Rojszczak: Coraz mniej czasu na wdrożenie dyrektywy o cyberbezpieczeństwie

27 marca 2017, 07:30 Bezpieczeństwo
HakerKomputer

– Minął już ponad rok od lutego 2016 roku, gdy dowiedzieliśmy się o planowanym wprowadzeniu ustawy o krajowym systemie cyberbezpieczeństwa. W założeniu Ministerstwa Cyfryzacji akt ten miał służyć między innymi implementacji do krajowego porządku prawnego przygotowywanej od dłuższego czasu dyrektywy 2016/1148ii, znanej w literaturze przedmiotu jako dyrektywa NIS – mówi portalowi BiznesAlert.pl Marcin Rojszczak, wiceprezes firmy PBSG.

Ostatecznie dyrektywa została zatwierdzona 6 lipca ubiegłego roku i powinna zostać wdrożona przez państwa członkowskie do 10 maja 2018 roku. Celem nowych przepisów jest poprawa bezpieczeństwa infrastruktury krytycznej, czyli sieci i systemów informatycznych związanych ze świadczeniem usług kluczowych, takich jak na przykład zaopatrzenie ludności w media (energia elektryczna, gaz, woda), zapewnienie transportu (funkcjonowanie infrastruktury lotniskowej, kolejowej czy drogowej) lub dostępu do opieki zdrowotnej. Ponadto dyrektywa kierowana jest także do dostawców usług cyfrowych, takich jak operatorzy wyszukiwarek internetowych czy dostawcy usług przetwarzania danych w chmurze. W dużym uproszczeniu można zatem przyjąć, że zakres podmiotowy dyrektywy jest zbieżny z przepisami dotyczącymi ochrony infrastruktury krytycznej.

Zakres przedmiotowy dyrektywy można natomiast podzielić na dwa obszary. Pierwszy związany jest z powstaniem ram dla obszaru cyberbezpieczeństwa i obejmuje obowiązek opracowania i przyjęcia krajowej strategii w zakresie bezpieczeństwa systemów i sieci, a także wyznaczenie właściwego organu centralnego, który będzie pełnił funkcję koordynującą dla działań związanych z realizacją strategii. Drugi obszar obejmuje utworzenie hierarchicznej sieci CSIRT (Computer Security and Incident Response Team), czyli specjalizowanych zespołów odpowiedzialnych za identyfikację i reagowanie na incydenty związane z bezpieczeństwem IT. W tym zakresie dyrektywa promuje utworzenie wielopoziomowej struktury, w której wyodrębniony zostanie CSIRT krajowy (w Polsce stanie się nim prawdopodobnie utworzony w zeszłym roku i funkcjonujący w strukturach NASK zespół NC Cyberiii). Poza tym będą to zapewne branżowe zespoły CSIRT (np. związane z energetyką, sektorem finansowym itp.) oraz – w miarę potrzeb – zespoły CSIRT w najważniejszych firmach i instytucjach nadzorujących świadczenie usług kluczowych.

Ponieważ dyrektywa nie jest aktem stosowanym wprost, nakazuje państwom członkowskim osiągnięcie zakładanych celów, pozostawiając jednak dowolność co do doboru środków realizacji. Dlatego w dokumencie nie określono wykazu usług krytycznych. Wskazano jedynie rodzaje podmiotów oraz kryteria, jakimi należy się posłużyć w celu wyznaczenia przedsiębiorstw objętych regulacjami.

Podobnie nie określono umocowań sektorowych CSIRT, jak również regulacji związanych z powołaniem zakładowych CSIRT. W tym obszarze, co zrozumiałe, dyrektywa koncentruje się na określeniu zasad współpracy pomiędzy państwami w celu harmonizacji rynku wewnętrznego. Stąd brak krajowych przepisów implementujących dyrektywę uniemożliwia jej wdrożenie w sposób kompleksowy. Nie znając obowiązków, jakie przepisy krajowe nałożą na operatorów usług kluczowych, nie mają oni możliwości zaplanowania z odpowiednim wyprzedzeniem realizacji projektów wewnętrznych i podjęcia działań dostosowawczych, zwłaszcza w zakresie monitorowania i raportowania bezpieczeństwa środowiska IT.

Według informacji z października 2016 r., projekt ustawy miał trafić pod obrady rządu do marca 2017 r.iv. Niestety, nadal tak się nie stało, dlatego trudno mówić o systematycznych pracach wdrożeniowych związanych z budową i dostosowaniem obszaru cyberbezpieczeństwa Polski do wymagań dyrektywy NIS. Podejmowane są działania cząstkowe i wyrywkowe, które co prawda mogą przyczynić się do podniesienia bezpieczeństwa w niektórych obszarach funkcjonowania usług krytycznych, jednak z pewnością nie mają charakteru prac kompleksowych.

Za działanie takie można uznać opublikowany 1 marca 2017 r. przez Ministerstwo Cyfryzacji projekt Strategii Cyberbezpieczeństwa RP na lata 2017-2022v. Dokument ten nie trafił jeszcze pod obrady rządu, trudno zatem mówić o oczekiwanej dacie jego zatwierdzenia. Jeżeli chodzi o dyrektywę NIS, projektodawcy Strategii nie zaproponowali żadnych uszczegółowień czy wytycznych, które powinny być uwzględnione w przepisach rangi ustawowej. W tym obszarze rola Strategii została ograniczona do stwierdzenia, że dyrektywa NIS istnieje i powinna zostać wdrożona do krajowego porządku prawnego. Jak na sześć miesięcy prac koncepcyjnych w Ministerstwie i uzgodnień międzyresortowych, nie jest to efekt imponujący.

Dodatkowo niepokoi założenie przyjęte w Strategii wskazujące, że za przygotowanie propozycji zmian prawnych w zakresie cyberbezpieczeństwa w swych obszarach kompetencyjnych odpowiadają właściwi ministrowie. Brak dalszego wyjaśnienia uniemożliwia wskazanie, czy propozycja ta oznacza de facto decentralizację odpowiedzialności za obszar cyberbezpieczeństwa w Polsce (co samo w sobie może być niezgodne z motywami wprowadzenia dyrektywy NIS), czy może celem projektodawców Strategii było zaznaczenie, że poza przepisami ogólnymi polski prawodawca może stosować także przepisy uszczegółowiające obowiązki dla poszczególnych sektorów gospodarki w formie lex specialis (co z kolei wynika wprost z motywu 9 dyrektywy). Niestety, brak publikacji projektu ustawy o krajowym systemie cyberbezpieczeństwa uniemożliwia przeanalizowanie intencji autorów Strategii oraz sposobu rozwiązania wspomnianych wątpliwości.