Tło strzałki Strzałka
0 0
dni
0 0
godz
0 0
min
0 0
sek

Cyberbezpieczeństwo - ustawa o krajowym systemie cyberbezpieczeństwa

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Wprowadzenie do polskiego porządku prawnego Ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa – jak stwierdzono w uzasadnieniu do tej regulacji – wynikało z dostrzeżenia rosnącego wpływu technologii teleinformatycznych na rozwój społeczno-gospodarczy państw oraz wzrostu ich wykorzystania. Rozbudowana architektura systemów teleinformatycznych służy rozwojowi komunikacji, handlu, transportu i stanowi podstawę funkcjonowania różnego rodzaju usług. Możliwości oferowane przez nowoczesne technologie cyfrowe wykorzystywane są też niestety w celu stosowania praktyk nieuczciwej konkurencji, przerywania ciągłości świadczenia usług, popełniania przestępstw z wykorzystaniem internetu oraz prowadzenia działań o charakterze terrorystycznym. Dowiedz się z artykułu, kto odpowiada za cyberbezpieczeństwo.

Dyrektywa 2016/1148

6 lipca 2016 roku przyjęto dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Zobowiązuje ona wszystkie państwa członkowskie UE do zagwarantowania minimalnego poziomu zdolności krajowych w dziedzinie cyberbezpieczeństwa przez ustanowienie organów właściwych oraz pojedynczego punktu kontaktowego do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (CSIRT) oraz przyjęcia krajowych strategii w zakresie cyberbezpieczeństwa.

Dyrektywa formułuje obowiązki służące zapewnieniu cyberbezpieczeństwa systemów informacyjnych w sektorach usług mających kluczowe znaczenie dla utrzymania krytycznej działalności społeczno-gospodarczej, a więc w energetyce, transporcie, bankowości, instytucjach finansowych, sektorze ochrony zdrowia, zaopatrzenia w wodę i infrastrukturze cyfrowej. Wprowadza pojęcie operatora usługi kluczowej, czyli podmiotu świadczącego z wykorzystaniem systemów informacyjnych usługę kluczową, w której przypadku incydenty bezpieczeństwa teleinformatycznego mogłyby mieć istotny wpływ na jej świadczenie. Ustawa o krajowym systemie cyberbezpieczeństwa stanowi implementację wytycznych dyrektywy do prawodawstwa krajowego.

Co reguluje ustawa?

Ustawa określa:

  • organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu,
  • sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy,
  • zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. 

Spośród zdefiniowanych w ustawie pojęć warto wymienić przede wszystkim:

  • cyberbezpieczeństwo – odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy;
  • incydent – zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo;
  • incydent krytyczny – incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwą instytucję, określoną w ustawie;
  • incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej;
  • incydent istotny – incydent, który ma istotny wpływ na świadczenie usługi cyfrowej;
  • incydent w podmiocie publicznym – incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny;
  • obsługa incydentu – czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu;
  • podatność – właściwość systemu informacyjnego, która może być wykorzystana przez zagrożenie cyberbezpieczeństwa;
  • ryzyko – kombinację prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji;
  • usługa kluczowa – usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych;
  • zarządzanie incydentem – obsługę incydentu, wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków wynikających z obsługi incydentu.

Cyberbezpieczeństwo - instytucje reagowania

Ustawa usankcjonowała istniejące i działające już wcześniej 3 podmioty na poziomie krajowym, które w ramach swojej działalności zajmują się reagowaniem na incydenty komputerowe. Zgodnie z terminologią przyjętą w dyrektywie 2016/1148 zostały one określone jako CSIRT (ang. Computer Security Incident Response Teams) i w Polsce są to CSIRT GOV, czyli Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL, CSIRT MON, czyli System Reagowania na Incydenty Komputerowe Resortu Obrony Narodowej oraz CSIRT NASK, czyli NC Cyber, które zostały opisane wcześniej.

Krajowy system bezpieczeństwa

Celami krajowego systemu bezpieczeństwa są zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów.

System obejmuje szereg podmiotów, wśród których ustawa wymienia:

  • operatorów usług kluczowych;
  • dostawców usług cyfrowych;
  • CSIRT MON, CSIRT NASK i CSIRT GOV;
  • sektorowe zespoły cyberbezpieczeństwa;
  • większość jednostek sektora finansów publicznych;
  • instytuty badawcze;
  • Narodowy Bank Polski i Bank Gospodarstwa Krajowego;
  • podmioty świadczące usługi z zakresu cyberbezpieczeństwa;
  • organy właściwe do spraw cyberbezpieczeństwa;
  • Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa;
  • Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa;
  • Kolegium do Spraw Cyberbezpieczeństwa.

Obowiązki operatorów usług kluczowych

Operatorem usługi kluczowej jest podmiot działający w sektorach energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji oraz infrastruktury cyfrowej. Do jego obowiązków zaliczono:

  • wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej;
  • wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
  • opracowanie, wdrożenie i aktualizację dokumentacji cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
  • obsługę incydentów i zgłaszanie incydentów poważnych;
  • powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa;
  • przeprowadzanie audytów bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

Obowiązki dostawców usług cyfrowych

Dostawcą usługi cyfrowej jest osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej mająca siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadcząca usługę cyfrową, z wyjątkiem mikroprzedsiębiorców i małych przedsiębiorców, w rozumieniu przepisów Ustawy z dnia 6 marca 2018 roku – Prawo przedsiębiorców.

Dostawca usługi cyfrowej ma obowiązek podejmowania właściwych i proporcjonalnych środków technicznie i organizacyjnie w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej. Środki te muszą zapewniać cyberbezpieczeństwo odpowiednie do istniejącego ryzyka oraz uwzględniać:

  • bezpieczeństwo systemów informacyjnych i obiektów;
  • postępowanie w przypadku obsługi incydentu;
  • zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej;
  • monitorowanie, audyt i testowanie;
  • najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi.

Dostawca usługi cyfrowej jest też zobowiązany do podejmowania środków zapobiegających i minimalizujących wpływ incydentów na usługę cyfrową w celu zapewnienia ciągłości świadczenia tej usługi, a także realizowania działań w zakresie wykrywania, rejestrowania, zgłaszania, analizowania oraz klasyfikowania incydentów.

Zadania CSIRT

CSIRT MON, CSIRT NASK i CSIRT GOV współpracują ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa, zapewniając spójny i kompletny system zarządzania ryzykiem na poziomie krajowym, realizując zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także zapewniając koordynację obsługi zgłoszonych incydentów.

Do zadań wspomnianych instytucji należy m.in.:

  • monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym;
  • szacowanie ryzyka związanego z ujawnionym zagrożeniem cyberbezpieczeństwa oraz zaistniałymi incydentami, w tym prowadzenie dynamicznej analizy ryzyka;
  • przekazywanie informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa;
  • wydawanie komunikatów o zidentyfikowanych zagrożeniach cyberbezpieczeństwa;
  • reagowanie na zgłoszone incydenty;
  • przeprowadzanie w uzasadnionych przypadkach badania urządzenia informatycznego lub oprogramowania w celu identyfikacji podatności, której wykorzystanie może zagrozić w szczególności integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa, oraz składanie wniosków w sprawie rekomendacji dla podmiotów krajowego systemu cyberbezpieczeństwa dotyczących stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa;
  • współpraca z sektorowymi zespołami cyberbezpieczeństwa w zakresie koordynowania obsługi incydentów poważnych, w tym dotyczących 2 lub większej liczby państw członkowskich Unii Europejskiej, i incydentów krytycznych oraz w zakresie wymiany informacji pozwalających przeciwdziałać zagrożeniom cyberbezpieczeństwa;
  • przekazywanie do innych państw, w tym państw członkowskich Unii Europejskiej, i przyjmowanie z tych państw informacji o incydentach poważnych i incydentach istotnych dotyczących 2 lub większej liczby państw członkowskich, a także przekazywanie do Pojedynczego Punktu Kontaktowego zgłoszenia incydentu poważnego i istotnego dotyczącego 2 lub większej liczby państw członkowskich Unii Europejskiej;
  • zapewnienie zaplecza analitycznego oraz badawczo-rozwojowego;
  • zapewnienie możliwości dokonywania zgłoszeń i przekazywania informacji o incydentach oraz udostępnienie i obsługa środków komunikacji pozwalających na dokonywanie tych zgłoszeń.

Zgłoszenia incydentu (do CSIRT NASK) mogą dokonać nie tylko operatorzy usług kluczowych i dostawcy usług cyfrowych, lecz również inne podmioty, w tym osoby fizyczne, podając nazwę podmiotu lub systemu informacyjnego, w którym wystąpił incydent, opis incydentu oraz inne istotne informacje.

Chociaż ustawa określa zadania i obowiązki podmiotów wchodzących w skład krajowego systemu bezpieczeństwa, jej unormowania oddziałują na funkcjonowanie wszelkich podmiotów prowadzących swoją działalność na terenie polskiego państwa, w tym należących do sektora prywatnego, a także mają znaczenie dla poszczególnych osób fizycznych. Niektóre rozwiązania ustawowe dotyczące eliminacji ryzyk w zakresie cyberbezpieczeństwa i reagowania na incydenty można wykorzystywać jako podpowiedź w zakresie kształtowania dobrych praktyk w każdej firmie.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów