odpowiednich struktur wewnętrznych, zapewniających odpowiedni poziom ochrony dla świadczonych usług kluczowych. Co więcej, projektowana ustawa wprowadza konieczność przeprowadzenia (co najmniej raz na dwa lata) w przedsiębiorstwie operatora stosownego audytu bezpieczeństwa informacyjnego, dokonywanego przez akredytowaną jednostkę.

Co najistotniejsze z punktu widzenia integralności najważniejszych sektorów gospodarki państwowej, na mocy postanowień Dyrektywy NIS oraz projektowanej ustawy, operatorzy usług kluczowych będą zobowiązani do identyfikacji i klasyfikacji wszelkich incydentów (zdarzeń cybernetycznych, zagrażających funkcjonowaniu sieci informatycznej danego przedsiębiorstwa). Operatorzy usług kluczowych będą również zobligowani do zgłaszania najpoważniejszych incydentów – w ciągu 24 godzin od momentu ich wykrycia – odpowiednim zespołom reagowania na incydenty komputerowe (CSIRTom).

Operatorzy będą także zobowiązani do wyznaczenia osoby odpowiedzialnej za utrzymanie, zarządzanie i obsługę bezpieczeństwa informacyjnego, jak również do ustanowienia odpowiednich struktur wewnętrznych, zapewniających odpowiedni poziom ochrony dla świadczonych usług kluczowych. Co więcej, projektowana ustawa wprowadza konieczność przeprowadzenia w przedsiębiorstwie operatora (co najmniej raz na dwa lata) stosownego audytu bezpieczeństwa informacyjnego, dokonywanego przez akredytowaną jednostkę.

Komentarz do projektu

Ustawa o krajowym systemie cyberbezpieczeństwa planowo powinna wejść w życie w maju 2018 roku. Co warte przypomnienia, w tym samym czasie zacznie obowiązywać unijne Rozporządzenie o ochronie danych osobowych (w skrócie RODO). Bez wątpienia obie regulacje prawne w swej istocie zmierzają do podniesienia poziomu bezpieczeństwa informacji – RODO do ochrony danych osobowych osób fizycznych, a dyrektywa NIS i krajowe ustawy implementujące do ochrony infrastruktury organizacyjno-technicznej, przy pomocy której dane osobowe mogą być przetwarzane.

Należy wskazać, iż tego rodzaju inicjatywa, z uwagi na rosnące zagrożenia cybernetyczne oraz ciągły rozwój cyberprzestępczości gospodarczej, jest niewątpliwie potrzebna. W obliczu potencjalnej wojny cybernetycznej, wszelkiego rodzaju incydenty, skierowane ku zakłóceniu działania przedsiębiorstw kluczowych dla sektorów gospodarki danego kraju, mogą doprowadzić nie tylko do kryzysu na szczeblu jednego państwa czy całej UE, lecz – z uwagi na transgraniczność niektórych usług kluczowych lub innych usług z nimi powiązanych – także do kryzysu międzynarodowego.

Projektowana ustawa nie wskazuje jednak konkretnych środków tak technicznych, jak i strukturalnych, dzięki którym będzie można zapobiegać incydentom bądź zarządzać bezpieczeństwem informacji. Operatorzy usług kluczowych (jak także usługodawcy cyfrowi), dążąc do osiągnięcia określonego w projekcie ustawy rezultatu, w postaci stosownego poziomu bezpieczeństwa, oraz do wykonywania ogólnie wskazanych obowiązków, będą zobowiązani do ciągłego rozwijania i wdrażania innowacyjnych środków oraz zabezpieczeń w odpowiedzi na coraz pojawiające się zagrożenia cybernetyczne.

Z drugiej strony, brak wskazania konkretnych środków technicznych może prowadzić do sytuacji, gdy przedsiębiorstwa sektorowe, kluczowe z punktu widzenia funkcjonowania całej gospodarki, nie mając odpowiedniego zaplecza instytucjonalno-technicznego, będą wdrażały środki ochronne nieproporcjonalne i nieadekwatne w stosunku do potencjalnych niebezpieczeństw. Stąd też, powodzenie projektu ustawy będzie w dużej mierze zależeć nie tyle od samej jej treści, co wypracowanej praktyki, jak również przyjętej przez polski rząd strategii cyberbezpieczeństwa krajowego.