Cyberbezpieczeństwo na ostatniej prostej. Młodsza siostra RODO nadciąga cichym lotem

Ogrom nowych obowiązków dla przedsiębiorców, wielka władza w rękach ministra cyfryzacji oraz bałagan w procedurach. Tak na dziś zapowiada się ustawa o krajowym systemie cyberbezpieczeństwa, którą Sejm ma uchwalić na najbliższym posiedzeniu, a wejdzie w życie jeszcze w wakacje

O unijnym rozporządzeniu o ochronie danych osobowych (czyli RODO), które weszło w życie 25 maja br. – słyszeli niemal wszyscy przedsiębiorcy. O dyrektywie NIS (czyli dyrektywie Parlamentu Europejskiego i Rady nr 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii) – niewielu. A unijni decydenci chcieli, aby w praktyce oba unijne akty prawne wzajemnie się uzupełniały. I by skuteczność rozwiązań z jednego aktu prawnego opierała się na efektywnym funkcjonowaniu drugiego. Bo oba akt prawne są powiązane. Pierwszy dotyczy ochrony danych osobowych. Drugi zaś obejmuje kwestie technicznej ochrony przed atakami hakerów i innymi incydentami zagrażającymi bezpieczeństwu sieci (patrz ramka 1).

Ramka 1

Dyrektywa NIS, czyli co?

W największym uproszczeniu: dyrektywa NIS zobowiązuje wszystkie państwa członkowskie UE do zagwarantowania na szczeblu krajowym minimalnego poziomu cyberbezpieczeństwa, m.in. przez ustanowienie organów właściwych do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (tzw. CSIRT, ang. Computer Security Incident Response Team) oraz przyjęcie krajowych strategii w zakresie cyberbezpieczeństwa.

Prace nad dyrektywą rozpoczęły się pięć lat temu. Komisja Europejska 14 lutego 2013 r. przedstawiła wraz z wysokim przedstawicielem unii do spraw zagranicznych i polityki bezpieczeństwa komunikat w sprawie europejskiej strategii bezpieczeństwa cybernetycznego: „Otwarta, bezpieczna i chroniona cyberprzestrzeń”. Do strategii dołączono wniosek legislacyjny w sprawie dyrektywy dotyczącej cyberbezpieczeństwa. Ostatecznie dyrektywa Parlamentu Europejskiego i Rady (UE) nr 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii została przyjęta 6 lipca 2016 r. (Dz.Urz. UE z 2016 r. L 194, s. 1). Jest powszechnie nazywana dyrektywą NIS (ang. Network and Information Systems Directive). ©℗

Gdzie kucharek sześć…

Termin implementacji dyrektywy NIS do krajowych porządków prawnych minął 9 maja 2018 r. Polska go nie dotrzymała. Projekt rodzimej ustawy o krajowym systemie cyberbezpieczeństwa od samego początku powstawał bowiem w bólach i atmosferze konfliktu – o czym donosiły media branżowe. Oficjalnie odpowiadało za nią Ministerstwo Cyfryzacji, ale resort obrony narodowej nie ukrywał, że tematykę cyberbezpieczeństwa chciałby mieć u siebie. A i inne resorty też chciały dorzucić swoje trzy grosze. „Ustawa o krajowym systemie cyberbezpieczeństwa powstawała w mękach i w bólach jeszcze zanim zdymisjonowano Annę Streżyńską. Teraz Ministerstwo Cyfryzacji istnieje raczej w formie przetrwalnikowej i praktycznie nie ma polityka, którego można uznać za silnego przywódcę polskiej informatyzacji. Ustawa o cyberbezpieczeństwie jest raczej ważna, ale od początku powstawała w klimacie konfliktu na linii MC‒MON, a teraz dodatkowe problemy chce dorzucić Ministerstwo Finansów” – informował niedawno branżowy portal Niebezpiecznik.pl. Pojawiły się nawet zarzuty, że nasze państwo mało poważnie, a nawet lekceważąco w porównaniu do innych państw, traktuje kwestie cyberbezpieczeństwa. Wspomniany portal branżowy powoływał się na swych informatorów, którzy wyjaśniali, że urzędnicy w ogóle nie zdają sobie sprawę z wagi ustawy, nad którą pracują. I że ich rozwiązaniem na wszelkie bolączki będzie po prostu obłożenie nowymi obowiązkami przedsiębiorców, bez dawania wiele od państwa.

!Termin implementacji unijnej dyrektywy NIS, dotyczącej minimalnego poziomu cyberbezpieczeństwa, do krajowych porządków prawnych państw członkowskich UE minął 9 maja 2018 r. Polska go nie dotrzymała.

„Pieniędzy w budżecie nie ma nawet na podstawowe rzeczy, które wpisano w ustawę. Choć od dwóch lat nie jest tajemnicą, że termin jej wprowadzenia upływa w maju br. (jest to wymuszone terminem implementacji tzw. dyrektywy NIS) i MC jasno komunikowało konieczność zabezpieczenia środków na ten cel. Ulubioną mantrą MF jest najwyraźniej «zadania nie powinny stanowić podstawy do ubiegania się o dodatkowe środki». Postawmy sprawę jasno – dotyczy to finansowania instytucji, które mają zadbać m.in. o analizę zagrożeń, reagowanie na poważne incydenty i ocenę ryzyka dla systemów wykorzystywanych do świadczenia kluczowych usług” – alarmowano na łamach Niebezpiecznik.pl.

