Dnia 28.08.2018 r. weszła w życie ustawa z dnia 5.07.2018 r. o krajowym systemie cyberbezpieczeństwa implementująca Dyrektywę 2016/1148 . Nie jest to pierwsza próba zmierzenia się z obszarem cyberbezpieczeństwa państwa w obszarze legislacyjnym. Wcześniejsze prace Ministerstwa Cyfryzacji zaowocowały powstaniem w 2017 r. Krajowych Ram Polityki Cyberbezpieczeństwa oraz Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022.

Dokumenty te przedstawiały strategiczny kierunek dla administracji rządowej w tych obszarach. Ustawa o krajowym systemie cyberbezpieczeństwa jest jednak pierwszym przekrojowym aktem prawnym, który bezpośrednio adresuje zadania oraz obowiązki, które muszą zostać podjęte w celu organizacji krajowego systemu cyberbezpieczeństwa. Zgodnie z jej założeniami w skład tego systemu wchodzić mają m.in. podmioty uznane za operatorów usług kluczowych oraz dostawcy usług cyfrowych.

Operatorzy usług kluczowych (OUK) to podmioty świadczące usługi o tzw. kluczowym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Zostaną nimi usługodawcy działający w sektorach: energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji oraz infrastruktury cyfrowej, wobec których organ właściwy wyda decyzję o uznaniu za operatora usług kluczowych. Wykaz OUK prowadzony będzie przez ministra właściwego do spraw informatyzacji. Aby podmiot został wpisany na listę, musi świadczyć usługę kluczową w co najmniej jednym z powyższych sektorów, świadczenie usługi musi być uzależnione od systemów informacyjnych oraz potencjalny incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Wpis do wykazu operatorów usług kluczowych (lub też jego wykreślenie) odbywać się będzie na wniosek organu właściwego do spraw cyberbezpieczeństwa. Organy te do 9 listopada 2018 r. zobligowane są do wydania decyzji o uznaniu danego podmiotu za operatora usługi kluczowej.

Paweł Ornoch, JT Weston / Media

Podmioty uznane za OUK zobowiązane są do spełnienia w określonym czasie obowiązków, które wynikają z Ustawy.

Trzy miesiące od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, OUK mają powołać wewnętrzne struktury lub podpisać umowy ze specjalistycznym podmiotem zewnętrznym, który świadczy usługi w zakresie cyberbezpieczeństwa. Niezależnie od sposobu wywiązania się z powyższego obowiązku niezbędne jest by wewnętrzna struktura organizacyjna lub podmiot świadczący wskazane usługi posiadały i utrzymywały System Zarządzania Bezpieczeństwem Informacji spełniający wymagania normy ISO 27001, a także zapewniały ciągłość działania usłudze reagowania na incydenty zgodnie z ISO 22301 oraz dysponowały odpowiednimi środkami umożliwiającymi skuteczną i bezpieczną realizację działań związanych z cyberbezpieczeństwem. Szczegółowe wymagania w tym obszarze znajdują się w rozporządzeniu Ministra Cyfryzacji z dnia 10 września 2018 r. Drugim kluczowym aspektem efektywnego wdrożenia Ustawy jest podobnie jak w przypadku RODO , wdrożenie systemu szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem (gdzie ryzyko należy rozumieć jako zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo ). Przy ustanawianiu procesu zarządzania ryzykiem warto wziąć pod uwagę zasady i wytyczne określone w ISO 31000 (Zarządzanie ryzykiem) oraz ISO 27005 (Zarządzanie ryzykiem w bezpieczeństwie informacji). Również podobnie jak w przypadku RODO OUK muszą ustanowić i wdrożyć proces oraz narzędzia IT umożliwiające wykrywanie, zarządzanie i zgłaszanie incydentów w zależności od ich klasyfikacji do odpowiednich organów. W przypadku OUK będą to właściwe dla danego sektora CSIRT . Następnym obowiązkiem dla OUK jest zapewnienie użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności poprzez zawarcie odpowiednich informacji na swojej stronie WWW.

