Ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona przez Sejm RP 5 lipca 2018 r. Po podpisaniu przez Prezydenta RP została opublikowana w Dzienniku Ustaw RP 13 sierpnia br. (Dz. U. 2018 poz. 1560). Ustawa wchodzi w życie 28 sierpnia 2018 r.
Ustawa jest implementacją do prawa polskiego tzw. dyrektywy NIS, czyli Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Aby rzetelnie przeanalizować zapisy ustawy, niezbędne jest najpierw sięgnięcie do zapisów przedmiotowej dyrektywy europejskiej.
Dyrektywa NIS
Dyrektywa NIS zdefiniowała m.in. pojęcie bezpieczeństwa sieci i systemów informatycznych. Zgodnie z zapisami dyrektywy bezpieczeństwo sieci i systemów informatycznych definiowane jest jako odporność sieci i systemów informatycznych, przy danym poziomie zaufania, na wszelkie działania naruszające dostępność, autentyczność, integralność lub poufność przechowywanych lub przekazywanych, lub przetwarzanych danych lub związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy informatyczne.
Cel wdrożenia dyrektywy
Celem wdrożenia dyrektywy NIS ma być osiągnięcie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w Unii, aby poprawić funkcjonowanie rynku wewnętrznego.
W celu osiągnięcia celu dyrektywa NIS:
- ustanawia obowiązki wyznaczania właściwych organów krajowych, pojedynczych punktów kontaktowych oraz CSIRT mających zadania związane z bezpieczeństwem sieci i systemów informatycznych;
- ustanawia obowiązki dla operatorów usług kluczowych i dostawców usług cyfrowych dotyczące bezpieczeństwa i zgłaszania incydentów;
- nakłada obowiązek przyjęcia krajowej strategii w zakresie bezpieczeństwa sieci i systemów informatycznych;
- tworzy grupę współpracy oraz sieć zespołów CSIRT na poziomie międzynarodowym.
Dyrektywa z założenia nie dotyczy przedsiębiorców telekomunikacyjnych ani dostawców usług zaufania. To istotne wykluczenie wynika z faktu, iż ci przedsiębiorcy podlegają odrębnym regulacjom dotyczącym celów jakie postawiono przed dyrektywą NIS.
Wymóg zidentyfikowania operatorów usług kluczowych
W terminie do dnia 9 listopada 2018 r. w odniesieniu do każdego sektora i podsektora, których dotyczy dyrektywa, państwa członkowskie zidentyfikują operatorów usług kluczowych, przy czym łączne kryteria kwalifikacji są następujące:
- podmiot świadczy usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej;
- świadczenie tej usługi zależy od sieci i systemów informatycznych; oraz
- incydent miałby istotny skutek zakłócający dla świadczenia tej usługi.
Wymóg wytworzenia strategii
Każde państwo członkowskie przyjmuje krajową strategię w zakresie bezpieczeństwa sieci i systemów informatycznych określającą cele strategiczne i odpowiednie środki polityczne i regulacyjne mające na celu osiągnięcie i utrzymanie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych oraz obejmujące co najmniej sektory, o których mowa w załączniku II, i usługi, o których mowa w załączniku III. Krajowa strategia w zakresie bezpieczeństwa sieci i systemów informatycznych uwzględnia w szczególności następujące kwestie:
- cele i priorytety krajowej strategii w zakresie bezpieczeństwa sieci i systemów informatycznych;
- ramy zarządzania służące realizacji celów i priorytetów krajowej strategii w zakresie bezpieczeństwa sieci i systemów informatycznych, w tym role i zakresy obowiązków organów rządowych i innych właściwych podmiotów;
- określenie środków w zakresie gotowości, reagowania i przywracania stanu normalnego, w tym współpracy pomiędzy sektorami publicznym i prywatnym;
- wskazówki odnoszące się do programów edukacyjnych, informacyjnych i szkoleniowych dotyczących do strategii w zakresie bezpieczeństwa sieci i systemów informatycznych;
- wskazówki odnoszące się do planów badawczo-rozwojowych dotyczących strategii w zakresie bezpieczeństwa sieci i systemów informatycznych;
- plan oceny ryzyka służący określeniu ryzyk;
- wykaz różnych podmiotów zaangażowanych we wdrażanie strategii w zakresie bezpieczeństwa sieci i systemów informatycznych.
