Bieżące działanie organizacji uzależnione jest od zewnętrznych usług i produktów ICT i skutkuje koniecznością przeprowadzenia oceny bezpieczeństwa łańcucha dostaw. Dlatego warto zwrócić uwagę, jakie kroki należ podjąć rozpoczynając taka ocenę. Ocena bezpieczeństwa to rozbudowany zakres zadań, na realizację których organizacja w pewnym zakresie nie ma wpływu, a które musi uwzględnić np. krajową lub unijną ocenę bezpieczeństwa łańcucha dostaw dokonywaną przez organy publiczne.
Regulacyjny labirynt
Uogólniając ocena bezpieczeństwa łańcucha dostaw ma być przeprowadzana w systemie zarządzania bezpieczeństwem informacji (SZBI). Celem wdrożenia SZBI jest m.in. zapewnienie bezpieczeństwa i ciągłość łańcucha dostaw produktów, usług i procesów ICT, od których zależy świadczenie usługi. SZBI ma uwzględniać związki pomiędzy bezpośrednim dostawcą a adresatami projektu UKSC tj.: podmiotem kluczowym lub ważnym.
Podmioty sektora publicznego zamiast SZBI maja stosować wymogi opisane w Załączniku nr 4 do projektu UKSC. Załącznik w kompleksowy sposób opisuje, jakie czynności podmiot publiczny powinien podjąć w zakresie zapewnienia bezpieczeństwa łańcucha dostaw.
„Ocena bezpieczeństwa to złożony zakres zadań, na realizację których organizacja nie ma wpływu, a które musi uwzględnić np. krajową lub unijną ocenę bezpieczeństwa łańcucha dostaw.” Zgodnie z art. 8 ust. 2 projektu UKSC ocena bezpieczeństwa łańcucha dostaw powinna uwzględnić:
- podatności związane z dostawcą sprzętu lub oprogramowania,
- ogólną jakość produktów, usług i procesów ICT pochodzących od dostawcy sprzętu lub oprogramowania,
- wynik unijnej skoordynowanej oceny bezpieczeństwa przeprowadzonej przez Grupę współpracy, o której mowa w art. 22 ust. 1 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. (NIS2),
- wynik krajowego postępowania w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka.
Jak rozumieć kryteria oceny?
Wykonanie oceny bezpieczeństwa łańcucha powinno obejmować kilka kroków. Po pierwsze, zbadać podatności związane z bezpośrednim dostawcą oprogramowania lub sprzętu. Biorąc pod uwagę cel i kontekst prac nad projektem UKSC, to można uznać, że chodzi o: identyfikację, analizę i ocenę ryzyka dotyczącą przeciwdziałania krytycznym zależnościom/vendor lock-in od danego dostawcy a także potencjalne zakłócenia dostaw, w szczególności w przypadku blokady technologicznej lub zależności od dostawcy. Problemem może być, ze ta ocena pokrywa się zakresem przedmiotowym z oceną administracyjną na poziomie unijnym i krajowym, co może prowadzić do odmiennych ocen dotyczących tego samego oprogramowania lub sprzętu.
Po drugie, ocena bezpieczeństwa powinna dotyczyć usługi produktu ICT. Definicja usługi ICT odwołuje się do unijnego Rozporządzenia 2019/881 z 17 kwietnia 2019 r. (akt o cyberbezpieczeństwie). Zgodnie z art. 3 pkt 13 aktu o cyberbezpieczeństwie „usługa ICT oznacza usługę polegającą w pełni lub głównie na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji za pośrednictwem sieci i systemów informatycznych”. Produkt ICT został zdefiniowany jako; (a) sieci łączności elektronicznej, (b) urządzenia, które wykonując program, dokonują automatycznego przetwarzania danych cyfrowych lub (c) dane cyfrowe przetwarzane w urządzeniach lub sieciach łączności.
Tak zdefiniowana usługa i produkt ICT odwołuje się do „cyfrowego” charakteru przedmiotu usługi i produktu. Czyli ocenie powinna podlegać usługa lub produkt o charakterze cyfrowym, który jest wykorzystywany w systemie informacyjnym podmiotu. Można zatem wnioskować, że usługi lub produkty bez cyfrowego charakteru nie powinny być brane pod uwagę w ocenie bezpieczeństwa łańcucha. Rozgraniczenie, czy usługa lub produkt polega ma cyfrowy charakter jest płynne, jednak warto pamiętać, że nie każdy element systemu informacyjnego powinien podlegać ocenie bezpieczeństwa łańcucha dostaw.
