Dla zapewnienia łatwości i wygody odbioru przekazywanych informacji serwis ten korzysta z technologii plików cookies. Jeśli chcesz zrezygnować z korzyści, które dają Ci pliki cookies, możesz to zrobić, zmieniając ustawienia swojej przeglądarki. Korzystanie z naszej strony bez zmian ustawień plików cookies oznacza, że będą one zapisane przez Twoją przeglądarkę. Więcej informacji znajdziesz w naszej Polityce Cookies .

Akceptuję
Autor Karolina Horyńska
Dodano 16-11-2018

Dyrektywa NIS – nowe wymogi dotyczące cyberbezpieczeństwa

28 sierpnia br. weszła w życie ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa („Ustawa o KSC”). Nowa regulacja ma na celu implementację do polskiego porządku prawnego zapisów Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.

Główne założenia Ustawy o KSC

Celem ustawodawcy było utworzenie krajowego systemu cyberbezpieczeństwa (dalej: „KSC”), charakteryzującego się jasnym podziałem zadań i odpowiedzialności, który umożliwi sprawne podejmowanie działań na rzecz wykrywania, zapobiegania i minimalizowania skutków ataków naruszających cyberbezpieczeństwo Rzeczypospolitej Polskiej.

Na wstępie warto wyjaśnić czym, w rozumieniu Ustawy o KSC jest cyberbezpieczeństwo ?

Cyberbezpieczeństwo, w rozumieniu Ustawy o KSC, to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.

Jakie podmioty należą do KSC?

Zgodnie z treścią Ustawy o KSC, tworzą go:

  • instytucje administracji rządowej i samorządowej,
  • operatorzy usług kluczowych – m.in. największe banki, przewoźnicy, firmy z sektora energetycznego, szpitale,
  • dostawcy usług kluczowych – np. internetowe platformy handlowe,
  • instytucje publiczne, do których kompetencji należy nadzór nad istotnymi obszarami gospodarki – np. Minister Infrastruktury odpowiedzialny za nadzór nad transportem lotniczym (organy właściwe – w rozumieniu Ustawy o KSC),
  • Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego – utworzone
    w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON),
  • Pojedynczy Punkt Kontaktowy, działający przy Ministrze Cyfryzacji.

W Ustawie o KSC dokonano dokładnego podziału obowiązków i odpowiedzialności pomiędzy wyżej wymienionymi podmiotami. Skonstruowano siatkę przenikających się nawzajem zadań, polegających na identyfikowaniu i szacowaniu ryzyka, wychwytywaniu incydentów, przekazywania wiadomości na ich temat, kwalifikowaniu incydentów według ich istotności. Te zadania składają się na potencjalnie sprawny system informowania o incydentach cyberbezpieczeństwa – zarówno na poziomie krajowym, jak i unijnym,
oraz zarządzania tymi incydentami i zapobiegania im.

Skoncentrujmy się na operatorach usług kluczowych – ponieważ to nimi stoi najwięcej wyzwań związanych z wdrożeniem licznych zmian w strukturach organizacyjnych i wykonywaniem nowych obowiązków. Kto dokładnie będzie wykonywał obowiązki określone w Ustawie o KSC?

Decyzja w tym przedmiocie należała do organów właściwych, które w terminie do 9 listopada br. miały wydać decyzje administracyjne o uznaniu danego podmiotu za operatora usług kluczowych. Data ta była także granicznym terminem przekazania przez organy właściwe Ministrowi Cyfryzacji wniosków o wpisanie zidentyfikowanych operatorów do wykazu operatorów usług kluczowych.