W Polsce mimo kilku prób taka strategia jak dotąd nigdy nie powstała. Aktualnie obowiązujący dokument o charakterze strategicznym ma niską rangę i są to przyjęte w 2017 roku Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022.
Wymóg wytworzenia formalnej współpracy na poziomie krajowym
Każde państwo członkowskie wyznacza krajowy pojedynczy punkt kontaktowy ds. bezpieczeństwa sieci i systemów informatycznych. Pojedynczy punkt kontaktowy pełni funkcję łącznikową w celu zapewnienia transgranicznej współpracy organów państw członkowskich oraz współpracy z odpowiednimi organami w innych państwach członkowskich.
Każde państwo członkowskie wyznacza jeden lub większą liczbę CSIRT spełniających wyspecyfikowane wymogi, obejmujących przynajmniej wyliczone w ustawie sektory i usługi. CSIRTy są odpowiedzialne za postępowanie w odniesieniu do ryzyk i postępowanie w przypadku incydentu zgodnie z jasno określoną procedurą.
Państwa członkowskie mają obowiązek zapewnić swoim CSIRT odpowiednie zasoby w celu skutecznej realizacji swoich zadań. Państwa członkowskie umożliwiają zespołom CSIRT dostęp do odpowiedniej, bezpiecznej i odpornej infrastruktury komunikacyjno-informacyjnej na poziomie krajowym.
Wymóg zapewniania bezpieczeństwa przez dostawców usług cyfrowych
Państwa członkowskie zapewniają, aby dostawcy usług cyfrowych określali i podejmowali odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykiem, na jakie narażone są sieci i systemy informatyczne. Środki te muszą obejmować co najmniej następujące elementy:
- bezpieczeństwo systemów i obiektów;
- postępowanie w przypadku incydentu;
- zarządzanie ciągłością działania;
- monitorowanie, audyt i testowanie.
Co ważne, powyższe obowiązki nie muszą być wdrażane w mikro- i małych przedsiębiorstwach, nawet jeżeli są dostawcami usług cyfrowych.
Neutralność technologiczna, zdefiniowanie sankcji, zadany termin
Państwa członkowskie bez faworyzowania konkretnych technologii mają zachęcać do stosowania europejskich lub uznanych międzynarodowo norm i specyfikacji mających znaczenie dla bezpieczeństwa sieci i systemów informatycznych. Porady i wytyczne w tym zakresie ma wypracować ENISA.
Państwa członkowskie ustanawiają przepisy dotyczące sankcji mających zastosowanie w przypadku naruszeń krajowych przepisów przyjętych na podstawie niniejszej dyrektywy i podejmują wszystkie niezbędne środki w celu zapewnienia ich wykonania. Przewidziane sankcje muszą być skuteczne, proporcjonalne i odstraszające.
Państwa członkowskie przyjmują i publikują w terminie do dnia 9 maja 2018 r. przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania dyrektywy a następnie stosują te środki od dnia 10 maja 2018 r.
Ustawa o KSC przez pryzmat dyrektywy NIS
Intencjonalny zakres ustawy musi być zgodny z zapisami implementowanej do polskiego porządku prawnego dyrektywy i w zapisach ustawy obejmuje:
- organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu;
- sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy;
- zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.
Rzeczywistą zawartość ustawy o KSC dobrze reprezentuje zestawienie tytułów wyróżnionych w ustawie rozdziałów:
- Przepisy ogólne
- Identyfikacja i rejestracja operatorów usług kluczowych
- Obowiązki operatorów usług kluczowych
- Obowiązki dostawców usług cyfrowych
- Obowiązki podmiotów publicznych
- Zadania CSIRT MON, CSIRT NASK i CSIRT GOV
- Zasady udostępniania informacji i przetwarzania danych osobowych
- Organy właściwe do spraw cyberbezpieczeństwa
- Zadania ministra właściwego do spraw informatyzacji
- Zadania Ministra Obrony Narodowej
- Nadzór i kontrola operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów świadczących usługi w zakresie cyberbezpieczeństwa
- Pełnomocnik i Kolegium
- Strategia
- Przepisy o karach pieniężnych
- Zmiany w przepisach, przepisy przejściowe, dostosowujące i końcowe
Zał. nr 1 Sektory i podsektory oraz rodzaje podmiotów
Na poziomie dyrektywy europejskiej zdefiniowano pojęcie „bezpieczeństwa sieci i systemów informatycznych”. W polskiej implementacji zamiast powyższego pojawia się definicja analogicznego pojęcia cyberbezpieczeństwa jako odporności systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Porównując tytułowe definicje obu aktów prawnych zwraca uwagę brak co najmniej nieprecyzyjnego w kontekście dyrektywy uwarunkowania „przy danym poziomie zaufania” w przyjętej w ustawie definicji cyberbezpieczeństwa.
Poddani regulacjom operatorzy usług kluczowych
Ustawa wprowadza do polskiego porządku prawnego pojęcie operatora usługi kluczowej, analogicznie do roli podmiotu dysponującego elementami infrastruktury krytycznej państwa, wobec którego z kolei regulacje zapisane zostały w ustawie o zarządzaniu kryzysowym.
Operator usług kluczowych ma dbać o teleinformatyczne bezpieczeństwo świadczonej usługi, ma zarządzać ryzykiem i ew. incydentami oraz dbać o dostępność bezpiecznej łączności w ramach krajowego systemu cyberbezpieczeństwa. Operator zarządza również dokumentacją dotyczącą cyberbezpieczeństwa świadczonej usługi. Rodzaje dokumentacji określane są w ramach rozporządzenia przez Radę Ministrów. Operator musi mieć zdolność klasyfikowania incydentów jako poważne i te bezwarunkowo zgłaszać do odpowiedniego CSIRT nie później niż 24 godziny od momentu jego wykrycia.
Wykaz operatorów usług kluczowych określa Rada Ministrów w drodze rozporządzenia. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa. Wykaz operatorów usług kluczowych nie jest publicznie dostępny. Dane z wykazu mogą być na wniosek udostępniane służbom, policji, sądom i prokuraturze. Brak dostępności publicznej wykazu operatorów usług kluczowych jest decyzją kontrowersyjną – uzasadnioną z punktu widzenia ochrony informacji, ale utrudniającą aplikowanie operatorom usług kluczowych o środki finansowe niezbędne do zapewnienia wysokiego poziomu cyberbezpieczeństwa.
Wpisanie podmiotu do wykazu operatorów usług krytycznych jest dla podmiotu zarówno kosztowne jak i pełne zobowiązań. Ustawa nakłada bowiem wiele obowiązków na wpisanego do rejestru operatora usługi kluczowej, w tym przede wszystkim wymóg wprowadzenia adekwatnych do ryzyka środków technicznych i organizacyjnych zapewniających względem usługi kluczowej:
- bezpieczne utrzymanie i eksploatację,
- bezpieczeństwo fizyczne z kontrolą dostępu,
- bezpieczeństwo i ciągłość dostaw niezbędnych usług zewnętrznych,
- zagwarantowanie niezakłóconego, zgodnego ze stworzonymi i zarządzanymi planami działania, świadczenia usługi z zapewnieniem poufności, integralności i dostępności, ale i również autentyczności informacji,
- monitorowanie usługi w trybie ciągłym.
Ponadto na operatora nałożono obowiązek zarządzania ryzykiem, analizy podatności oraz zarządzania incydentami. Incydenty poważne muszą być składane do właściwego CSIRT poziomu krajowego w przeciągu 24 godzin od momentu ich wykrycia.
