Obecnie w Polsce nie mamy czegoś takiego jak Krajowy System Cyberbezpieczeństwa. Ministerstwo Cyfryzacji chce go stworzyć i dlatego w listopadzie przedstawiło projekt odpowiedniej ustawy. Ten projekt jest już po konsultacjach i uzgodnieniach międzyresortowych, a uwag do niego było dość sporo. Oczywiście “duża liczba uwag” to nie jest wada. Jest to wręcz zaleta świadcząca o tym, że projekt nie powstaje pochopnie.

W mękach i bólach powstaje…

Być może już wiecie, że projekt Ustawy o krajowym systemie cyberbezpieczeństwa został opublikowany w RCL w listopadzie tego roku, po czym został przekazany do uzgodnień i konsultacji. Szczerze mówiąc cieszyło nas to, że ustawa nie powstaje w jakimś szaleńczym tempie.



Samo przedstawienie projektu nastąpiło później niż się spodziewaliśmy. Przecież już 20 czerwca 2016 r. Ministerstwo Cyfryzacji przedstawiło program „Od papierowej do cyfrowej Polski”. Wówczas ujawniono, że planowane jest stworzenie ustawy, która będzie wdrażała przepisy unijne w tym zakresie (tzw. dyrektywę NIS). Pierwotnie planowano, że ustawa będzie skierowana do konsultacji w IV kwartale 2016 roku (nastąpiło to niemal rok później). W mediach pojawiały się informację o sporze kompetencyjnym między MON i MC, a uwagi przedstawione przez MON do projektu sugerują, że rzeczywiście taki spór jest.

Na taką nazwę ustawy powinniśmy zareagować mniej spokojnie…

…ale projekt jest na tyle ważny, że lepiej omówić go bez żartów.

Nowa ustawa ma wprowadzić do polskiego prawa nowe pojęcia takie jak “cyberbezpieczeństwo”, “incydent krytyczny”, “operator usługi kluczowej” czy nawet “ryzyko”. Krajowy System Cyberbezpieczeństwa ma zapewnić, że wszystkie usługi cyfrowe będą działać bez zakłóceń. Ten system będzie obejmował m.in. organy publiczne, sądy, banki, uczelnie. Szczególnie ważni będą…

…Operatorzy Usług Kluczowych (OUK)

Operatorami Usług Kluczowych będą firmy lub organizacje mające siedzibę na terenie RP uznane za OUK przez organ właściwy dla danego sektora. Wydaje się to dość ciekawe, że OUK-iem będzie to, co zostało uznane za OUK, ale nie martwcie się. Ustawa wskazuje co trzeba będzie uznać za OUK. Będzie to firma lub organizacja dostarczająca istotną usługę, która to usługa zależy od systemów informacyjnych. Lotnictwo to dobry przykład – usługa istotna i bez komputerów ani rusz.

Do OUK-ów zaliczymy także dostawców prądu i gazu, inne usługi transportowe, banki, służbę zdrowia, firmy wodno-kanalizacyjne i oczywiście podmioty istotne dla ruchu internetowego i zarządzania domenami. Wykaz tych podmiotów znajdziecie na końcu projektu, w załączniku nr 1.

Wykaz OUK będzie prowadził Minister Cyfryzacji. Wpisane do rejestru podmioty będą miały obowiązek zapewnienia bezpieczeństwa w świadczeniu swoich usług. Te obowiązki będą obejmować odpowiednie zarządzanie incydentami, objęcie usług monitorowaniem w stanie ciągłym, stosowanie wewnętrznych procedur zgłaszania i obsługi incydentów itd. OUK będą musieli opracować dokumentację dotyczącą cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych w ciągu sześciu miesięcy od otrzymania decyzji o uznaniu za OUK.

Co ważne, OUK będą musieli przeprowadzać audyty bezpieczeństwa co dwa lata.

OUK będą musieli zapewnić obsługę “incydentów zwykłych”, czyli wszelkich zdarzeń mogących mieć wpływ na bezpieczeństwo. W przypadku “incydentów poważnych” będą współpracować z odpowiednimi zespołami reagowania na incydenty (CSIRT MON, CSIRT NASK lub CSIRT GOV – poniżej napiszemy o nich więcej). Tu należy wyjaśnić, że incydent poważny to taki incydent zwykły, który może wpłynąć na jakość lub ciągłość świadczenia usług.

Incydentem “krytycznym” z kolei będzie incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego. W tym przypadku OUK również będą musieli współpracować z CSIRT-ami (o których napiszemy dalej).

Dostawcy usług cyfrowych i podmioty publiczne

Dostawcami usług cyfrowych będą dostawcy internetowych platform handlu, wyszukiwarek a także usług przetwarzania danych w chmurze. Przyjęta definicja wyszukiwarki jest dość szeroka. Będzie to każda usługa, która w odpowiedzi na zapytanie zwraca odnośniki do informacji związanych z zapytaniem.

Dostawcy usług cyfrowych będą zobowiązani ustawą do zapewnienia bezpieczeństwa w ramach własnych usług. Będą musieli informować CSIRT NASK o wszelkich incydentach “istotnych” czyli takich, które mają wpływ na świadczenie usług cyfrowych. W ustawie podkreślono, że zgłoszenie incydentu nie może narażać dostawcy usług cyfrowych na zwiększoną odpowiedzialność. Zgłaszanie incydentu będzie mogło odbywać się przez system teleinformatyczny.

Również podmioty publiczne zostaną zobowiązane do zgłaszania incydentów i w razie potrzeby współpracowania z CSIRT. Będą musiały również wyznaczyć przynajmniej jedną osobę odpowiedzialną za bezpieczeństwo.

CSIRT-y i Pojedynczy Punkt Kontaktowy

Ustawa zakłada współdziałanie trzech Zespółów Reagowania na Incydenty Bezpieczeństwa Komputerowego – CSIRT NASK, CSIRT MON i CSIRT GOV. Będą one zapewniać wsparcie operatorom usług kluczowych oraz dostawcom usług cyfrowych. Będą także monitorować zagrożenia, wydawać ostrzeżenia, klasyfikować incydenty jako krytyczne i obsługiwać incydenty zgłoszone przez jednostki podległe MON, jednostki rządowe i samorządowe.

CSIRT GOV będzie zespołem właściwym do incydentów związanych z terroryzmem. W przypadku stwierdzenia, że incydent obsługiwany przez CSIRT MON albo CSIRT NASK jest związany ze zdarzeniami o charakterze terrorystycznym, obsługę takiego incydentu przejmuje CSIRT GOV.

CSIRT-y będą też współpracować z innymi podobnymi zespołami w UE.

CSIRT NASK będzie mógł (po konsultacji z dostawcą usług cyfrowych), przekazać do publicznej wiadomości informacje o poszczególnych incydentach w usługach cyfrowych. Również do CSIRT NASK będą mogły zgłaszać incydenty wszelkie inne osoby niż OUK i dostawcy usług cyfrowych.

Współpraca CSIRT-ów będzie możliwa dzięki tzw. Pojedynczemu Punktowi Kontaktowemu. Będzie on przekazywał informacje w ramach tzw. Grupy Współpracy. PPK będzie też przekazywał Komisji Europejskiej informacje o wyznaczonych organach właściwych, przepisach dotyczących kar pieniężnych, liczbie operatorów usług kluczowych i in.

Podział ról w rządzie

Ministrowie poszczególnych resortów mają być organami właściwymi do spraw cyberbezpieczeństwa. Czyli np. minister energii będzie się zajmował cyberbezpieczeństwem sektora energetycznego, a minister zdrowia bezpieczeństwem służby zdrowia.

Minister ds. informatyzacji będzie monitorował zagrożenia na poziomie krajowym. Będzie też prowadził działania profilaktyczne i informacyjne. Jego zadaniem będzie monitorowanie bezpieczeństwa systemu umożliwiającego współpracę różnym podmiotom włączonym do systemu cyberbezpieczeństwa. Ten system będzie odpowiedzialny także za zgłaszanie incydentów, generowanie rekomendacji, szacowanie ryzyka itd. Informacje z tego systemu będą w razie potrzeby udostępniane służbom, prokuratorom lub fiskusowi. Uruchomienie systemu ma nastąpić z dniem 1 stycznia 2021 r.

