We wtorek 28 sierpnia wchodzi w życie ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa*. Określa ona zadania i obowiązki podmiotów wchodzących w jego skład. Chodzi o sektory usług mających kluczowe znaczenie dla utrzymania krytycznej działalności społeczno-gospodarczej, a więc w energetyce, transporcie, bankowości, instytucjach finansowych, sektorze ochrony zdrowia, zaopatrzenia w wodę i infrastrukturze cyfrowej. Z szacunków Ministerstwa Cyfryzacji wynika, że dotyczy co najmniej 500 podmiotów. Regulacja wprowadza m.in. wymogi i obowiązki, jakie musi spełnić operator usługi kluczowe. Ma on m.in. niezwłocznie zgłosić do Zespołu Reagowania na Incydenty Komputerowe (CSRiT), że doszło do incydentu oraz obsłużyć go - zidentyfikować, zarejestrować oraz zaklasyfikować na podstawie określonych progów: poważny, istotny lub krytyczny. Będzie też zobowiązany do informowania o zagrożeniach i stosowaniu zabezpieczeń. Ustawa nakłada też obowiązek opracowania i nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa. Za brak odpowiednich środków technicznych i operacyjnych, jak i nie zgłaszanie incydentów poważnych, nie zapewnianie ich obłsugi i nie współdziałanie z CSIRT będą groziły kary. Czytaj również: Milion złotych kary za zagrożenie cyberbezpieczeństwa >>
Jakie kary
Na przykład za każdy przypadek niezgłoszenia incydentu poważnego lub istotnego grozić będzie od 20 tys. zł kary, za nieprzeprowadzenie audytu, nie usunięcie w terminie nieprawidłowości stwierdzonych podczas kontroli skutkować - do 200 tys. zł. Operatorom lub dostawcom, którzy uporczywie będą naruszać przepisy ustawy grozić będzie nawet milion zł. Problem w tym, że aby firmy mogły wdrożyć wynikające z ustawy obowiązki, muszą zostać opublikowane rozporządzenia wykonawcze. Do dziś jednak trwają ich konsultacje. - Wciąż nie wiadomo, jaki będzie próg uznania incydentów za poważne, jakie kryteria powinny spełniać podmioty świadczące usługi z zakresu cyberbezpieczeństwa, jaką dokumentację cyberbezpieczeństwa należy posiadać dla systemów IT wykorzystywanych do świadczenia usług kluczowych, nie jest także wiadomo jaka będzie ostateczna treść wykazu tychże usług - mówi adwokat Tomasz Gwara z butiku prawniczego Discretia.
Kontrowersyjne progi i usługi
Najwięcej uwag organizacje społeczne zgłosiły do projektów: w sprawie porogów uznania incydentów za poważny oraz sprawie wykazu usług kluczowych. Rozporządzenie w sprawie progów uznania incydentu za poważny, będzie podstawą dla operatorów usług kluczowych do klasyfikacji incydentów w procesie ich zgłaszania i obsługi. Progi powinny określać:
- • liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej,
- • czas trwania oddziaływania incydentu na świadczoną usługę kluczową,
- • zasięg geograficzny związany z obszarem, którego dotyczy incydent,
- • inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują.
Z tym, że w zakresie infrastruktury cyfrowej przyjęto, że poważnym jest każdy incydent, który doprowadził do braku poufności, integralności czy dostępności usługi. Polska Izba Informatyki i Telekomunikacji oraz Konfederacja Lewiatan uważają, że to zbyt ogólne określenie. W efekcie praktycznie każdy incydent będzie musiał być uznany za incydent poważny i będzie wymagał raportowania. Ponadto według PIITnie jest zrozumiałe, co projektodawca miał na myśli pisząc o incydencie polegającym na „braku poufności usługi. Z kolei jeśli chodzi o wykaz usług kluczowych najwięcej uwag ma Związek Banków Polskich oraz Komisja Nadzoru Finansowego. Te wskazane w projekcie nie pokrywają się bowiem z tymi, które obecnie prowadzą instytucje finansowe.
Formularze do poprawki
Sporo uwag zgłoszono też do projektu rozporządzenia w sprawie wzoru formularza do przekazywania informacji o naruszeniach. Konfederacja Lewiatan przede wszystkim zwraca uwagę, że liczba danych, którą trzeba dostarczyć jest bardzo duża i niezwykle pracochłonna dla przedsiębiorców. Konfederacja proponuje więc wykreślenie punktów opisowych, a pozostawienie jedynie tych do odznaczenia (z checkboxem). Z kolei w przypadku projekt rozporządzenia w sprawie dokumentacji cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych ZBP proponuje wprowadzenie prowadzenia rejestru ryzyka i jego aktualizacji.
Czytaj również: Cyberbezpieczeństwo ograniczy swobodę działalności gospodarczej >>
Audyt co dwa lata
Ustawa nakłada też na operatora usługi kluczowej obowiązek zapewnienia przeprowadzania, co najmniej raz na dwa lata, audytu bezpieczeństwa systemu informacyjnego, wykorzystywanego do świadczenia usługi kluczowej. Z szacunków Ministerstwa cyfryzacji wynika, że obowiązek ten będzie dotyczył ok. 509 podmiotów, w tym aż 253 świadczących usługi w ochronie zdrowia. - Bardzo dobrze, że ustawa wymaga przeprowadzania regularnych audytów – mówi dr. Łukasz Olejnik, badacz i konsultant cyberbezpieczeństwa i prywatności. - Powstaje jednak pytanie czy ten okres zawsze jest adekwatny do specyficznego rodzaju firm, w specyficznych sektorach gdzie ewolucja zagrożeń następuje szybko. Czy nie można było uzależnić tego - choćby tak jak w RODO - od rozwoju sytuacji zewnętrznej, lub zmian w systemach – pyta Olejnik.
Ustawa jednak wprowadza sztywny termin. Teraz w konsultacjach jest rozporządzenie, które określi katalog certyfikatów uprawniających do przeprowadzania audytów. Projekt przewiduje ich osiem. Zdaniem Związku Banków Polskich ta liczba jest za mała . Posiadanie tylko jednego z nich bowiem nie wystarczy do kompleksowego audytu – a posiadanie wszystkich jest mało realne. Dlatego NBP proponuje, aby wymagane było posiadania certyfikatu CIA oraz co najmniej jednego z: CISA, CISM, CISSP, SSCP, ISO27001.
Czytaj również, jakie projekty rozporządzeń wyknawczych do ustawy o cyberbezpieczeństwie wciąż są konsultowane >>
Żadnych uwag nie zgłoszono do projektu rozporządzenia w sprawie zakresu działania Kolegium do Spraw Cyberbezpieczeństwa.
----------------------------------------------------------------------------------------------------------
* Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.