Istotnym z wyliczonych względem operatora oczekiwań jest wymóg niezwłocznego podejmowania działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa. A że wymogiem ustawowym względem operatora jest również ciągłe zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, oznacza to, że operator jest zobowiązany do stałego śledzenia informacji o wykrywanych podatnościach i w przypadku, gdy taka podatność dotyczy wykorzystywanego oprogramowania, niezwłocznego podejmowania działań zaradczych. Nie zawsze sprowadzi się to do aktualizacji oprogramowania, bo łaty nie zawsze będą niezwłocznie gotowe. Reasumując, w tym zakresie w praktyce należy spodziewać się konieczności wsparcia operatorów usług krytycznych umowami z wyspecjalizowanymi podmiotami zajmującymi się profilaktyką w bezpieczeństwie teleinformatycznym.
Ponadto na operatora usługi nakłada się obowiązki względem użytkowników tej usługi. Operator musi zapewnić użytkownikowi usługi dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności poprzez publikowanie informacji na ten temat na swojej stronie internetowej.
Operator ma również tworzyć i zarządzać dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi, przy czym rodzaje dokumentacji mają być określone w rozporządzeniu.
Bardzo ważne zapisy ustawy dotyczą obligatoryjności regularnych audytów u operatorów usług kluczowych. Audyt bezpieczeństwa systemu informacyjnego usługi musi być wykonywany nie rzadziej niż raz na dwa lata, przy czym pierwszy audyt musi być przeprowadzony w pierwszym roku. Wzrasta rola certyfikacji audytorów. Zgodnie z Rozporządzeniem Ministra Cyfryzacji lista certyfikatów dopuszczających do przeprowadzania audytu obejmuje: CISA, CISM, CISSP, audytor wiodący 27001, audytor wiodący 22301 (ciągłość działania), CIA, CRISC, CGEIT, SSCP. Poza certyfikatami od audytorów wymagane jest konkretne udokumentowane doświadczenie.
Wykaz sektorów i podsektorów, których podmiotowo dotyczy możliwość wpisania do wykazu operatorów usług kluczowych, obejmuje:
- energetykę: wydobywanie kopalin, energia elektryczna, ciepło, ropa naftowa, gaz, dostawy i usługi dla sektora, jednostki nadzorowane i podległe;
- transport: transport lotniczy, transport kolejowy, transport wodny, transport drogowy,
- bankowość i infrastruktura rynków finansowych,
- ochronę zdrowia,
- zaopatrzenie w wodę pitną i jej dystrybucja,
- infrastrukturę cyfrową.
Usługi cyfrowe, które stanowią przedmiot regulacji ustawy obejmuje:
- internetowe platformy handlowe,
- usługi przetwarzania w chmurze,
- wyszukiwarki internetowe.
Cyberbezpieczeństwo na poziomie państwowym
Koordynowanie działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w Rzeczypospolitej Polskiej powierza się Pełnomocnikowi. Pełnomocnika powołuje i odwołuje Prezes Rady Ministrów ale pełnomocnik, w randze co najmniej wiceministra, ma podlegać nie premierowi a całej Radzie Ministrów. Ustawa nie wskazuje również resortu, z którego ma się wywodzić pełnomocnik. To nie jest optymalna decyzja – chociażby z punktu widzenia zapewnienia środków organizacyjnych i zagwarantowania konkretnego budżetu.
Sieć CSIRT tworzona na poziomie krajowym obejmuje w Polsce trzy podmioty: CSIRT MON, CSIRT NASK (cert.pl) i CSIRT GOV (ABW), której dotąd na roboczo i tak ze sobą już współpracowały.
Istotna zdefiniowana w ustawie rola, to organ właściwy do spraw cyberbezpieczeństwa. To właśnie ten organ wydaje decyzję o uznaniu podmiotu za operatora usługi kluczowej oraz monitoruje stosowanie przepisów ustawy i prowadzi kontrole operatorów usług kluczowych i dostawców usług cyfrowych.