Inne przepisy

Rozdział 8. ustawy definiuje kwestie nadzoru i kontroli. Tutaj warto zwrócić uwagę na art. 49, który przyzna pewne uprawnienia osobom prowadzącym kontrole wobec przedsiębiorców. Taka osoba będzie miała prawo do przetwarzania danych osobowych, sporządzania kopii dokumentów, przeprowadzania oględzin nośników i systemów.

Rozdział 9. dotyczy strategii cyberbezpieczeństwa RP, która ma być przyjmowana przez Radę Ministrów w drodze uchwały.

Rozdział 10. to przepisy o karach pieniężnych. Przykładowo kara za nieprzeprowadzenie audytu przez OUK będzie wynosiła do 50 tys. zł. Niektórzy mogą więc mieć pokusę nierealizowania takich testów, bo często ich koszt jest wyższy. W razie uporczywych naruszeń jednak kara może urosnąć do 200 tys.

Ustawa miałaby wejść w życie 14 dni po ogłoszeniu.

Negatywna opinia MON i uwagi innych ministrów

Dlaczego teraz piszemy o projekcie z listopada? Ponieważ jest on po uzgodnieniach miedzyresortowych i konsultacjach. Można zatem podsumować opinie, jakie się na jego temat pojawiły. W tym miejscu jeszcze raz podkreślimy, że duża liczba uwag sama w sobie nie jest zła. Świadczy raczej o tym, że konsultacje przebiegają jak należy.

Ministerstwo Obrony Narodowej zaopiniowało projekt negatywnie. Jego zdaniem projekt powinien wyraźnie przyznawać szefowi MON pieczę nad militarnym obszarem cyberbezpieczeństwa. Projekt nie uwzględnia też funkcjonowania systemu cyberbezpieczeństwa w stanie wojny i w innych stanach nadzwyczajnych, co zdaniem MON-u jest poważną luką. Zbyt wiele uprawnień – zdaniem MON – przypisano ministrowi ds. cyfryzacji. MON uważa też, że przyjęte rozwiązania są “reaktywne”, ale zbyt mało uwagi przyłożono do zarządzania ryzykiem na poziomie krajowym.

MSWiA zgłosiło uwagi m.in. dotyczące określenia relacji między przepisami nowej ustawy a stopniami alarmowymi przewidzianymi w tzw. Ustawie antyterrorystycznej. Propozycje MC są takie, aby Zespół do spraw Incydentów Krytycznych opiniował dla szefa ABW wprowadzenie lub odwołanie stopni alarmowych. MSWiA obawia się, że to niepotrzebnie wydłuży procedurę.

Ministerstwo Rozwoju pozytywnie oceniło projekt, ale wniosło uwagi np. do sposobu definiowania internetowej platformy handlowej. Ponadto MR stwierdziło, że…

…ujawnienie informacji o incydencie może spowodować utratę reputacji operatorów usług kluczowych i dostawców usług cyfrowych i narazić ich na trudne do oszacowania straty oraz zagrozić tajemnicy przedsiębiorstwa. Z tego powodu nie wydaje się uzasadnione, by choćby znikome zwiększenie cyberbezpieczeństwa stanowiło wystarczającą podstawę do przekazywania do wiadomości publicznej wiadomości o incydentach.

Minister Koordynator ds. Służb Specjalnych zauważył, że Ustawa o zarządzaniu kryzysowym nakłada obowiązki zgłaszania pewnych incydentów na operatorów infrastruktury krytycznej. Ponieważ operatorzy IK będą jednocześnie OUK to mogą być zmuszeni np. do dwukrotnego zgłaszania incydentów. Minister obawia się również, że system wykorzystywany do zgłaszania incydentów będzie sam w sobie zagrożeniem, ponieważ “docelowo będzie zawierał informacje o podatnościach i zagrożeniach zabezpieczeń kluczowych systemów w kraju“.

Dodajmy jeszcze, że różne ministerstwa zgłaszały różne zastrzeżenia co do sposobu zdefiniowania OUK. Wszystkie opinie ministerstw znajdziecie w Rządowym Centrum Legislacji.

