Ustawa o cyberbezpieczeństwie czeka na podpis prezydenta. Na kolei 10 dostawców usług kluczowych

Podstawą do podjęcia prac nad krajowym systemem cyberbezpieczeństwa jest dyrektywa unijna NIS. Jej celem jest zapewnienie wysokiego poziomu bezpieczeństwa systemów i sieci informatycznych na terenie UE. Dokument został przyjęty w 2016 r. po niemal trzech latach negocjacji. Dyrektywa dotyczy wielu sektorów – energetycznego, finansowego, transportowego, zaopatrzenia w wodę, zdrowia i infrastruktury cyfrowej.

Unijny dokument narzuca sporo obowiązków. Wskazuje na potrzebę dokonania identyfikacji operatorów usług kluczowych w państwach członkowskich, wyznaczenia organów właściwych dla operatorów usług kluczowych i dostawców usług cyfrowych, wyznaczenia pojedynczego punktu kontaktowego, wspomagającego wymianę informacji, wyznaczenia zespołu CSIRT poziomu krajowego, a także – konieczność przyjęcia krajowej strategii z zakresu bezpieczeństwa sieci i informacji. Przy czym, w przeciwieństwie do innych dyrektyw, ten dokument nie narzuca konkretnych rozwiązań – kraje członkowskie mają dużą dowolność w zorganizowaniu krajowego systemu cyberbezpieczeństwa.

Ustawa u prezydenta

Wypełnieniem zapisów dyrektywy będzie ustawa o krajowym systemie cyberbezpieczeństwa. – Senat nie zgłosił do niej żadnych uwag czy poprawek. Ustawa z 5 lipca jest na etapie podpisu u prezydenta – mówi Jarosław Łuba z departamentu cyberbezpieczeństwa Ministerstwa Cyfryzacji.

Zgodnie z ustawą krajowy system cyberbezpieczeństwa ma za zadanie zapewnienie cyberbezpieczeństwa – rozumianego jako odporność systemów informacyjnych na działania naruszające dostępność, autentyczność, integralność, poufność na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i cyfrowych. Celem jest też osiągnięcie odpowiedniego poziomu bezpieczeństwa przez systemy informacyjne, które służą do świadczenia danej usługi kluczowej bądź cyfrowej. System wskazuje też na mechanizm obsługi incydentów. Ustawa ma służyć także temu, by usługi – także w sektorze kolejowym – były świadczone bez zakłóceń na odpowiednim poziomie.

Ustawa określa podmioty zobowiązane, którymi są operatorzy usług kluczowych i dostawcy usług cyfrowych, CERTy poziomu krajowego. Ustawodawca przewiduje też powołanie sektorowych zespołów cyberbezpieczeństwa, przy czym nie zostanie stworzony jeden duży organ ds. cyberbezpieczeństwa, jak we Francji czy w Niemczech. – Nadajemy te kompetencje organom sektorowym – regulatorom. Regulator może powołać sektorowy zespół cyberbezpieczeństwa i to jest jego wyłączna kompetencja – mówi Łuba. Pomostem pomiędzy wszystkimi sektorami a poziomem rady ministrów będzie pełnomocnik ds. cyberbezpieczeństwa.

Jaki wpływ na kolej?

Dokument definiuje usługę kluczową jako mającą kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienionej w wykazie usług kluczowych. – Aktualnie Ministerstwo Cyfryzacji pracuje nad dwoma rozporządzeniami, z których jedno określi taki wykaz. MI i UTK współpracują z nami w zakresie ustalenia tych usług i progów, które następnie będą określone w rozporządzeniu – wskazuje Łuba.

Operatorem usługi kluczowej jest podmiot z sektora wymienionego w załączniku, w stosunku do którego została wydana decyzja administracyjna o uznaniu go za operatora usługi kluczowej. Taki operator ma pewne obowiązki – m.in. w zakresie wdrożenia adekwatnych do szacowania ryzyk rozwiązań technicznych i administracyjnych (bezpieczeństwo fizyczne, środowiskowe, kontrola dostępu, plany ciągłości działania, zapewnienie ciągłości dostaw). Ponadto usługa kluczowa będzie monitorowana w trybie ciągłym. Konieczne jest przeprowadzenie audytu bezpieczeństwa systemu informatycznego oraz ustalenie osoby kontaktowej.

– Potencjalni operatorzy usługi kluczowej w sektorze kolejowym są wymienieni w załączniku do ustawy – to zarządcy infrastruktury kolejowej, przewoźnicy kolejowy, operatorzy infrasturkury usługowej (jeżeli przedsiębiorca wykonujący taką funkcję jest jednocześnie przewoźnikiem kolejowym). Na bazie informacji UTK wskazaliśmy, że może to być tylko ok. 10 podmiotów. Ale to rola Ministerstwa Infrastruktury wraz z UTK w określaniu tych podmiotów – ministerstwo ma pewne możliwości delegowania obowiązków za pomocą decyzji administracyjnej na UTK. Regulator będzie musiał dokonać analizy rynku i wskazać operatorów usług kluczowych do listopada 2018 r. Od tego momentu, po wydaniu decyzji administracyjnych, operator będzie miał trzy miesiące na dostosowanie się do pewnych wymagań, pół roku na objęcie usługi kluczowej monitorowaniem ciągłym, a rok na dokonanie audytu systemów informacyjnych – wyjaśnia Jarosław Łuba.

Bardziej pojemna jest kategoria dostawców usług cyfrowych, czyli podmiotów świadczących usługi przetwarzania danych w chmurze, wyszukiwarek internetowych oraz internetowych platform handlowych, którą mogą być objęte np. podmioty odpowiedzialne za sprzedaż biletów. Wymogi wobec dostawców są nieco lżejsze – muszą oni stosować zabezpieczenia systemów informacyjnych, realizować procedury dotyczące zarządzaniem incydentami.