Projekt ustawy ostatecznie powstał i ministrowi cyfryzacji udało się obronić jego zwierzchnictwo nad projektem polskiego cyberbezpieczeństwa. Tyle że nie udało mu się przekonać do niego biznesu. Krytycznie wypowiedziała się na jej temat m.in. Konfederacja przedsiębiorców Lewiatan. Przedsiębiorcy krytykują ją z wielu powodów, m.in. uważają, że przedsiębiorcy będą zobowiązani ponieść zbyt duże koszty związane z wdrożeniem nowych obowiązków. Wytykają też mało precyzyjne obowiązki oraz brak wyznaczonego jednego punktu zgłoszeń incydentów na poziomie krajowym (patrz opinia Konfederacji Lewiatan).

Opinia Konfederacji Lewiatan z 13 czerwca 2018 r. (fragment)

(...) Podniesienie poziomu krajowego cyberbezpieczeństwa bez wątpienia stanowi kluczowe wyzwanie, zarówno dla sektora publicznego, jak i dla prywatnych przedsiębiorców. Niestety jednak proponowany model realizacji zadań państwa w obszarze cyberbezpieczeństwa może okazać się z jednej strony niewystarczająco efektywny, a z drugiej zbytnio ingerujący w sferę działalności podmiotów gospodarczych.

Czekając na resort

Nowe zadania dla przedsiębiorców mogą być uciążliwe i na pewno będą kosztowne. Ministerstwo Cyfryzacji w uzasadnieniu do projektu ustawy przyznaje, że koszty dla przeciętnej firmy objętej systemem cyberbezpieczeństwa będą wynosić nawet ponad 200 tys. zł rocznie

Zgodnie z uzasadnieniem projektu ustawy nowymi obowiązkami objętych ma zostać kilkaset dużych i średnich firm. Chodzi tutaj o operatorów usług kluczowych: firmy z sektora energetycznego (w tym m.in. dostawców energii elektrycznej i ciepła, firmy wydobywcze), transportowego, bankowości, ochrony zdrowia, zaopatrzenia w wodę pitną oraz dostawców usług cyfrowych (patrz infografika).

Przedsiębiorcy ważnym filarem w krajowym systemie cyberbezpieczeństwa

Jednak nowy system obejmie również podmioty publiczne, takie jak jednostki sektora finansów publicznych (czyli m.in. gminy), instytuty badawcze, a także wiele instytucji, wśród nich Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polskie Centrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej i inne (łącznie kilka tysięcy).

Sęk w tym, że przedsiębiorcy aż do dnia objęcia ich regulacjami mogą nie wiedzieć, iż będą ich dotyczyć nowe obowiązki. Nie ma bowiem sztywnych kryteriów, kiedy ktoś będzie podlegał obowiązkom, a kiedy nie. Decydować o tym będzie minister cyfryzacji w wydawanym przez siebie rozporządzeniu (patrz pytania do dr. Marka Porzeżyńskiego).

W efekcie przedsiębiorcy obawiają się, że choć w projekcie ustawy mówi się o kilkuset firmach, minister zobowiąże do realizacji nowych obowiązków nawet kilka tysięcy podmiotów.

– Wątpliwości budzi to, że do konsultacji z opóźnieniem skierowane zostały projekty obligatoryjnych rozporządzeń, których postanowienia będą bardzo istotne dla całego systemu ochrony cyberprzestrzeni, a tym samym mają kluczowy wpływ na ocenę całości proponowanych rozwiązań. Ustawa powinna być konsultowana i procedowana w pakiecie wraz ze wszystkimi (przynajmniej obligatoryjnymi) aktami wykonawczymi – zaznacza dr Aleksandra Musielak, ekspertka Konfederacji Lewiatan.

Operatorzy usług kluczowych

A jacy konkretnie przedsiębiorcy będą podlegali obowiązkom ustawy o krajowym systemie cyberbezpieczeństwa? Za operatorów usług kluczowych zostanie uznany podmiot spełniający łącznie następujące przesłanki:

• będzie świadczył usługę kluczową wymienioną w wykazie usług kluczowych,
• świadczenie tej usługi będzie zależeć od systemów informacyjnych,
• incydent (zdarzenie teleinformatyczne) miałby istotny skutek zakłócający świadczenie usługi,
• będzie jednym z podmiotów wymienionych w załączniku do ustawy.

Operatorzy usług kluczowych będą wskazywani przez ministra cyfryzacji wyłącznie spośród przedsiębiorców działających w kluczowych z punktu widzenia państwa sektorach gospodarki. Ustawodawca nie planuje objąć nowymi wymogami wszystkich przedsiębiorców z wyżej wskazanych sektorów, lecz tylko niektórych. Przykładowo wskazuje, że wśród przedsiębiorców prowadzących apteki nowe obowiązki będą dotyczyć pięćdziesięciu największych firm. To jednak w praktyce oznacza, że będą to już przedsiębiorcy średniej wielkości, a nie tylko ci najwięksi.

Decyzja (prawie) indywidualna

Uznanie przedsiębiorcy za operatora usługi kluczowej będzie odbywało się w formie wydania decyzji administracyjnej. Od czasu jej otrzymania przedsiębiorca powinien realizować postanowienia ustawy o krajowym systemie cyberbezpieczeństwa i dopiero od dnia otrzymania decyzji będzie można egzekwować od niego odpowiedzialność za ewentualne naruszenia.

Co istotne, ustawodawca przewiduje, że odpowiedzialność za przestrzeganie przepisów zawsze będzie ponosił właśnie operator usług kluczowych. I to nawet wówczas, gdy na podstawie umów na świadczenie usług przekaże realizację obowiązków podmiotowi trzeciemu. Mówiąc prościej, zawarcie umowy z profesjonalną, wyspecjalizowaną firmą w razie problemów nie uwolni przedsiębiorcy wpisanego do wykazu operatorów usług kluczowych od odpowiedzialności. Będzie on miał co najwyżej własne roszczenie do swego partnera biznesowego z tytułu niewywiązania się z usługi. Jeśli np. spółka X powierzy usługę „zarządzania wszelkimi systemami informatycznymi, w tym stworzenia procedury cyberbezpieczeństwa” spółce Y i okaże się, że procedura była wadliwa (np. doszło do incydentu krytycznego, który wynikał z luk w systemie), to i tak ukarana zostanie spółka X. Zdaniem ustawodawcy zadaniem operatora usług kluczowych jest dbałość o przestrzeganie wymogów w każdej sytuacji, niezależnie od tego, kto faktycznie dba o cyberbezpieczeństwo w firmie. Mówiąc prościej: outsourcing nie zwalnia z odpowiedzialności administracyjnej.

pytania do eksperta

Wiele podmiotów może być zaskoczonych

dr Marek Porzeżyński ekspert ds. cyberbezpieczeństwa w kancelarii WKB Wierciński, Kwieciński, Baehr

W Sejmie trwają prace nad ustawą o krajowym systemie cyberbezpieczeństwa. Czy potrzebne są nowe regulacje w tej dziedzinie?

Ryzyka cybernetyczne są w tej chwili jednym z największych zagrożeń, zarówno w mniejszej skali – dotyczącej gospodarki wewnętrznej państw, jak i w kontekście stosunków międzynarodowych. Projekt ustawy o krajowym systemie cyberbezpieczeństwa stanowi implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Jednak akt prawny, w ramach którego skoordynowany będzie system bezpieczeństwa cybernetycznego, był już wcześniej planowany w ramach rządowej strategii cyberbezpieczeństwa i należy go uznać za niezbędny.

Projektowana ustawa wpisuje się w szersze działania podejmowane przez polskie władze. Jeszcze w 2017 r. uruchomiono Narodowe Centrum Cyberbezpieczeństwa, które ma być instytucją wspierającą bezpieczeństwo cybernetyczne w Polsce. Zmiany w tym zakresie są zdecydowanie potrzebne i wprowadzane już od paru lat.

Jak szerokiej grupy podmiotów będą dotyczyły nowe obowiązki? Czy ustawa nie nazbyt płynnie ustala granicę kręgu podmiotów zobowiązanych?

Projektowany akt prawny między innymi zakłada objęcie szczególną ochroną, a w tym również szczególnymi obowiązkami, dwóch głównych kategorii podmiotowych: operatorów usług kluczowych i dostawców usług cyfrowych. Chodzi o to, aby wskazane podmioty ze względu na ich znaczenie dla działalności państwa były dostatecznie dobrze chronione przed niebezpieczeństwami płynącymi z cyberprzestrzeni. Aby taka ochrona nie pozostawała jedynie w sferze deklaracji, ustawodawca musiał posunąć się do nałożenia na te podmioty dodatkowych obowiązków. Zatem co do zasady powyższe podejście jest racjonalne i potrzebne dla zachowania odpowiedniego poziomu bezpieczeństwa.

Problemy pojawiają się niestety już na samym początku szczegółowej analizy projektu ustawy, ponieważ kwalifikacja podmiotu jako operatora usługi kluczowej (na którym spoczywają dodatkowe obowiązki) nie jest jasna. Kwalifikacji takiej dokonuje bowiem organ właściwy (w zależności od sektora, do którego dany podmiot należy), który bierze pod uwagę, czy podmiot ten świadczy usługę mającą kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej. Ocena zależy też od systemów informatycznych. Wiele podmiotów może być zatem zaskoczonych otrzymaniem decyzji o uznaniu za operatora usługi kluczowej, co najprawdopodobniej zostało zauważone przez ustawodawcę, gdyż na spełnienie nowych obowiązków wyznaczono terminy rozpoczynające swój bieg w momencie otrzymania decyzji.

Ze spełnieniem jakich obowiązków przedsiębiorcy mogą mieć największy problem w praktyce?