W ramach opiniowania Generalny Inspektor Ochrony Danych też zgłosił kilka uwag. Zauważył m.in., że informacje o incydentach i podatnościach nie będą udostępnione na podstawie informacji o dostępie do informacji publicznej, a to może spowodować rozproszenie metod udostępniania komunikatów. GIODO miał też zastrzeżenia co do zakresu informacji przetwarzanych w związku z obsługą zgłoszeń.

Opinie przedsiębiorstw, obywateli i NGO-sów

Warto rzucić okiem na opinie zgłoszone w konsultacjach społecznych.

Federacja Przedsiębiorców Polskich, zwróciła uwagę na znaczenie szyfrowania, które powinno być ujęte w ustawie jako jeden ze środków zapewniających bezpieczeństwo. Zdaniem FPP ustawa powinna zawierać katalog takich środków lub przynajmniej delegację ustawową do wydania rozporządzenia w tym zakresie.

Instytut Kościuszki wyraził opinię, że projekt ustawy ignoruje m.in.: postulat utworzenia Naukowego Klastra Cyberbezpieczeństwa. Instytut wyraził też opinię, że ustawa powinna nie tylko nakładać pewne sankcje, ale też wprowadzać konkretne zachęty oraz wsparcie administracji publicznej w zakresie realizacji nowych obowiązków.

Związek Pracodawców Mediów Elektronicznych i Telekomunikacji MEDIAKOM wyraził obawę, że regulacjami ustawy mogą być objęci mali i średni operatorzy (jako podmioty świadczące usługi DNS). Generalnie wiele innych uwag dotyczyło tego, w jaki sposób należy definiować dostawców usług cyfrowych czy platformy handlowe.

KIKE wyraziła zdanie, że ustawa transponująca dyrektywę NIS do polskiego porządku prawnego nie powinna nakładać żadnych nowych obowiązków na przedsiębiorców telekomunikacyjnych, jako że przedsiębiorcy telekomunikacyjni realizują już od dawna szereg obowiązków na podstawie Prawa telekomunikacyjnego.

Związek Banków Polskich miał sporo uwag. Wyraził też ogólne zdanie, że ustawa nie określa co ma być chronione i jak. Zdaniem ZBP brakuje faktycznego zarządcy krajowym systemem cyberbezpieczeństwa RP, a gradacja incydentów jest jego zdaniem źle zbudowana, bo głównym kryterium powinny być: zasięg incydentu (skutek oddziaływania: lokalny, sektorowy, międzysektorowy i międzynarodowy) oraz istotność – wpływ na bezpieczeństwo sieci lub systemów informatycznych (niska, średnia, istotna i krytyczna). Co ciekawe, również Ministerstwo Zdrowia stwierdziło, że nie rozumie klasyfikacji incydentów.

Konfederacja Lewiatan wskazała, że przedsiębiorcy już mają obowiązki zgłaszania różnych incydentów do GIODO, UKE i ministra ds. cyfryzacji (w zakresie usług zaufania), a teraz dojdzie do tego obowiązek zgłaszania do CSIRT NASK. Zdaniem organizacji powinien istnieć jeden punkt zgłoszeń na poziomie krajowym.

KIGEIT stwierdziła, że “wdrożenie systemu cyberbezpieczeństwa w proponowanym przez Projekt modelu spowoduje wzrost popytu na usługi i produkty cyberbezpieczeństwa, w konsekwencji wzrost importu zarówno usług, jak i rozwiązań produktowych, a z drugiej pogłębi uzależnienie cyber bezpieczeństwa Polski od zagranicznych rozwiązań. Dlatego – zdaniem KIGEiT – należy jednocześnie stymulować polski rynek rozwiazań w zakresie bezpieczeństwa.

Jak widzicie, różne reakcje wywołuje projekt ustawy i wiele złożonych zagadnień pozostaje jeszcze do doprecyzowania. Trudno ocenić teraz jakie będą losy projektu, skoro po niebawem może nastąpić rekonstrukcja rządu. Byłoby natomiast dobrze, gdyby idea budowania takiego krajowego systemu nie umarła całkowicie, tak samo jak umarła idea powiadomień SMS w RSO po wcześniejszej zmianie rządu.

Przeczytaj także: