28 sierpnia w życie wejdzie ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa,  która ma dostosować polskie prawa do unijnej dyrektywy 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS). Jej celem jest organizacja krajowego systemu cyberbezpieczeństwa oraz określenie zadań i obowiązków podmiotów wchodzących w jego skład. Precyzuje ona również sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Wdrożenie obowiązków wynikających z ustawy przez firmy nie będzie możliwe bez ustalenia ostatecznej treści ośmiu rozporządzeń wykonawczych. Choćich  projekty zostały już opublikowane przez Rządowe Centrum Legislacji, nadal zgłaszane są do nich uwagi zainteresowanych podmiotów. Mimo to warto pomyśleć już o przygotowaniu się do nowych wymagań i obowiązków. Zwłaszcza, że wiele z nich przypomina te wynikające z RODO.

Uczestnicy krajowego systemu cyberbezpieczeństwa

Krajowy system cyberbezpieczeństwa obejmuje kilkanaście kategorii podmiotów, w szczególności tzw. operatorów usług kluczowych (wybrane firmy działające m.in. w sektorach: finansowym, energetycznym, transportowym, ochrony zdrowia, zaopatrzenia w wodę pitną), dostawców usług cyfrowych, Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. zespoły CSIRT poziomu krajowego), sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa, Pełnomocnika Rządu oraz Kolegium do Spraw Cyberbezpieczeństwa oraz Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (służący komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie).

Obowiązki operatorów usług kluczowych

Ustawa zawiera zasady wskazywania operatorów usług kluczowych i określa ich obowiązki dotyczące wdrożenia skutecznego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, stosowanie zabezpieczeń systemów informacyjnych adekwatnych do zidentyfikowanego ryzyka, procedur i mechanizmów zgłaszania oraz postępowania z incydentami, prowadzenia dokumentacji czy organizacji struktur wewnętrznych.
Operator usługi kluczowej ma również zapewnić przeprowadzenie minimum raz na 2 lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej oraz powołać osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Obowiązki dostawców usług cyfrowych

Przepisami ustawy zostaną objęci również tzw. dostawcy usług cyfrowych. To m.in. internetowe platformy handlowe, usługi przetwarzania danych w chmurze oraz wyszukiwarki internetowe. Ich obowiązki są analogiczne jak dla operatorów usług kluczowych, jednak ze względu na transgraniczny charakter tych usług zostaną one objęte łagodniejszym reżimem regulacyjnym,. Utawa odwołuje się tutaj do rozporządzenia wykonawczego Komisji Europejskiej 2018/151.

Postępowanie w przypadku incydentów

Ustawa wprowadza kompleksowe obowiązki zarządzania zdarzeniami, mającymi negatywny wpływ na cyberbezpieczeństwo (tzw. incydenty) dotyczące ich obsługi, mitygowania skutków oraz raportowania do CSIRT. Zdefiniowano kilka kategorii incydentów, w zależności od rodzaju podmiotu zgłaszającego oraz stopnia ich oddziaływania. Incydent poważny, zgłaszany przez operatora usług kluczowych, związany jest z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej, natomiast incydent istotny – musi mieć istotny wpływ na świadczenie usługi cyfrowej. Wprowadzono także tzw. incydenty krytyczne, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów gospodarczych i działania instytucji publicznych.
CSIRT, do których raportowane będą incydenty, będą odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów. Ponadto CSIRT będą informować Rządowe Centrum Bezpieczeństwa oraz się wzajemnie  o każdym incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego.
W ustawie ustanowiono organy właściwe ds. cyberbezpieczeństwa, odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych w sektorach wymienionych w dyrektywie 2016/1148/UE.

