ustawa o krajowym systemie cyberbezpieczeństwa

Cyberustawa, czyli Ustawa o Krajowym Systemie Cyberbezpieczeństwa

Audyty bezpieczeństwa, Incydenty bezpieczeństwa, Ochrona danych, Zarządzanie bezpieczeństwem

Ustawa o Krajowym Systemie Cyberbezpieczeństwa?

O zagrożeniach związanych z cyberprzestępczością i cyberterroryzmem mówi się ostatnio coraz częściej. Pierwszą falę wzmożonego zainteresowania zagadnieniami bezpieczeństwa komputerowego wywołało wejście w życie przepisów RODO. Od tego czasu minął już ponad rok, a bezpieczeństwo w dalszym ciągu wydaje się być jednym z popularniejszych zagadnień w branży IT. Pod koniec 2018 roku uwagę środowiska zwróciła bowiem tzw. „cyberustawa”, czyli Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Obejmuje ona swoim zakresem jedynie operatorów usług kluczowych z punktu widzenia państwa, więc nie budzi już takich emocji medialnych, jednak w sektorach gospodarki związanych z energetyką, transportem czy ochroną zdrowia jest to jeden z gorętszych tematów.

Czy Ustawa o Krajowym Systemie Cyberbezpieczeństwa jest potrzebna?

Trudno na tę chwilę przewidzieć realne efekty wejścia w życie nowych przepisów. Niezależnie jednak od tego, jakie one będą, na pewno są to zmiany konieczne. Warto przypomnieć, że już jakiś czas temu NATO uznało cyberprzestrzeń za jeden z obszarów prowadzenia działań bojowych, do którego obrony należy się przygotować. W efekcie tego na początku 2019 r. ogłoszono decyzję o powołaniu w Polsce Wojsk Obrony Cyberprzestrzeni. Że takie działania są konieczne mieliśmy się okazję przekonać chociażby przy okazji organizacji konferencji bliskowschodniej, która odbyła się w lutym 2019 w Warszawie. Niezadowoleni z jej organizacji irańscy hackerzy przypuścili zmasowany atak na około 90 portali rządowych. Przy okazji rykoszetem niejako dostało się wielu portalom informacyjnym i firmom prywatnym. Ataki siłowe na hasła do systemów CMS i podmiany stron www zakłóciły pracę wielu organizacji. Na tego typu zagrożenia zdecydowanie należy się przygotować pamiętając o tym, że ich skala mogłaby być o dużo większa, a skutki poważniejsze gdyby były elementem działań wojennych.

Kogo obowiązuje Ustawa o Krajowym Systemie Cyberbezpieczeństwa?

Do stosowania zawartych w ustawie przepisów zobligowane zostały dwa typy podmiotów:

  1. Operatorzy usług kluczowych, którzy zostają za takowych uznani w wyniku decyzji administracyjnej, jeżeli:
    • świadczą usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, zwaną dalej „usługą kluczową”, wymienioną w wykazie usług kluczowych;
    • świadczenie tej usługi kluczowej zależy od systemów informacyjnych;
    • incydent bezpieczeństwa miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.
  2. Dostawcy usług cyfrowych, czyli usług świadczonych drogą elektroniczną (w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną) będących internetową platformą handlową, wyszukiwarką internetową, lub usługą przetwarzania w chmurze. Przy czym jako internetową platformę handlową zdefiniowano „usługę, która umożliwia konsumentom lub przedsiębiorcom zawieranie umów z przedsiębiorcami drogą elektroniczną”.

Do pierwszej grupy zaliczane będą przede wszystkim podmioty należące do jednego z sektorów:

  • Energetyka (Energia elektryczna, Ropa naftowa, Gaz)
  • Transport (lotniczy, kolejowy, wodny, drogowy)
  • Bankowość i infrastruktura rynków finansowych
  • Służba zdrowia
  • Zaopatrzenie w wodę pitną i jej dystrybucja
  • Infrastruktura cyfrowa (DNS, IXP)

Decyzja o uznaniu za operatora usługi kluczowej podlega natychmiastowemu wykonaniu, co wiąże się z koniecznością spełnienia szeregu wymogów.