Po trzecie, ocena bezpieczeństwa powinna dotyczyć systemu informacyjnego, który jest wykorzystywany do realizacji głównych zadań adresata UKSC. Nie chodzi o każde zadanie lub usługę, ale taką która jest bezpośrednio powiązana z profilem gospodarczym lub zdaniem publicznym będącym podstawą objęcia obowiązkami UKSC.
Po czwarte, wdrożyć system zarządzania bezpieczeństwem informacji w swoich podstawowych systemach informacyjnych, a podmioty publiczne stosować Załącznik nr 4 do UKSC. Po piąte, uwzględnić ocenę dokonywaną przez organy publiczne na poziomie krajowym i unijnym. Warto zaznaczyć, że ocena na poziomie unijnym dotyczy bezpieczeństwa krytycznych łańcuchów dostaw, usług i produktów ICT, a na poziomie krajowym ocena dotyczy dostawcy. Projekt UKSC przewiduje uwzględnienie zarówno unijnej jak i krajowej oceny administracyjnej. Nie można wykluczyć, że ocena dokonana na poziomie krajowym będzie skutkowała zakazem korzystania lub zobowiązaniem do wycofania określonych usług lub produktów ICT, która na poziomie unijnym nie będą objęte takim zakazem. Z punktu widzenia polskich spółek działających w ramach grup kapitałowych może to stanowić operacyjną trudność biorąc pod uwagę centralizację procesu zakupowego. Warto się zastanowić, czy proponowane przepisy UKSC sprzyjają harmonizacji wymogów dotyczących cyberbezpieczeństwa w UE, co było jednym z ważniejszych celów opracowania Dyrektyw NIS2. Krajowa ocena w ramach UKSC powinna być uwzględniona przez podmioty finansowe, które podlegają obowiązkom unijnego Rozporządzenia 2022/2554 z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego z w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), co istotnie poszerza zakres stosowania Dyrektywy NIS2 na podmioty finansowe, które są objęte bezpośrednim stosowaniem Rozporządzenia DORA. Na etapie trwających prac legislacyjnych można rozważyć, czy krajowa ocena nie powinna uwzględnić oceny unijnej, tak aby uniknąć stosowania dwóch procedur w tym samym zakresie.
Komentarz
Zakończenie prac i ustalenie ostatecznego brzmienie ustawy o krajowym systemie bezpieczeństwa pozwoli określić zakres prac i koszty, związane z wdrożeniem wymogów UKSC, w tym w zakresie oceny i wyników oceny bezpieczeństwa łańcucha dostaw. Z projektu UKSC można wnioskować, że każda organizacja oceniając łańcuch dostaw powinna:
- określić, czy i jakie usługi i produkty ICT są wykorzystywane w jej najważniejszych systemach operacyjnych.
- ocenić podatności i jakość usług i produktów ICT
- ocenić samodzielnie podatności związane z dostawcą usług lub produktów ICT,
- uwzględnić unijną i krajową ocenę administracyjną usług lub produktów ICT.
Problematyczne może się okazać określenie, jakie produkty lub usługi powinny podlegać ocenie z uwagi na nieostre zdefiniowanie usługi i produktu ICT. Nie można wykluczyć, że podmiot inaczej zakwalifikuje usługę lub produkt niż organy publiczne. Dodatkowo unijna ocena usług lub produktu może być odmienna od krajowej. Biorąc pod uwagę wskazane niewiadome warto rozważyć uproszenie przepisów UKSC poprzez np. zharmonizowanie krajowej i unijnej oceny bezpieczeństwa - zwłaszcza mając na względzie szeroki zakres podmiotowy UKSC. UKSC obejmie podmioty, które nie dysponują doświadczeniem w zakresie zapewnienia zgodności regulacyjnej i wprowadzi dodatkowe wymogi w sektorze finansowym, które mogą się dublować z obowiązującymi regulacjami lub je poszerzać.