Dnia 28.08.2018 r. weszła w życie ustawa z dnia 5.07.2018 r. o krajowym systemie cyberbezpieczeństwa implementująca Dyrektywę 2016/1148(1). Jest ona pierwszym przekrojowym aktem prawnym, który bezpośrednio adresuje zadania oraz obowiązki, które muszą zostać podjęte w celu organizacji krajowego systemu cyberbezpieczeństwa. Zgodnie z jej założeniami w skład tego systemu wchodzić mają m.in. podmioty uznane za operatorów usług kluczowych oraz dostawcy usług cyfrowych.

Operatorzy usług kluczowych (OUK) to podmioty świadczące usługi o tzw. kluczowym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Zostaną nimi usługodawcy działający w sektorach: energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji oraz infrastruktury cyfrowej, wobec których właściwy organ wydał decyzję o uznaniu za operatora usług kluczowych. Wykaz OUK prowadzony będzie przez ministra właściwego do spraw informatyzacji. Podmioty uznane za OUK zobowiązane są do spełnienia obowiązków, które wynikają z Ustawy.

Trzy miesiące od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, OUK mają powołać wewnętrzne struktury lub podpisać umowy ze specjalistycznym podmiotem zewnętrznym, który świadczy usługi w zakresie cyberbezpieczeństwa. Niezbędne jest by wewnętrzna struktura organizacyjna lub podmiot świadczący wskazane usługi posiadały i utrzymywały System Zarządzania Bezpieczeństwem Informacji spełniający wymagania normy ISO 27001, a także zapewniały ciągłość działania usłudze reagowania na incydenty zgodnie z ISO 22301 oraz dysponowały odpowiednimi środkami umożliwiającymi skuteczną i bezpieczną realizację działań związanych z cyberbezpieczeństwem. Szczegółowe wymagania w tym obszarze znajdują się w rozporządzeniu Ministra Cyfryzacji z dnia 10 września 2018 r.(2) Drugim kluczowym aspektem efektywnego wdrożenia Ustawy jest podobnie jak w przypadku RODO(3), wdrożenie systemu szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem (gdzie ryzyko należy rozumieć jako zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo(4)). Przy ustanawianiu procesu zarządzania ryzykiem warto wziąć pod uwagę zasady i wytyczne określone w ISO 31000 (Zarządzanie ryzykiem) oraz ISO 27005 (Zarządzanie ryzykiem w bezpieczeństwie informacji). Również podobnie jak w przypadku RODO OUK muszą ustanowić i wdrożyć proces oraz narzędzia IT umożliwiające wykrywanie, zarządzanie i zgłaszanie incydentów w zależności od ich klasyfikacji do odpowiednich organów. W przypadku OUK będą to właściwe dla danego sektora CSIRT(5). Następnym obowiązkiem dla OUK jest zapewnienie użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami.

Sześć miesięcy OUK mają na wdrożenie adekwatnych zabezpieczeń do oszacowanego ryzyka wystąpienia incydentu z uwzględnieniem najnowszego stanu wiedzy. Oprócz zabezpieczeń technicznych i fizycznych OUK muszą opracować i wdrożyć niezbędną dokumentację, w szczególności dotyczącą Systemu Zarządzania Bezpieczeństwem Informacji spełniającego wymagania normy ISO 27001, Systemu Zarządzania Ciągłością Działania usługi kluczowej zgodnie z wymaganiami normy ISO 22301, ochrony infrastruktury oraz dokumentację techniczną systemu informacyjnego wykorzystywanego do świadczenia kluczowej usługi oraz innych zagadnień wynikających ze specyfiki świadczonej usługi kluczowej. Z obowiązku opracowania powyższej dokumentacji są zwolnione podmioty, które wchodzą w skład Infrastruktury Krytycznej, a ich zatwierdzony plan ochrony w zakresie cyberbezpieczeństwa obejmował system informacyjny wykorzystywany do świadczenia usługi kluczowej.

W terminie do roku OUK mają przeprowadzić audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, później audyt powinien być przeprowadzany co najmniej raz na 2 lata.

Dostawcy usług cyfrowych (DUC) są kolejnym rodzajem podmiotów wskazanym w Ustawie, które wejdą w skład krajowego systemu cyberbezpieczeństwa. DUC to podmioty świadczące usługi cyfrowe tj. usługi internetowych platform handlowych, przetwarzania w chmurze lub wyszukiwarek internetowych, z wyjątkiem małych i mikroprzedsiębiorstw(6). DUC podobnie jak OUK muszą posiadać procesy, polityki oraz narzędzia IT umożliwiające efektywne zarządzanie incydentami oraz ustanowić proces szacowania ryzyka bezpieczeństwa informacji i na tej podstawie dobrać adekwatne zabezpieczenia zapewniające poufność, integralność, dostępność oraz autentyczność przetwarzanych danych. W przypadku DUC konieczne jest odpowiednie zarządzanie ciągłością działania, co w praktyce może się wiązać z wdrożeniem System Zarządzania Ciągłością Działania zgodnego z ISO 22301 oraz ISO 24762 z uwzględnieniem krytycznych dostawców. Wszystkie powyższe działania muszą podlegać ciągłemu monitorowaniu, testowaniu i doskonaleniu. Szczegółowe wymagania dla DUC zostały określone w Rozporządzeniu wykonawczym Komisji (UE) 2018/151 z dnia 30.01.2018 r.

Wymagania stawiane operatorom usług kluczowych oraz dostawcom usług cyfrowych w wielu obszarach są zbieżne z wymaganiami wynikającymi z RODO, jak chociażby podejście do zabezpieczeń w oparciu o szacowanie ryzyka czy konieczność zarządzania incydentami i ich zgłaszania. Istotne jest, aby patrzeć na te obszary kompleksowo i maksymalnie wykorzystywać procedury i procesy, które już w organizacjach obowiązują. Niezbędne jest również korzystanie z wielu norm i standardów w szczególności ISO 31000, ISO 22301 oraz z grupy ISO 27000.

Ustawa o krajowym systemie cyberbezpieczeństwa to duże wyzwanie dla poszczególnych podmiotów z sektora prywatnego i publicznego, ale także szansa na sprawny przepływ informacji dotyczących zagrożeń, incydentów i rozwiązań które niewątpliwie pozytywnie wpłyną na obszar cyberbezpieczeństwa na poziomie krajowym.

Krajowy System Cyberbezpieczeństwa – infografika

 

 

Przypisy:

(1) Dyrektywa Parlamentu Europejskiego i Rady UE 2016/1148 z dnia 6.07.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, tzw. NIS (Network and Information Systems Directive).
(2) Rozporządzenie Ministra cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
(4) Cyberbezpieczeństwo – odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.
(5) Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (w zależności od sektorów CSIRT GOV; CSIRT MON; CSIRT NASK).
(6) Definicje przedsiębiorstw zostały określone w ustawie z dnia 6 marca 2018 r. Prawo przedsiębiorców.