Obowiązki dostawców usług kluczowych

W Rozdziale 3 Ustawy o KSC uregulowano szereg obowiązków, jakie będą obowiązane spełnić podmioty uznane decyzją właściwego organu za dostawców usług kluczowych. Do tych obowiązków należy:

  1. Identyfikacja i zarządzanie ryzykiem wystąpienia incydentu:
  • systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem,
  • wdrożenie odpowiednich środków technicznych i organizacyjnych – odpowiadających zidentyfikowanemu poziomowi ryzyka – polegających na utrzymaniu płynności dostarczania usługi kluczowej, zabezpieczeniu systemów informacyjnych, kontroli dostępu do tych systemów oraz ich ciągłym monitorowaniu, a także opracowaniu i wdrożeniu planów ciągłości działania w zakresie świadczenia usługi kluczowej,
  • gromadzenie informacji o zagrożeniach cyberbezpieczeństwa oraz o podatności systemu wykorzystywanego do świadczenia usługi kluczowej na incydenty,
  • stosowanie środków zapobiegających i ograniczających wpływ incydentów
    na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej – m.in. stosowanie mechanizmów zapewniających poufność danych przetwarzanych w systemach informacyjnych, systematyczne aktualizowanie oprogramowania, ochrona przed nieuprawnionymi modyfikacjami systemu informacyjnego,
  • stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację
    w ramach krajowego systemu cyberbezpieczeństwa.
  1. Wyznaczenie osoby odpowiedzialnej za kontakt z podmiotami KSC

Ponadto, operator usługi kluczowej obowiązany jest wyznaczyć jedną osobę, która będzie odpowiedzialna za utrzymywanie kontaktów z podmiotami KSC oraz przekazać dane tej osoby (imię, nazwisko, numer telefonu, adres poczty elektronicznej) do organu właściwego do spraw cyberbezpieczeństwa, właściwych CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowego zespołu cyberbezpieczeństwa. Dane te należy przekazywać w terminie 14 dni od momentu powołania osoby odpowiedzialnej za kontakt z KSC.

  1. Dokumentacja cyberbezpieczeństwa

Operatorzy usług kluczowych mają obowiązek opracować i stosować dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego służącego do świadczenia usługi kluczowej. Rodzaj dokumentacji został określony w Rozporządzeniu Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. z dnia 31 października 2018 r.) („Rozporządzenie”).

Przy sporządzaniu dokumentacji, operatorzy powinni wziąć pod uwagę treści Norm Międzynarodowych, publikowanych przez Polski Komitet Normalizacyjny, dotyczących bezpieczeństwa technologii i informacji. W treści Rozporządzenia wskazano odniesienia do konkretnych norm.

Dokumentacja cybezpieczeństwa została podzielona na dwie kategorie – normatywną i operacyjną. Dokumentacja normatywna obejmuje:

  • dokumentację dotyczącą systemu zarządzania bezpieczeństwem informacji wytworzoną zgodnie z wymaganiami normy PN-EN ISO/IEC 27001,
  • dokumentację ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa, dotyczącą m.in. charakterystyki usługi kluczowej oraz infrastruktury, a także szacowania ryzyka dla obiektów infrastruktury,
  • dokumentację systemu zarządzania ciągłością działania usługi kluczowej wytworzoną zgodnie z wymaganiami normy PN-EN ISO 22301,
  • dokumentację techniczną systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,
  • dokumentację wynikającą ze specyfiki świadczonej usługi kluczowej w danym sektorze lub podsektorze.

Do zakresu dokumentacji operacyjnej należy:

  • dokumentacja dotycząca procedur oraz instrukcji wynikających z dokumentacji normatywnej,
  • opis sposobów dokumentowania wykonania czynności w ramach ustalonych procedur,
  • dokumentacja poświadczająca każdorazowe wykonanie procedury.
  1. Incydenty cyberbezpieczeństwa

Ustawa KSC oraz wydane na jej podstawie akty wykonawcze wymieniają szereg czynności, jakie operatorzy usług kluczowych są obowiązani podejmować w celu wykrywania i obsługi incydentów. Do katalogu tych działań należy m.in. informowanie o incydentach właściwy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego czy też kwalifikacja incydentu odpowiednio do stopnia jego istotności.