Obowiązki, które przewidziano dla tych podmiotów, dotyczą wdrożenia efektywnego systemu zarządzania bezpieczeństwem, czyli np. zarządzania ryzykiem, stosowania skutecznych zabezpieczeń systemów informacyjnych i procedur. W szczególności należy wskazać, że do obowiązków operatorów usług kluczowych należy objęcie systemu informatycznego monitorowaniem w trybie ciągłym, co może być w wielu przypadkach kosztowne. Podmioty takie powinny również wyznaczyć (lub zatrudnić) osobę, która będzie odpowiednia za kontakty z innymi podmiotami krajowego systemu cyberbezpieczeństwa. Dodatkowo należy wskazać, że problematyczne może być spełnienie przez operatorów usług cyfrowych, jak również dostawców usług cyfrowych, obowiązku zgłaszania incydentu (uznanego za istotny, co wymaga przeprowadzenia analizy w tym zakresie w czasie pozwalającym na terminowe zgłoszenie) nie później niż w ciągu 24 godzin od momentu wykrycia. Wdrożenie odpowiednich zabezpieczeń i procedur może być zatem dużym wysiłkiem organizacyjnym i łączyć się w wielu przypadkach ze znaczącymi kosztami. ©℗

Rozmawiał Patryk Słowik

Firmy vs ogólnikowe przepisy

Podmioty, na które nałożono obowiązki, mogą mieć kłopot z ich realizacją. Wykaz wymogów jest szeroki, ale nie zawsze są one precyzyjnie opisane. Przedsiębiorca może nie wiedzieć, jakie w praktyce działania powinien podjąć

Podstawowe obowiązki operatorów usług kluczowych ujęte są w sposób znany z unijnych aktów, czyli bardzo ogólnikowo, na zasadzie „rób, jak chcesz, oby było dobrze”.

Lista długa…

I tak zgodnie z art. 8 projektu rodzimej ustawy operator usługi kluczowej musi wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym, wykorzystywanym do świadczenia usługi kluczowej. Pod określeniem „system” kryje się szeroki krąg działań i procedur. I tak, w ramach tego systemu konieczne jest:

1) systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzanie ryzykiem wystąpienia incydentu;

2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy; chodzi m.in. o:

a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,

b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,

c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,

d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz poufność, integralność, dostępność i autentyczność informacji,

e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;

3) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

4) zarządzanie incydentami;

5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:

a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,

b) dbałość o aktualizację oprogramowania,

c) ochrona przed nieuprawnioną modyfikacją w systemie informacyjnym,

d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;

6) stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

…ale nieprecyzyjna

Jak z tego wynika, wykaz obowiązków jest obszerny. Rzecz w tym, że przepisy są nieprecyzyjne. Co prawda, przeciętny przedsiębiorca ma postawione wytyczne, co powinien zrobić i jakie warunki powinny spełniać przyjęte przez niego procedury, ale już nie dowiaduje się, jak w praktyce ma to zrobić. Na to pytanie niestety ani unijna dyrektywa, ani rodzima ustawa o krajowym systemie cyberbezpieczeństwa nie udzielają odpowiedzi.

Zdaniem większości ekspertów w praktyce przedsiębiorcy uznani za operatorów usług kluczowych będą powierzali opracowanie i nadzór nad systemem cyberbezpieczeństwa wydzielonej komórce w dziale IT lub korzystali z usług wyspecjalizowanych podmiotów.

Wyznaczenie osoby odpowiedzialnej

W ustawie jest jednak kilka jasno wskazanych obowiązków. Kluczowy z nich to obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Każdy przedsiębiorca, uznany w decyzji administracyjnej za operatora usług kluczowych, będzie musiał w ciągu 14 dni przekazać do organu właściwego do spraw cyberbezpieczeństwa imię, nazwisko, numer telefonu i adres e-mail powołanego firmowego koordynatora. Ustawa nie określa kompetencji, które powinna mieć wyznaczona osoba, nie ma więc wymogów np. wyższego wykształcenia informatycznego.

Za niewskazanie firmowego koordynatora w terminie grozi administracyjna kara pieniężna w wysokości do 15 tys. zł. Może być ona ponawiana, jeśli nałożenie pierwszej nie zmotywuje przedsiębiorcy do działania.

Informacje dla użytkowników

Kolejnym czytelnym obowiązkiem jest konieczność zapewniania użytkownikom usług kluczowych dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji w tym zakresie na swojej stronie internetowej. Już dziś robi to większość banków, informując wyraźnie klientów na swych stronach o potencjalnych zagrożeniach związanych z cyberbezpieczeństwem.

Dla przedsiębiorców z branży ochrony zdrowia czy wodociągowej będzie to jednak nowość. Teraz oni również będą musieli w odpowiedni sposób informować swoich klientów. Będą oni też musieli opracować dokumentację dotyczącą cyberbezpieczeństwa, do której dostęp będą miały jedynie upoważnione osoby. Powinna ona zawierać procedury na wypadek zagrożeń cybernetycznych.

Incydent niejedno ma oblicze

Projekt ustawy rozróżnia różne rodzaje incydentów.

• Incydent – każde zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo.

• Incydent krytyczny – incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi.

• Incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej.

• Obsługa incydentu – czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych, ograniczenie skutków incydentu. ©℗

Kosztowny audyt

Kolejny obowiązek – i to zapewne najbardziej kosztowny ze wszystkich – to wymóg przeprowadzania audytu bezpieczeństwa systemu informacyjnego, który trzeba będzie robić co najmniej raz na dwa lata. Projekt ustawy określa, że audyt będzie mógł być przeprowadzany jedynie przez wyspecjalizowane jednostki w rozumieniu ustawy z 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz.U. z 2017 r. poz. 1398 ze zm.), co najmniej przez dwóch doświadczonych audytorów mających praktykę w audycie bezpieczeństwa systemów informacyjnych lub powołane niebawem sektorowe zespoły cyberbezpieczeństwa.

Ministerstwo Cyfryzacji szacuje, że koszt audytu wynosić będzie ok. 50 tys. zł. A eksperci zalecają nawet, by był on przeprowadzany częściej niż raz na dwa lata, gdyż we współczesnym świecie, przy tak rozwijających się zagrożeniach cybernetycznych, 24 miesiące to wieczność.

Za nieprzeprowadzanie regularnych audytów grozić będzie administracyjna kara pieniężna w wysokości do 200 tys. zł.

Zgłaszanie zagrożeń

Najważniejszym – i zapewne sprawiającym najwięcej problemów w praktyce – obowiązkiem będzie konieczność błyskawicznego zgłaszania i obsługiwania incydentów. Chodzi o zdarzenia, które mają lub mogą mieć niekorzystny wpływ na cyberbezpieczeństwo. Rzecz w tym, że zgłaszane będą nie wszystkie, a tylko niektóre z nich.

Z punktu widzenia przedsiębiorców najważniejsze będzie oddzielenie zwykłych incydentów, których mogą być tysiące, od tych poważnych i krytycznych. O każdym bowiem incydencie poważnym przedsiębiorca będzie musiał bowiem powiadomić odpowiedni CSIRT. Zgłoszenie incydentu poważnego powinno odbywać się elektronicznie, a w razie braku takiej możliwości – w każdej innej formie, która umożliwi urzędnikom zapoznanie się z problemem.

Zgłoszenie będzie musiało obejmować m.in. opis wpływu incydentu poważnego na świadczone usługi, prawdopodobne przyczyny zaistnienia incydentu, informacje o źródle zagrożenia oraz informacje o podjętych działaniach zapobiegawczych i naprawczych. Następnie przedsiębiorca powinien współpracować i stosować się do wskazań odpowiedniego CSIRT. Przedsiębiorca musi przekazywać także informacje stanowiące tajemnicę przedsiębiorstwa, jeśli są one istotne dla sprawy. Powinien tego typu wiadomości odpowiednio oznaczyć.

Kłopoty dla sieci aptek

Wiele firm, które zostaną objęte obowiązkami, działa w sposób rozproszony. Duże sieci aptek składają się np. z kilkuset placówek formalnie ze sobą powiązanych, ale w praktyce zarządzanych oddzielnie (często funkcjonowanie placówek przypomina franczyzę). Będzie więc tak, że decyzja administracyjna będzie wydana w stosunku do teoretycznie dużego przedsiębiorcy, lecz w praktyce realizacja obowiązków spadnie na tych, którzy prowadzą mały biznes (np. kierownik apteki wchodzącej w skład dużej sieci aptecznej). Co jednak istotne: ewentualne kary za naruszenia nakładane będą na tego dużego przedsiębiorcę, czyli karana będzie spółka, a nie pracownik, który nie dopilnował realizacji obowiązków.

Do jakiego organu

Przedsiębiorcy , którzy będą zmuszeni zgłosić nieprawidłowości, mogą mieć czasami wątpliwości, który z organów będzie właściwy. Ustawodawca zdecydował się bowiem na powołanie trzech państwowych zespołów reagujących na zagrożenia i incydenty w cyberprzestrzeni. Są to: CSIRT MON (prowadzony przez ministra obrony narodowej), CSIRT GOV (prowadzony przez szefa Agencji Bezpieczeństwa Wewnętrznego) oraz CSIRT NASK (prowadzony przez Naukową i Akademicką Sieć Komputerową ‒ Państwowy Instytut Badawczy).

Ten pierwszy ma się zajmować głównie incydentami związanymi z obronnością państwa, drugi – zagrożeniami dotyczącymi najważniejszych instytucji publicznych, trzeci zaś – pozostałymi, w tym większością incydentów występujących u przedsiębiorców. W przypadku wielu zagrożeń przedsiębiorca jednak może nie być pewny, który CSIRT będzie właściwy w jego sprawie. Nie wiadomo np., gdzie ma zgłaszać zaistniałe incydenty miejska spółka wodociągowo-kanalizacyjna. Czy przedsiębiorca z branży energetycznej zawsze powinien zgłaszać zagrożenia do zespołu NASK, czy może – jeśli podejrzewa, że to działalność wrogich służb specjalnych – już do CSIRT MON? W projektowanej ustawie brakuje jednoznacznych odpowiedzi na te pytania, a zobowiązuje ona do przekazania zgłoszenia „właściwemu” zespołowi. Co więc robić? Eksperci radzą: najbezpieczniej z punktu widzenia przedsiębiorców – choć zarazem utrudni to działanie administracji publicznej – będzie przekazywanie zgłoszeń do wszystkich trzech CSIRT jednocześnie. Po wejściu w życie ustawy minister cyfryzacji powinien opublikować rozporządzenie, w którym wskaże zasady klasyfikowania incydentów jako poważnych i krytycznych. Będzie to jednak jedynie wskazówka często trudna w zastosowaniu dla przedsiębiorców. Jak bowiem bank ma określić, czy nieplanowana i niewyjaśniona na razie przerwa w dostępie do jego infrastruktury dotknęła np. ponad 10 proc. klientów czy mniej? Jak właściciel sieci aptecznej ma szybko ocenić, czy zakłócenia w działaniu systemu teleinformatycznego dotykają obszaru co najmniej trzech województw? Najprawdopodobniej więc przedsiębiorcy – by nie narazić się na późniejsze kontrole i ewentualne kary – będą zgłaszali wiele incydentów zwykłych.

Publiczny dramat

Ustawodawca postanowił wieloma obowiązkami obłożyć też instytucje publiczne. Będą one musiały przede wszystkim wyznaczyć osoby odpowiedzialne za kontakt oraz zgłaszać incydenty, które powodują lub mogą spowodować obniżenie jakości lub przerwanie realizacji zadań danego podmiotu.

Obowiązki dotyczyć będą zarówno małego urzędu gminy, jak i urzędu wojewódzkiego. Te pierwsze w większości w ogóle nie słyszały, że wkrótce wejdzie w życie ustawa o krajowym systemie cyberbezpieczeństwa. Nieoficjalnie wiadomo też, że nie mają środków finansowych na wdrożenie odpowiednich procedur. W zdecydowanej większości urzędów nie sposób oddzielić awarii systemu od zagrożenia cybernetycznego. Brakuje też świadomości, że niektóre kłopoty mogą wynikać np. z ataków hakerskich. Kilka tygodni temu od ważnego urzędnika Ministerstwa Cyfryzacji usłyszeliśmy, że największym wyzwaniem dla urzędników szczebla centralnego będzie dotarcie do gmin i powiatów z przesłaniem, czym jest cyberbezpieczeństwo i jak reagować w razie zagrożeń.

Obowiązki nałożone na podmioty publiczne dotyczyć będą również spółek prawa handlowego wykonujących zadania o charakterze użyteczności publicznej w rozumieniu ustawy z 20 grudnia 1996 r. o gospodarce komunalnej (t.j. Dz.U. z 2017 r. poz. 827 ze zm.). Do przepisów ustawy o krajowym systemie cyberbezpieczeństwa będą się więc musiały stosować – i to bez wydawania decyzji administracyjnych – m.in. miejskie wodociągi czy spółki zapewniające transport zbiorowy. Ministerstwo Cyfryzacji w projekcie ustawy wskazało nawet, że istnieje ryzyko wzrostu kosztów usług świadczonych przez te spółki, gdyż mogą chcieć one przerzucić swoje obciążenia na odbiorców (np. wyższe ceny wody).

 

Dyrektywa mało znana, bo sankcje symboliczne?

Niemal wszyscy eksperci podkreślają, że kary zapisane w projekcie ustawy o krajowym systemie cyberbezpieczeństwa są bardzo niskie i mają się nijak do wagi nowego aktu prawnego. Zwłaszcza dla największych podmiotów mogą być mało mobilizujące

Niewykluczone, że właśnie wysokość kar sprawiła, iż o ile wszyscy byli zainteresowani (a niektórzy nawet przerażeni) wejściem w życie RODO, to o konieczności wdrożenia obowiązków wynikających z dyrektywy NIS mało kto do tej pory słyszał.

Przypomnijmy: w przypadku RODO w grę wchodzą kwoty dochodzące do 20 mln euro lub 4 proc. rocznego globalnego przychodu podmiotu. Kary przewidywane w projekcie polskiej ustawy implementującej dyrektywę NIS za naruszenia administracyjne w większości przypadków wynoszą najczęściej maksymalnie 15‒50 tys. zł, co – biorąc pod uwagę, że obowiązkami nie będą objęte najmniejsze firmy – nie przeraża. Sankcje u nas będą znacznie niższe niż są np. w Wielkiej Brytanii czy nawet Czechach (patrz opinia dr. Łukasza Olejnika).

Jak wspomniano wyżej, za niewypełnianie obowiązków administracyjnych, tj. niewyznaczenie osoby odpowiedzialnej za kontakty w ramach krajowego systemu cyberbezpieczeństwa, przewiduje się karę do 15 tys. zł. Z kolei za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego bądź istotnego kara miałaby wynieść do 20 tys. zł. Dopiero z tytułu niewypełniania obowiązków o istotnym charakterze z punktu widzenia cyberbezpieczeństwa, np. za nieprzeprowadzenie audytu bądź nieusunięcie w wyznaczonym terminie nieprawidłowości stwierdzonych w wyniku kontroli, przewiduje się kary wyższe – do 200 tys. zł.

Najwyższa kara wskazana w projektowanej ustawie ma wynosić milion złotych. Nałożenie takiej sankcji będzie możliwe, gdy operator usługi kluczowej będzie uporczywie naruszał przepisy ustawy, powodując bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi. Po pierwsze więc, łamanie prawa będzie musiało być uporczywe, a więc w praktyce – zawinione. Tak wysoka sankcja nie będzie groziła za pierwsze naruszenie. Po drugie, zaistnieć będzie musiał skutek w postaci bezpośredniego zagrożenia dla najważniejszych dóbr.

Budżet nie zarobi

Sam ustawodawca nie planuje nakładania wysokich kar, choć wpływy z nich mają iść do budżetu państwa. W dołączonej do projektu ustawy ocenie skutków regulacji wskazano, że dochód z nałożonych kar będzie wynosił rocznie od 2 do 3 mln zł. „Należy w tym miejscu zaznaczyć, że dane dotyczące kar pieniężnych to szacunki, a nie cele. Należy podkreślić, że kary będą nakładane w drodze decyzji administracyjnej w następstwie naruszenia prawa, zgodnie z kodeksem postępowania administracyjnego, tym samym wyklucza to możliwość dowolności w zakresie ich nakładania” – podkreśla Ministerstwo Cyfryzacji. Najprawdopodobniej najwięcej kar zostanie nałożonych za niewskazanie osoby właściwej do kontaktu z państwowymi instytucjami zajmującymi się cyberbezpieczeństwem.

W mobilizacji pomogą sankcje z… innych aktów prawnych

Jednak eksperci przestrzegają, że choć projektowana ustawa o krajowym systemie cyberbezpieczeństwa będzie przewidywała niskie kary, to przedsiębiorcy nie mogą lekceważyć problemu. A to dlatego, że w wielu innych ustawach przewidziane są znacznie wyższe sankcje za niezachowanie bezpieczeństwa przy zarządzaniu systemami informacyjnymi. Przykładowo atak hakerski może spowodować wyciek danych klientów apteki lub pacjentów szpitala. To zaś spowoduje, że możliwe stanie się nałożenie kary z RODO i polskiej ustawy o ochronie danych osobowych (patrz opinia Wojciecha Dziomdziory). ©℗

opinie ekspertów

Kary w Polsce będą za niskie

dr Łukasz Olejnik niezależny badacz i konsultant cyberbezpieczeństwa i prywatności

Polska do tej pory nie należała do krajów uznających cyberbezpieczeństwo za wyzwanie strategiczne. Szczęśliwie do podjęcia tego tematu skłania unijna dyrektywa NIS. Trzeba przyznać, że Unia Europejska bardzo tu pomaga, dając motywację do działania, a nawet wskazując kierunek. Bo zmiany są potrzebne, a NIS zobowiązuje operatorów choćby do monitorowania ryzyka oraz działań proaktywnych, szacowania ryzyka i wdrażania odpowiednich rozwiązań. NIS to także wymagania dla rządu – do 31 października 2019 r. ma powstać strategia cyberbezpieczeństwa. Nie jest istotne, że to podejście piąte czy dziesiąte – tym razem nie ma wyjścia i musi się udać.

Dobrze, że pewne sprawy będą uporządkowane, np. powołuje się zespoły ds. incydentów krytycznych oraz pełnomocnika rządu ds. cyberbezpieczeństwa. Wreszcie będzie jasne, do kogo zwracać się w przypadku wystąpienia problemów. Inną kwestią są środki przeznaczane przez ministerstwa na obsługę cyberbezpieczeństwa. Z uzasadnienia do projektu ustawy wynika, że aż do 2027 r. te kwoty mają być identyczne w każdym roku. Co jest o tyle ciekawe, że większość państw fundusze na tego typu cele zwiększa. To groźne, zwłaszcza że w przypadku wyczerpania środków przewiduje się… „wyłączenie” cyberbezpieczeństwa – czyli odstąpienie od ćwiczeń, od przetwarzania incydentów, ograniczenie działania zespołów itp. Pogląd, że w ciągu 10 lat świat się nie zmieni, wydaje się ekscentryczny.

NIS wprowadzi także kary za niski poziom cyberbezpieczeństwa. Te maksymalne za wywoływanie ryzyka dla państwa, mienia czy zdrowia – to jednak tylko maksymalnie milion złotych. Dobrze, że kwotę tę podniesiono w stosunku do rozwiązań wcześniej proponowanych w projekcie. Nawet po zmianach są one jednak niskie, np. w porównaniu z Wielką Brytanią (17 mln funtów) czy Słowacją. Są też znacznie niższe niż maksymalne wynikające z RODO. Oznacza to, że faktycznym motywatorem poprawy cyberbezpieczeństwa w Polsce może być RODO, choć rozporządzenia to nie odnosi się wprost do cyberbezpieczeństwa.

Zobowiązanie do informowania CSIRT o incydentach do 24 godzin od ich wykrycia to dobre rozwiązanie. Dużo jednak będzie zależało od rozporządzenia definiującego incydent poważny. Wpisanie do obowiązków CSIRT zapewnienia zaplecza badawczego i analitycznego to bardzo dobre rozwiązanie. To powinien być standard i zespoły te muszą mieć odpowiednie środki finansowe dla tej działalności.

Ogólny obowiązek audytu systemów co najmniej raz na dwa lata przy tak szybkiej ewolucji zagrożeń może być ryzykowny. Dla pewnych podmiotów ten okres powinien być częstszy i uzależniony od zmian wewnętrznych. Na sam audyt firmy będą miały rok. Tak jak w przypadku RODO, można spodziewać się zatorów na rynku, gdy firmy będą czekały na ostatni moment. W niektórych przypadkach firmy jednak będą mogły przeprowadzić audyty wewnątrz, własnymi siłami, pod warunkiem posiadania doświadczonych zespołów. ©℗

Ustawa nie będzie tak mobilizowała jak RODO

Wojciech Dziomdziora radca prawny, counsel kancelarii Domański, Zakrzewski, Palinka

Kompleksowa regulacja bezpieczeństwa systemów teleinformatycznych, a taką będzie ustawa o krajowym systemie cyberbezpieczeństwa, jest potrzebna. Procedowany w Sejmie projekt ustawy prawidłowo definiuje cyberbezpieczeństwo jako „odporność systemów informacyjnych na wszelkie działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”. W tej definicji najważniejsze jest określenie przedmiotu ochrony, tj. danych lub związanych z nimi usług. Co prawda nie zdefiniowano w ustawie, czym są dane, ale uznać trzeba, że chodzi o wszelkiego rodzaju dane podlegające ochronie i te, na podstawie których świadczone są różnorakie usługi.