Sześć miesięcy OUK mają na wdrożenie adekwatnych zabezpieczeń do oszacowanego ryzyka wystąpienia incydentu z uwzględnieniem najnowszego stanu wiedzy. We wdrożonych zabezpieczeniach nie może zabraknąć narzędzi IT umożliwiających szybkie wykrywanie zagrożeń i podatności. Oprócz zabezpieczeń technicznych i fizycznych OUK muszą opracować i wdrożyć niezbędną dokumentację. Zgodnie z Rozporządzeniem Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej będzie to w szczególności dokumentacja dotycząca Systemu Zarządzania Bezpieczeństwem Informacji spełniającego wymagania normy ISO 27001, Systemu Zarządzania Ciągłością Działania usługi kluczowej zgodnie z wymaganiami normy ISO 22301, ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa, technicznej systemu informacyjnego wykorzystywanego do świadczenia kluczowej usługi oraz innych zagadnień wynikających ze specyfiki świadczonej usługi kluczowej. Z obowiązku opracowania powyższej dokumentacji są zwolnione podmioty, które wchodzą w skład Infrastruktury Krytycznej, a ich zatwierdzony plan ochrony w zakresie cyberbezpieczeństwa obejmował system informacyjny wykorzystywany do świadczenia usługi kluczowej.

W terminie do roku OUK mają przeprowadzić audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, później audyt powinien być przeprowadzany co najmniej raz na 2 lata.

Dostawcy usług cyfrowych (DUC) są kolejnym rodzajem podmiotów wskazanym w Ustawie, które wejdą w skład krajowego systemu cyberbezpieczeństwa. DUC to podmioty świadczące usługi cyfrowe tj. usługi internetowych platform handlowych, przetwarzania w chmurze lub wyszukiwarek internetowych, z wyjątkiem małych i mikroprzedsiębiorstw . DUC podobnie jak OUK muszą posiadać procesy, polityki oraz narzędzia IT umożliwiające efektywne zarządzanie incydentami oraz ustanowić proces szacowania ryzyka bezpieczeństwa informacji i na tej podstawie dobrać adekwatne zabezpieczenia zapewniające poufność, integralność, dostępność i autentyczność przetwarzanych danych. W przypadku DUC konieczne jest odpowiednie zarządzanie ciągłością działania, co w praktyce może się wiązać z wdrożeniem System Zarządzania Ciągłością Działania zgodnego z ISO 22301 oraz ISO 24762 z uwzględnieniem krytycznych dostawców. Wszystkie powyższe działania muszą podlegać ciągłemu monitorowaniu, testowaniu i doskonaleniu. Szczegółowe wymagania dla DUC zostały określone w Rozporządzeniu wykonawczym Komisji (UE) 2018/151 z dnia 30.01.2018 r.

Wymagania stawiane operatorom usług kluczowych oraz dostawcom usług cyfrowych w wielu obszarach są zbieżne z wymaganiami wynikającymi z RODO jak chociażby podejście do zabezpieczeń w oparciu o szacowanie ryzyka czy konieczność zarządzania i zgłaszania incydentów. W związku z tym istotne jest aby patrzeć na te obszary kompleksowo i maksymalnie wykorzystywać procedury i procesy, które już w organizacjach obowiązują. Niezbędne również będzie korzystanie z wielu norm i standardów w szczególności ISO 31000, ISO 22301 oraz z grupy ISO 27000.

Ustawa o krajowym systemie cyberbezpieczeństwa to duże wyzwanie dla poszczególnych podmiotów z sektora prywatnego i publicznego, ale także szansa na sprawny przepływ informacji dotyczących zagrożeń, incydentów i rozwiązań które niewątpliwie pozytywnie wpłyną na obszar cyberbezpieczeństwa na poziomie krajowym.

Paweł Ornoch, Senior Manager, JT Weston sp. z o.o