Dokładne schematy działania w przypadku wykrycia incydentu znajdują się na stronie internetowej Ministerstwa Cyfryzacji:

https://www.gov.pl/web/cyfryzacja/prezydent-podpisal-ustawe-o-krajowym-systemie-cyberbezpieczenstwa.

  1. Audyt cyberbezpieczeństwa

Operatorzy usług kluczowych są obowiązani co najmniej raz na 2 lata przeprowadzać audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Jednostka przeprowadzająca audyt powinna być akredytowana zgodnie z przepisami Ustawy o systemach oceny zgodności i nadzoru rynku. Ponadto, audytorzy powinni posiadać niezbędne, kilkuletnie doświadczenie w obszarze audytu bezpieczeństwa informacji oraz certyfikaty potwierdzające ich wiedzę w tym zakresie.

Podmiot, który otrzyma decyzję administracyjną o uznaniu go za operatora usługi kluczowej, będzie obowiązany do podjęcia stosownych działań w następujących terminach:

  • w terminie 3 miesięcy od dnia doręczenia decyzji: oszacowanie ryzyk związanych ze świadczoną kluczową usługą, wdrożenie zarządzania incydentami, wyznaczenie osoby odpowiedzialnej za kontakt z pozostałymi jednostkami KSC, podjęcie działań edukacyjnych na rzecz użytkowników usługi, wdrożenie obsługi incydentów na poziomie systemów wewnętrznych, zgłaszanie incydentów zakwalifikowanych jako poważne, usuwanie wskazanych podatności na incydenty;
  • w terminie 6 miesięcy od dnia doręczenia decyzji: wdrożenie odpowiednich
    i adekwatnych do oszacowanego ryzyka środków technicznych i organizacyjnych, wdrożenie procedury zbierania informacji o zagrożeniach i podatności na incydenty, stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosowanie wymaganej dokumentacji;
  • w terminie 12 miesięcy od dnia doręczenia decyzji: przygotowanie pierwszego audytu, przekazanie sprawozdania z audytu organowi wskazanemu w Ustawie o KSC.

Co istotne, operatorzy usług kluczowych mają do wyboru dwa warianty działania w celu wykonania obowiązków ustawowych.  Pierwszy polega na powołaniu wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo. Natomiast drugi na zawarciu umowy z podmiotem zewnętrznym świadczącym usługi z zakresu cyberbezpieczeństwa. Drugie rozwiązanie może wydawać się bardziej atrakcyjne z uwagi na doświadczenie wyspecjalizowanego podmiotu w obszarze cyberbezpieczeństwa i potencjalną optymalizację kosztową.

 

Prace nad Ustawą o KSC trwały około 10 lat. Biorąc pod uwagę poziom informatyzacji usług oraz skalę zagrożeń w tym obszarze, przepisy w tym zakresie niewątpliwie zostały uchwalone bardzo późno. Niewątpliwie jednak, rozwiązania zaproponowane przez ustawodawcę mogą pozwolić na zapobiegnięcie wielu zagrożeniem, zarówno w obszarach cywilnych, jak i wojskowych. Praktyka pokaże jednak, czy rozwiązania zaproponowane przez ustawodawcę okażą się skuteczne, czy też konieczne będą nowelizacje tego aktu.

 

 

 

Prawo
Compliance
Audyt
Zarządzanie
ryzykiem
FinTech
AML
Zapisz się do newslettera
Otrzymuj nasze komentarze do najnowszych przepisów prawnych

Wyrażam zgodę na przetwarzanie danych osobowych – adres e-mail - zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018.1000 z późn. zm.) w celu przesłania newslettera. Podawanie danych osobowych jest dobrowolne. Zostałem poinformowany, że przysługuje mi prawo dostępu do swoich danych, możliwości ich poprawiania, żądania zaprzestania ich przetwarzania oraz prawo do wniesienia sprzeciwu. Administratorem danych osobowych jest JustComply JC sp. z o.o. sp. k.