Obowiązki operatorów usług kluczowych

Poniżej zacytuję fragmenty artykułów definiujących najistotniejsze obowiązki operatorów usług kluczowych.

Art. 8. (w całości)

Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym, wykorzystywanym do świadczenia usługi kluczowej, zapewniający:

  1. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz
    zarządzanie ryzykiem wystąpienia incydentu;
  2. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków
    technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
    • utrzymanie i bezpieczną eksploatację systemu informacyjnego,
    • bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
    • bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi
      kluczowej,
    • wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających
      ciągłe i niezakłócone świadczenie usługi kluczowej oraz poufność, integralność,
      dostępność i autentyczność informacji,
    • objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi
      kluczowej systemem monitorowania w trybie ciągłym;
  3. zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty
    systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
  4. zarządzanie incydentami;
  5. stosowanie środków zapobiegających i ograniczających wpływ incydentów na
    bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi
    kluczowej, w tym:
    • stosowanie mechanizmów zapewniających poufność, integralność, dostępność
      i autentyczność danych przetwarzanych w systemie informacyjnym,
    • dbałość o aktualizację oprogramowania,
    • ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
    • niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń
      cyberbezpieczeństwa;
  6. stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację
    w ramach krajowego systemu cyberbezpieczeństwa.

Art. 9. (fragment)

  1. Operator usługi kluczowej:
    1. wyznacza osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
    2. zapewnia użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na
      zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji w tym zakresie na swojej stronie internetowej;

Art. 10. (fragment)

  1. Operator usługi kluczowej opracowuje, stosuje i aktualizuje dokumentację
    dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
  2. Operator usługi kluczowej jest obowiązany do ustanowienia nadzoru nad
    dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zapewniającego:
    1. dostępność dokumentów wyłącznie dla osób upoważnionych zgodnie z realizowanymi przez nie zadaniami;
    2. ochronę dokumentów przed niewłaściwym użyciem lub utratą integralności;
    3. oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w dokumentach.
  3. Operator usługi kluczowej przechowuje dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej przez co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi kluczowej.

Art. 11. (fragment)

  1. Operator usługi kluczowej:
    1. zapewnia obsługę incydentu;
    2. zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;
    3. klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za
      poważny;
    4. zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
    5. współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z  właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne
      dane, w tym dane osobowe;
    6. usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.

Art. 14. (fragment)

  1. Operator usługi kluczowej, w celu realizacji zadań, o których mowa w art. 8,
    art. 9, art. 10 ust. 1–3, art. 11 ust. 1–3, art. 12 oraz w art. 13, powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.
  2. Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za
    cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa są obowiązane:
    1. spełniać warunki organizacyjne i techniczne pozwalające na zapewnienie cyberbezpieczeństwa obsługiwanemu operatorowi usługi kluczowej;
    2. dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi;
    3. stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów.

Art. 15. (fragment)

  1. Operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie co
    najmniej raz na dwa lata audytu bezpieczeństwa systemu informacyjnego, wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej „audytem”.

Terminy obowiązujące w Ustawie o Krajowym Systemie Cyberbezpieczeństwa

Ustawodawca zdefiniował też precyzyjnie ile czasu mają operatorzy usług kluczowych na dostosowanie się do poszczególnych wymogów zawartych w ustawie. I tak:

  1. W ciągu 3 m-cy od wydania decyzji o uznaniu za operatora usługi kluczowej, operator taki powinien:
    • wdrożyć proces systematycznego szacowania ryzyka i zarządzania ryzykiem wystąpienia incydentu,
    • wdrożyć proces zarządzania incydentami obejmujący ich klasyfikację i zgłaszanie incydentów poważnych do odpowiedniego CSIRT nie później, niż w przeciągu 24 godzin od wykrycia,
    • wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
    • zapewnić użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na
      zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów
      zabezpieczania się przed tymi zagrożeniami, w szczególności przez publikowanie informacji w tym zakresie na swojej stronie internetowej,
    • w ramach koordynacji obsługi incydentu, na wniosek organu właściwego do spraw cyberbezpieczeństwa usuwać podatności, które doprowadziły do powstania incydentu poważnego, istotnego lub krytycznego,
    • powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.
  2. W ciągu 6 m-cy od wydania decyzji o uznaniu za operatora usługi kluczowej, operator taki powinien:
    • wdrożyć odpowiednie i proporcjonalne do oszacowanego ryzyka środki
      techniczne i organizacyjne (art. 8.2),
    • zbierać informacje o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty
      systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (art. 8.3),
    • stosować środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego (art. 8.5),
    • stosować środki łączności umożliwiające prawidłową i bezpieczną komunikację
      w ramach krajowego systemu cyberbezpieczeństwa (art. 8.6),
    • opracowuje dokumentację, ustanawia nadzór nad nią i przechowuje ją zgodnie z zapisami art. 10. ust. 1-3.
  3. W ciągu 12 m-cy od wydania decyzji o uznaniu za operatora usługi kluczowej, operator taki powinien:
    • wykonać audyt bezpieczeństwa systemu informacyjnego, o którym mowa w art. 15 ust. 1

Obowiązki dostawców usług cyfrowych

Również względem dostawców usług cyfrowych zdefiniowane zostały określone wymogi z zakresu cyberbezpieczeństwa. Poniżej wybór najistotniejszych artykułów:

Art. 17. (fragment)

2. Dostawca usługi cyfrowej podejmuje odpowiednie i proporcjonalne środki techniczne
i organizacyjne określone w rozporządzeniu wykonawczym 2018/151 w celu zarządzania
ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi
cyfrowej. Środki te zapewniają cyberbezpieczeństwo odpowiednie do istniejącego ryzyka
oraz uwzględniają:

  1. bezpieczeństwo systemów informacyjnych i obiektów;
  2. postępowanie w przypadku obsługi incydentu;
  3. zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej;
  4. monitorowanie, audyt i testowanie;
  5. najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi, o których
    mowa w rozporządzeniu wykonawczym 2018/151.

3. Dostawca usługi cyfrowej podejmuje środki zapobiegające i minimalizujące wpływ
incydentów na usługę cyfrową w celu zapewnienia ciągłości świadczenia tej usługi.

Art. 18. (fragment)

  1. Dostawca usługi cyfrowej:
    1. przeprowadza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów;
    2. zapewnia w niezbędnym zakresie dostęp do informacji dla właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV o incydentach zakwalifikowanych jako krytyczne przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;
    3. klasyfikuje incydent jako istotny;
    4. zgłasza incydent istotny niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
    5. zapewnia obsługę incydentu istotnego i incydentu krytycznego we współpracy
      z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne
      dane, w tym dane osobowe;
    6. usuwa podatności, o których mowa w art. 32 ust. 2;
    7. przekazuje operatorowi usługi kluczowej, który świadczy usługę kluczową za
      pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu
      mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora.

Kogo jeszcze obowiązuje Ustawa o Krajowym Systemie Cyberbezpieczeństwa?

Poza opisanymi wyżej operatorami usług kluczowych i dostawcami usług cyfrowych, w artykule 4. ustawy zdefiniowano szereg innych instytucji objętych jej zapisami:

Art. 4. Krajowy system cyberbezpieczeństwa obejmuje:

  1. operatorów usług kluczowych;
  2. dostawców usług cyfrowych;
  3. CSIRT MON;
  4. CSIRT NASK;
  5. CSIRT GOV;
  6. sektorowe zespoły cyberbezpieczeństwa;
  7. jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8 i 9 oraz 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077 oraz z 2018 r. poz. 62);
  8. instytuty badawcze;
  9. Narodowy Bank Polski;
  10. Bank Gospodarstwa Krajowego;
  11. Urząd Dozoru Technicznego;
  12. Polską Agencję Żeglugi Powietrznej;
  13. Polskie Centrum Akredytacji;
  14. Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;
  15. spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U.z 2017 r. poz. 827);
  16. podmioty świadczące usługi z zakresu cyberbezpieczeństwa;
  17. organy właściwe do spraw cyberbezpieczeństwa;
  18. Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa
  19. Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa
  20. Kolegium do Spraw Cyberbezpieczeństwa.