Obowiązki ministra i nowe zadania premiera

Minister właściwy ds. informatyzacji będzie m.in. monitorował wdrażanie Strategii Cyberbezpieczeństwa oraz prowadził wykaz operatorów usług kluczowych i politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa. Ma też realizować obowiązki sprawozdawcze wobec instytucji unijnych. Będzie również prowadził Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, który zapewni odbieranie i przekazywanie zgłoszeń incydentów poważnych i istotnych z innych krajów członkowskich, reprezentację Rzeczypospolitej Polskiej w Grupie Współpracy, współpracę z Komisją Europejską, między organami właściwymi w Rzeczypospolitej Polskiej i organami właściwymi państw członkowskich UE. W przyszłości zadaniem ministra cyfryzacji będzie też rozwój systemu teleinformatycznego umożliwiającego zgłaszanie i obsługę incydentów, szacowanie ryzyka i ostrzeganie o zagrożeniach cyberbezpieczeństwa. W celu koordynacji działań i wymiany informacji między instytucjami odpowiedzialnymi za cyberbezpieczeństwo w sferach: cywilnej, wojskowej, sektorów usług kluczowych oraz instytucji odpowiedzialnych za zwalczanie cyberprzestępczości  ustawa powołuje pełnomocnika rządu ds. cyberbezpieczeństwa - będzie on powoływany i odwoływany przez premiera, ma podlegać Radzie Ministrów oraz Kolegium ds. cyberbezpieczeństwa - przewodniczącym ma być premier.

 

 

 

Brak rozporządzeń wykonawczych do ustawy

Wdrożenie obowiązków wynikających z ustawy przez firmy nie będzie możliwe bez ustalenia ostatecznej treści ośmiu rozporządzeń wykonawczych. Choć projekty rozporządzeń zostały już opublikowane przez Rządowe Centrum Legislacji, nadal zgłaszane są do nich uwagi zainteresowanych podmiotów.

Czytaj również:  Brak przepisów wykonawczych do ustawy o cyberbezpieczeństwie
Do tej pory nie doprecyzowano wielu podstawowych kwestii, przykładowo: jaki będzie próg uznania incydentów za poważne, jakie kryteria powinny spełniać podmioty świadczące usługi z zakresu cyberbezpieczeństwa, jaką dokumentację cyberbezpieczeństwa należy posiadać dla systemów IT wykorzystywanych do świadczenia usług kluczowych, nie jest także wiadomo jaka będzie ostateczna treść wykazu tychże usług. Dopóki rozporządzenia wykonawcze nie zostaną sfinalizowane, przedsiębiorcy powinni się wstrzymać z wyborem konkretnych rozwiązań, mogą jednak rozpocząć poszukiwania kompetentnych doradców, którzy będą monitorować proces legislacyjny i przedstawią sensowną strategię wdrażania obowiązków.

Połączenie z wdrożeniem RODO szansą na oszczędność kosztów

W opinii prawników Discretia, nowe obowiązki wynikające z ustawy dzielą wiele podobieństw z obowiązkami wynikającymi z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, „RODO”). Podobieństwa dotyczą chociażby podejścia do bezpieczeństwa danych opartego na ryzyku, dokumentacji wewnętrznej lub raportowania incydentów. Cyberbezpieczeństwo można uznać za element szerszej regulacji przepływu danych, czyli prywatności – dlatego dla oszczędności kosztów, warto wydatki poczynione na IT security wykorzystać w procesie wdrażania RODO. Celowe wydaje się przyjęcie wspólnych elementów w metodykach analizy ryzyka bezpieczeństwa oraz prywatności lub wykorzystanie tych samych procedur wewnętrznych w procesach raportowania incydentów. Sojusznikami firm w kwestiach cyberbezpieczeństwa mogą również zostać kompetentni Inspektorzy Ochrony Danych, którzy pomogą dokonywać odpowiedniej klasyfikacji incydentów. Utrzymywanie odrębnych systemów i procedur dla kwestii związanych z RODO i cyberbezpieczeństwem wydaje się nieracjonalne i nadmiernie komplikujące życie przedsiębiorcom, obciążonym lawiną nowych obowiązków.

Tomasz Gwara jest adwokatem, partner zarządzającym  z butiku prawniczego Discretia. Specjalizuje się w prawie bankowym i finansowym, Internetu oraz ochronie danych osobowych.

----------------------------------------------------------------------------------------------------------
* Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.