Organ właściwy do spraw cyberbezpieczeństwa niestety tylko z nazwy jest jednym podmiotem koordynującym w państwie kwestie cyberbezpieczeństwa. Ustawa nakłada obowiązki organu de facto na poszczególne instytucje nadzorujące na co dzień podmioty z wykazu operatorów usług krytycznych i tak organami właściwymi do spraw cyberbezpieczeństwa są:
- dla dostawców usług cyfrowych: minister właściwy do spraw informatyzacji a dla części MON;
- dla sektora infrastruktury cyfrowej: minister właściwy dla sektora infrastruktury cyfrowej a dla części MON;
- dla sektora bankowego i infrastruktury rynków finansowych: Komisja Nadzoru Finansowego;
- dla sektora ochrony zdrowia: minister właściwy do spraw zdrowia a dla części MON;
- dla sektora energii: minister właściwy do spraw energii;
- dla sektora transportu: minister właściwy do spraw transportu a dla części minister właściwy do spraw gospodarki morskiej i minister właściwy do spraw żeglugi śródlądowej;
- dla sektora zaopatrzenia w wodę pitną i jej dystrybucji: minister właściwy do spraw gospodarki wodnej.
Skala i wyzwania w zapisach towarzyszących ustawie rozporządzeń
Jesteśmy opóźnieni. Rozporządzenia – na moment rozpoczęcia obowiązywania ustawy są w większości nieuzgodnione na szczeblu rządowym, a samych rozporządzeń docelowo będzie obowiązywać sporo:
- Rozporządzenie Rady Ministrów w sprawie progów uznania incydentu za poważny
- Rozporządzenie Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych
- Rozporządzenie Rady Ministrów w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa
- Rozporządzenie Rady Ministrów w sprawie dokumentacji cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych
- Rozporządzenie Ministra Cyfryzacji w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług
- Rozporządzenie Ministra Cyfryzacji w sprawie wzoru formularza do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług
- Rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo
- Rozporządzenie Ministra Cyfryzacji w sprawie wykazu certyfikatów uprawniających do przeprowadzania audytu
Będzie lepiej czy gorzej?
Czy będzie lepiej? Chyba tak, pewnie tak, bądźmy optymistami. Dobrze, że taki element obowiązującego prawa w randze ustawy powstał. Istnienie ustawy daje na przykład zasadniczą przesłankę do wydatkowania na jej realizację środków z budżetu państwa – a od zawsze brak takich środków był bolączką uniemożliwiającą wdrożenie realnie sprawnego systemu bezpieczeństwa cyberprzestrzeni w Polsce.
Uczciwa odpowiedź na pytanie, czy będzie lepiej jednak powinna brzmieć: nie wiadomo. Zasadniczo powinno być lepiej, chociażby ze względu na fakt wymuszenia regularnego audytowania pod względem poziomu cyberbezpieczeństwa wielu istotnych systemów i usług. Z drugiej strony, pokazane rozdrobnienie odpowiedzialności zarządczej nie wróży skuteczności koordynacji w sytuacjach kryzysowych. Nie znalazłem także w ustawie informacji o roli powołanego w 2017 roku Narodowego Centrum Cyberbezpieczeństwa, a to m.in. oznacza, że ustawa nie przewiduje bezpośrednio środków finansowych na taki byt – a mogłaby. Ustawa nie obliguje też do regularnych skoordynowanych ćwiczeń na poziomie rządowym realnie angażujących tak wiele podmiotów. Jeszcze inny aspekt: czy zgodnie z intencjami i zobowiązaniami dyrektywy zapisane w ustawie wysokości sankcji będą skuteczne, proporcjonalne i odstraszające? Moim zdaniem nie, ale rozumiem w tym względzie intencje ustawodawcy, gdy zarazem nie zaplanował przeznaczenia w skali realnie niezbędnej środków finansowych na zapewnienie właściwego poziomu cyberbezpieczeństwa państwa.
Opisany w ustawie system, aby realnie funkcjonował, wymaga ogromnych środków finansowych. Niestety, zapisy dotyczące finansowania zamiast koncentrować się na tym, ile pieniędzy zostanie zagwarantowanych na zapewnienie cyberbezpieczeństwa, bardziej ustalają odgórne limity finansowe na poszczególne lata w poszczególnych resortach i to na zupełnie nieadekwatnym względem realnych potrzeb poziomie. Będzie więc lepiej albo gorzej – albo będzie jakoś tam, czyli jak dotąd.