Wyzwania właściwe dla cyberbezpieczeństwa nie omijają sektora przestrzeni kosmicznej, co zostało zauważone w trakcie prac nad dyrektywą NIS2. Na RCL został opublikowany projekt ustawy implementujący tę dyrektywę (projekt z 23.04.2024 r.).

W istotnym zakresie ma ona zmienić ustawę o krajowym systemie cyberbezpieczeństwa z 2018 r. (u.k.s.c.). Z wielu regulacji wymagających omówienia, warto wybrać te, które mogą wpłynąć na działalność niektórych podmiotów polskiego sektora kosmicznego (jednego z najbardziej innowacyjnych sektorów polskiej gospodarki).

Operator infrastruktury naziemnej

Analizę należy rozpocząć “od końca”, tzn. od projektowanego załącznika nr 1 do u.k.s.c. Ma on określać podmioty kluczowe w rozumieniu tej ustawy, a w zasadzie cześć przesłanek, których ziszczenie się jest konieczne dla uznania określonej osoby za podmiot kluczowy (pozostałe zostaną określone głównie w art. 5 i n. u.k.s.c.). Podmiotem kluczowym będzie m.in. “operator infrastruktury naziemnej, który wspiera świadczenie usług kosmicznych, z wyjątkiem przedsiębiorców komunikacji elektronicznej”. Projekt nie daje wskazówek co do znaczenia zasadniczej części tego pojęcia, tj. (“operatora infrastruktury naziemnej, który wspiera świadczenie usług kosmicznych”.

Podkreślić należy, że takiego wyrażenia nie obejmowały projekty ustawy o działalności kosmicznej, które do tej pory trafiły do konsultacji publicznych (lada moment trafi do nich kolejna wersja projektu tej ustawy). Pojawiał się w nich “operator”, ale w kontekście “działalności kosmicznej”, przez którą należało rozumieć aktywność z obszaru tzw. midstream (co do zasady wynoszenie obiektów kosmicznych – głównie satelitów – w kosmos i operowanie tam nimi). “Operator infrastruktury naziemnej, który wspiera świadczenie usług kosmicznych” to tymczasem podmiot “reprezentujący” segment tzw. downstream. W projektach ustawy o działalności kosmicznej nie było również mowy o “usługach kosmicznych”, lecz o wspomnianej już “działalności kosmicznej”. Wydaje się, że w szczególności chodzi tu o usługi z zakresu nawigacji, telekomunikacji oraz teledetekcji satelitarnej.

Co do “infrastruktury naziemnej”, wsparcia interpretacyjnego dostarcza dyrektywa NIS2, która w załączniku nr 1 “Sektory kluczowe” precyzuje, że może to być infrastruktura naziemna należąca, zarządzana i obsługiwana przez państwa członkowskie lub podmioty prywatne. Za infrastrukturę naziemną będzie można zatem uznać np. Centrum Operacyjne, którego powstanie przewiduje, przyjęty przez MRiT w sierpniu 2023 r., tzw. mały Krajowy Program Kosmiczny na lata 2023–2027. W końcu omawiane pojęcie można także dookreślić w sposób negatywny, ponieważ z jego zakresu został wyłączony “przedsiębiorca komunikacji elektronicznej” (zdefiniowany w przedmiotowym projekcie). Jest nim przedsiębiorca telekomunikacyjny (art. 2 pkt 27 pr. telekomunikacyjnego z 2004 r.) lub podmiot świadczący usługę komunikacji interpersonalnej niewykorzystującej numerów.

Omówienia wymagają również obowiązki prawne, które zostaną nałożone na omawianego operatora jako na podmiot kluczowy lub ważny.

Przestrzeń kosmiczna jako jeden z sektorów kluczowych

Przestrzeń kosmiczna została uznana za tzw. "sektor kluczowy", czyli jeden z tych elementów gospodarki, który ma najistotniejsze znaczenie z punktu widzenia cyberbezpieczeństwa. W praktyce oznacza to, że operatorzy infrastruktury naziemnej, którzy wspierają świadczenie usług kosmicznych zostaną uznani:

  • za podmioty ważne – jeżeli spełniają warunki uznania ich za średnie przedsiębiorstwo (tj. zatrudniają nie więcej niż 250 pracowników i mają obrót nieprzekraczający 50 mln EUR oraz całkowity bilans roczny wynoszący nie więcej niż 43 mln EUR),
  • za podmioty kluczowe – jeżeli przewyższają warunki uznania ich za średnie przedsiębiorstwo (innymi słowy, gdy są tzw. przedsiębiorstwem dużym).

Z obowiązku stosowania przepisów znowelizowanej u.k.s.c. zwolnione zostaną natomiast podmioty będące mikroprzedsiębiorcami oraz małymi przedsiębiorcami – chyba że zostanie wobec nich wydana odrębna decyzja administracyjna, uznająca ich za podmiot kluczowy lub ważny.

Podmioty kluczowe oraz ważne będą musiały spełnić szereg obowiązków, mających na celu zapewnienie odpowiednio wysokiego poziomu odporności na zagrożenia cybernetyczne. Zakładają one wdrożenie systemu zarządzania bezpieczeństwem informacji w odniesieniu do procesów związanych z usługami kluczowymi. Powinien on obejmować m.in.:

  • systematyczne szacowanie ryzyka wystąpienia incydentów z zakresu cyberbezpieczeństwa oraz zarządzanie tym ryzykiem,
  • wdrażanie, odpowiednich do oszacowanego ryzyka, środków bezpieczeństwa informacji, uwzględniających najnowszy stan wiedzy, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, koszty wdrożenia oraz narażenie podmiotu na ryzyka,
  • zbieranie informacji o cyberzagrożeniach,
  • stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemów służących do świadczenia usług kluczowych.

Incydenty z zakresu cyberbezpieczeństwa

Znowelizowane przepisy nakładają również obowiązki związane z zarządzaniem incydentami z zakresu cyberbezpieczeństwa. Podmioty kluczowe i ważne będą zobowiązane do zgłaszania ostrzeżeń o incydentach do właściwego CSIRT (Zespółu Reagowania na Incydenty Bezpieczeństwa Komputerowego) w czasie 24 godzin od ich wykrycia. Bardziej szczegółowa informacja o incydencie powinna być przekazana w terminie 72 godzin od momentu jego wykrycia. Sam incydent jest definiowany jako "zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych".

Uznanie przestrzeni kosmicznej za jeden z sektorów kluczowych świadczy o poważnym potraktowaniu “tej sfery” pod kątem bezpieczeństwa cybernetycznego, na poziomie UE. Oznacza to konieczność zapewnienia odpowiednio wysokiego poziomu cyberbezpieczeństwa przez niektóre polskie podmioty publiczne i prywatne (w tym przedsiębiorców), realizujące działania w segmencie downstream polskiego sektora kosmicznego. Polska powinna implementować treść dyrektywy NIS2 do krajowego porządku prawnego, a tym samym przyjąć przepisy nowelizujące u.k.s.c., do października 2024 r. Sama ustawa wejdzie w życie w terminie 1 miesiąca od dnia jej ogłoszenia w dzienniku ustaw, co oznacza, że podmioty ważne i kluczowe będą musiały sprawnie przeprowadzić proces dostosowania się do nowych przepisów.

Mariusz T. Kłoda – Wydział Prawa i Administracji UMK w Toruniu, Ad Astra. Center for Space Policy and Law
ikona lupy />
GazetaPrawna.pl
Michał Nosowski – radca prawny, partner w kancelarii Bytelaw Nosowski i Lewańska Radcowie prawni sp. p.
ikona lupy />
GazetaPrawna.pl