Aby doprecyzować punkt 7 (jednostki sektora finansów publicznych) sięgnijmy do wspomnianej ustawy o finansach publicznych. Wymienione w artykule 9. punkty 1-6, 8-9 oraz 11-12 to:

1) organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
2) jednostki samorządu terytorialnego oraz ich związki;
2a) związki metropolitalne;
3) jednostki budżetowe;
4) samorządowe zakłady budżetowe;
5) agencje wykonawcze;
6) instytucje gospodarki budżetowej;
[…]
8) Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz
Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez
Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;
9) Narodowy Fundusz Zdrowia;
[…]
11) uczelnie publiczne;
12) Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;

Obowiązki podmiotów publicznych

Wymienione powyżej w artykule 4. punkt 7-15 podmioty publiczne również obarczone zostały obowiązkami z zakresu cyberbezpieczeństwa. Ich zakres wymieniony został w przytoczonych poniżej dwóch artykułach:

Art. 21. (fragment)

  1. Podmiot publiczny, o którym mowa w art. 4 pkt 7–15, realizujący zadanie publiczne zależne od systemu informacyjnego jest obowiązany do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Art. 22. (fragment)

  1. Podmiot publiczny, o którym mowa w art. 4 pkt 7–15, realizujący zadanie
    publiczne zależne od systemu informacyjnego:

     

    1. zapewnia zarządzanie incydentem w podmiocie publicznym;
    2. zgłasza incydent w podmiocie publicznym niezwłocznie, nie później niż w ciągu
      24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub
      CSIRT GOV;
    3. zapewnia obsługę incydentu w podmiocie publicznym i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;
    4. zapewnia osobom, na rzecz których zadanie publiczne jest realizowane, dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami, w szczególności przez publikowanie informacji w tym zakresie na swojej stronie internetowej;
    5. przekazuje do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV dane osoby, o której mowa w art. 21, zawierające imię i nazwisko, numer telefonu, adres poczty elektronicznej, w terminie 14 dni od dnia jej wyznaczenia, a także informacje o zmianie tych danych w terminie 14 dni od dnia ich zmiany.

Co istotne, podmiot publiczny może również zostać uznany za operatora usługi kluczowej. Wówczas obowiązują go odpowiednio wszystkie opisane wcześniej wymogi względem tych operatorów.

Kary za niespełnienie wymogów Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Zarówno operatorzy usług kluczowych, jak i dostawcy usług cyfrowych mogą zostać ukarani za niedostosowanie się do przepisów ustawy. Kary za niedopełnienie poszczególnych obowiązków wynoszą od 15 000 do nawet 200 000 zł. Przy czym niektóre z nich mogą być naliczone za każdy stwierdzony przypadek, np. 20 000 zł za każdy niezgłoszony istotny incydent bezpieczeństwa.

Ponadto, jeżeli w wyniku kontroli organ właściwy stwierdzi, że operator usługi kluczowej bądź
dostawca usługi cyfrowej uporczywie narusza przepisy ustawy powodując:

  1. bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności,
    bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia
    ludzi,
  2. zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień
    w świadczeniu usług kluczowych

organ właściwy nakłada na niego karę w wysokości do 1 000 000 złotych.

Od czego zacząć?

Podmiotom, które zapisami ustawy zostały zobligowane do określonych działań z zakresu zarządzania bezpieczeństwem informacji pomóc mogą poniższe artykuły:

Analiza ryzyka – wspólny mianownik RODO, KRI i ISO 27001

Polityka bezpieczeństwa cz.2, klasyfikacja informacji i inwentaryzacja procesów.

Obsługa incydentu bezpieczeństwa, przygotowanie na incydent

System Zarządzania Bezpieczeństwem Informacji wg ISO 27001

Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

facebookObserwuj
TwitterObserwuj

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.