Dyrektywa NIS - cyberustawa

Kto jest adresatem ustawy?

Cyberustawa wiąże nie tylko organy i instytucje publiczne,
ale także m.in.
A. operatorów usług kluczowych,
B. dostawców usług cyfrowych,
C. spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej,
D. podmioty świadczące usługi z zakresu cyberbezpieczeństwa.

 

A. O uznaniu za operatora usługi kluczowej decyduje organ właściwego do spraw cyberbezpieczeństwa  (jest nim minister właściwy danemu sektorowi). Jako adresatów takich decyzji, załącznik 1 do cyberustawy wskazuje m.in. podmioty prowadzące działalność wydobywczą, podmioty dostarczające energię elektryczną, ciepło, czy ropę naftową, a także podmioty z sektora transportowego, finansowego, ochrony zdrowia, wodociągów i infrastruktury cyfrowej.

Podmioty te uznaje się za operatorów usług kluczowych, jeśli świadczenie przez nie usług kluczowych zależy od systemów informatycznych, a incydent miałby istotny skutek zakłócający dla świadczenia takich usług. Szczegółowo kwestie te reguluje rozporządzenie Rady Ministrów z 11.09.2018 r. ws. wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Ponieważ pierwsze decyzje zostały już podjęte, Minister Cyfryzacji powinien wkrótce opublikować wykaz operatorów usług kluczowych, czego wymaga art. 7 ust. 1 cyberustawy.

B. Dostawcą usługi cyfrowej jest podmiot świadczący usługę cyfrową, tj. usługę świadczoną drogą elektroniczną w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Do grona dostawców usług cyfrowych w rozumieniu cyberustawy nie zalicza się jednak mikroprzedsiębiorców i małych przedsiębiorców w rozumieniu ustawy Prawo przedsiębiorców, a więc zasadniczo – podmiotów zatrudniających mniej niż 50 pracowników, o obrotach i aktywach mniejszych niż 10 mln euro.

C.

Spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej są adresatami ustawy o krajowym systemie cyberbezpieczeństwa, jeśli świadczą usługi, których celem jest bieżące
i nieprzerwane zaspokajanie zbiorowych potrzeb ludności w drodze świadczenia usług powszechnie dostępnych.

D. Aby zrealizować swoje obowiązki, operator usługi kluczowej może albo powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo, albo zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, W obu przypadkach, cyberustawa stawia dodatkowe wymogi, szczegółowo określone w rozporządzeniu Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.

Na czym polegają nowe obowiązki?

Operator usługi kluczowej jest zobowiązany:

• Systematycznie szacować ryzyko incydentu i zarządzać tym ryzykiem.
• Wdrożyć środki organizacyjne i techniczne, które odpowiadają i są proporcjonalne do oszacowanego ryzyka.
• Zbierać informacje o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
• Zarządzać incydentami, w tym w ciągu 24 godz. od wykrycia zgłaszać poważne i krytyczne incydenty właściwym organom i współpracować z nimi. W toku jest projekt rozporządzenia Rady Ministrów
  w sprawie progów uznania incydentu za poważny.
• Zapobiegać i ograniczać wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
• Zapewnić prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa oraz przekazywać właściwemu organowi dane wymagane cyberustawą.
• Wdrożyć dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, a także nadzorować jej stosowanie i aktualizację.
• Powołać wewnętrzne struktury odpowiedzialne za za cyberbezpieczeństwo, albo zawrzeć umowę
  z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, o czym pisaliśmy powyżej.
• Zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
• Wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz zgłosić ją do właściwych organów.
• Zapewnić użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej.

Dostawcy usług cyfrowych są zobowiązani:

• Zarządzać ryzykiem dla systemów informatycznych, stosując środki odpowiadające temu ryzyku, uwzględniające bezpieczeństwo systemów informacyjnych i obiektów; postępowanie w przypadku obsługi incydentu; zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej; monitorowanie, audyt i testowanie; najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi, określonymi w rozporządzeniu wykonawczym Komisji (UE) 2018/151.
• Zarządzać incydentami, w tym ciągu 24 godzin od momentu wykrycia i zgłaszać istotne incydenty właściwym organom i współpracować z nimi.
• Przekazywać operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora.

Analogiczne obowiązki zostały nałożone na podmioty publiczne. Szczególna rola przypada trzem zespołom, które wspólnie z organami właściwymi ds. cyberbezpieczeństwa (ministrami) zapewniają spójny i kompletny system zarządzania ryzykiem na poziomie krajowym. Są to:

• CSIRT GOV - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego.
• CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej.
• CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy.

Cyberustawa a RODO – czy można powiązać wdrożenia?

Ustawa o krajowym systemie cyberbezpieczeństwa dotyka kwestii ściśle powiązanych z ochroną danych osobowych i RODO, ponieważ istotą obydwu aktów jest zapewnienie bezpieczeństwa informacji. Co więcej, obydwa akty prezentują podobną metodykę i przyjmują podejście z perspektywy ryzyka wystąpienia incydentów i naruszeń.

Incydent cyberbezpieczeństwa prawdopodobnie będzie także incydentem ochrony danych osobowych, ponieważ przy włamaniu lub uszkodzeniu systemu informatycznego, najczęściej dochodzi także do nieuprawnionego dostępu lub utraty danych osobowych. Fakt ten przewidzieli twórcy cyberustawy, zobowiązując do współpracy z Urzędem Ochrony Danych Osobowych organy właściwe do spraw cyberbezpieczeństwa koordynujące obsługę incydentu, który doprowadził do naruszenia ochrony danych osobowych.

Patrząc z perspektywy wymogów wymienionych powyżej, właściwie do każdego z nich łatwo znaleźć odpowiedniki z RODO. Z tego powodu, wymogi cyberustawy można spełnić równolegle ze spełnianiem następujących wymogów RODO:

• Szacowanie ryzyka i zapewnienie bezpieczeństwa odpowiadającego ryzyku (art. 32 RODO).
• Zarządzanie incydentami i niezwłoczne zgłaszanie ich do organu nadzorczego (art. 33 RODO).
• Wdrożenie odpowiedniej dokumentacji (art. 24 ust. 2 RODO).
• Wyznaczenie inspektora ochrony danych (art. 37 RODO), co odpowiada wyznaczeniu wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo i zgłoszeniu punktu kontaktowego właściwym organów.
• Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo (art. 32 ust. 1 lit. d RODO), co odpowiada nałożonemu cyberustawą obowiązkowi przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
• Zapewnienie przejrzystego informowania osób fizycznych (art. 12-14 RODO), co odpowiada obowiązkowi, aby zapewnić użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej.

Zgodnie z art. 15 ust. 2 cyberustawy, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, może być przeprowadzany m.in. przez co najmniej dwóch audytorów posiadających co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych.

Istnieje zatem duże prawdopodobieństwo, że podmioty posiadające doświadczenie w ochronie danych osobowych (ale nie te, które od niedawna świadczą usługi z zakresu ochrony danych ze względu na potrzeby związane z RODO), będą w stanie zapewnić wsparcie zarówno przy wdrożeniu RODO, jak
i cyberustawy.

Do kiedy należy wdrożyć i jakie są sankcje?

Operatorzy usług kluczowych stają się związani cyberustawą z chwilą doręczenia im decyzji o uznaniu za takiego operatora. Ponieważ zakres ich obowiązków jest szeroki, ustawodawca nie oczekuje, że z chwilą doręczenia decyzji wszystkie będą od razu spełnione. Od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, operator powinien zrealizować swoje obowiązki w następujących terminach:

• 3 miesięcy – szacowanie ryzyka; zarządzanie ryzykiem; wyznaczenie punktu kontaktowego
  i zawiadomienie o nim właściwych organów; zapewnienie użytkownikom usługi kluczowej dostęp do wiedzy o zagrożeniach i skutecznych sposobach zabezpieczeń; zarządzanie incydentem i jego terminowe zgłaszanie; powołanie wewnętrznych struktur lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa,
• 6 miesięcy – wdrożenie środków odpowiadających ryzyku; zbieranie informacji o zagrożeniach
  i podatnościach; zapobieganie i ograniczanie wpływu incydentów na cyberbezpieczeństwo usługi kluczowej; zapewnienie prawidłowej i bezpiecznej komunikacji w ramach krajowego systemu cyberbezpieczeństwa; wdrożenie, stosowanie i monitorowanie dokumentacji cyberbezpieczeństwa,
• roku – przeprowadzenie pierwszego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (następnie co najmniej raz na dwa lata).

Dostawcy usług cyfrowych otrzymują decyzji od organu – w związku z czym swoje obowiązki powinni realizować na bieżąco, jeśli tylko świadczą usługi drogą elektroniczną i nie są mikro- lub małymi przedsiębiorcami. W pierwszej kolejności, dostawcy usług cyfrowych powinni wdrożyć procedurę raportowania incydentów, aby zapewnić terminową realizację obowiązków ustawowych (24 godziny od wykrycia istotnego incydentu).

Za naruszenie obowiązków z niej wynikających, cyberustawa przewiduje kary dla operatorów usługi kluczowej, dostawcy usługi cyfrowej, a nawet do 200% miesięcznego wynagrodzenia dla kierownika operatora usługi kluczowej, jeśli nie dochowa on należytej staranności w odniesieniu do konkretnych ustawowych obowiązków  (szacowanie ryzyka, wyznaczenie punktu kontaktowego, zapewnienie przeprowadzenia audytu).

Kary pieniężne dla operatorów usług kluczowych i dostawców usług cyfrowych mogą sięgnąć 1 mln zł, przy czym jest to sytuacja, gdy podmiot taki uporczywie narusza przepisy ustawy i stwarza tym poważne zagrożenie dla bezpieczeństwa państwa, porządku publicznego, życia i zdrowia ludzi, czy też wywołania szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych. W innych przypadkach wysokość kar dla dostawcy usług cyfrowych może wynieść do 20 000 zł, dla operatora usługi kluczowej waha się od 1000 do 200 000 zł (najwyższy pułap w braku przeprowadzenia audytu lub w braku wykonania zaleceń pokontrolnych).