Jeszcze przetacza się przez kraj fala wywołana przez RODO. Ustawa o cyberbezpieczeństwie nie będzie niestety miała takiego oddziaływania. Powinno być odwrotnie. Najpierw powinien być budowany generalny system cyberbezpieczeństwa, a dopiero później zapewniana ochrona szczególnego rodzaju danych, jakimi są dane osobowe.

Ustawa dotyczyć będzie przede wszystkim przedsiębiorców zaliczonych do grupy tzw. operatorów usług kluczowych, chodzi o najważniejsze przedsiębiorstwa z sektora energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i infrastruktury cyfrowej. Łącznie prawdopodobnie kilkaset firm. Firmy te już dziś są w dużej mierze przygotowane i świadome zagrożeń cybernetycznych. Mniejszy zakres obowiązków dotyczyć ma dostawców usług cyfrowych, tj. dostarczycieli internetowych platform handlowych, usług przetwarzania w chmurze oraz wyszukiwarek internetowych.

Jednakże najliczniejszą grupę objęt nowymi obowiązkami ustawowymi będą stanowiły podmioty publiczne, w tym m.in.: jednostki sektora finansów publicznych, instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, a także spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej. To grupa niezwykle liczna, obejmująca całą administrację, samorządy terytorialne i spółki komunalne. Przed podmiotami tymi stanie wyzwanie skoordynowania obowiązków wynikających z przepisów nowej ustawy o cyberbezpieczeństwie, RODO, ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne, a w szczególności aktu wykonawczego do tej ustawy – Krajowych Ramy Interoperacyjności. Podmioty te będą musiały m.in. wyznaczyć osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, zapewnić zarządzanie incydentem w podmiocie publicznym, zgłaszać incydenty do właściwego zespołu ds. incydentów krytycznych, zapewniać obsługę incydentów oraz edukować w zakresie cyberbezpieczeństwa.

Obecnie ustawa jest procedowana w parlamencie, jednak z uwagi na jej bardzo specjalistyczny charakter nie spodziewałbym się daleko idących zmian w projekcie. Na pewno, choć to pogląd niepopularny, powinny zostać podwyższone sankcje za nieprzestrzeganie przepisów. Maksymalna kara – milion złotych – grozi za uporczywe naruszanie przepisów ustawy powodujące bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi lub zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych. Jest ona nieproporcjonalnie niska w stosunku do wagi ustawy oraz w porównaniu do sankcji z innych przepisów, choćby RODO, prawa telekomunikacyjnego czy ustawy o ochronie konkurencji i konsumenta. ©℗

Ramka 2

Inne kraje bardzo poważnie podchodzą do problemu

Wiele państw unijnych albo już wdrożyło do swych porządków prawnych dyrektywę NIS, albo ma przepisy znacznie bliższe jej brzmieniu, niż to jest w przypadku Polski.

Wielka Brytania

W lutym 2017 r. w Wielkiej Brytanii otwarto (z wielką pompą) Narodowe Centrum Cyberbezpieczeństwa. Wspiera ono przedsiębiorców w szybkiej i skutecznej reakcji na poważne incydenty związane z bezpieczeństwem danych w przestrzeni cyfrowej. NCC sprawdza też zabezpieczenia stron internetowych sektora publicznego w poszukiwaniu ewentualnych luk. Centrum jest częścią brytyjskiej agencji wywiadu. Koszt jego utworzenia i funkcjonowania do 2020 r. włącznie szacuje się na 1,9 mld funtów. Tak ogromna kwota wynika m.in. stąd, że do NCC ściągano najlepszych specjalistów pracujących wcześniej w sektorze prywatnym.

W Wielkiej Brytanii za naruszenia związane z cyberbezpieczeństwem grożą przedsiębiorcom ogromne kary, sięgające nawet kilkunastu milionów funtów.

Francja

Francuska Agencja Bezpieczeństwa Systemów Informacyjnych podlega premierowi. To on formalnie jest odpowiedzialny za prowadzenie polityki w zakresie ochrony krajowych systemów teleinformatycznych. Agencja zatrudnia ponad 500 osób. Część z nich pracuje w specjalnym zespole operacyjnym, który ma za zadanie na bieżąco – przez 24 godziny na dobę – reagować na incydenty na poziomie centralnym.

Już teraz we Francji 200 przedsiębiorców zostało uznanych za operatorów infrastruktury krytycznej. W najbliższym czasie kolejnych kilkuset – zgodnie z dyrektywą NIS – zostanie uznanych za operatorów usług kluczowych.

Niemcy

Niemcy jako jedni z pierwszych implementowali dyrektywę NIS do swojego porządku prawnego (ustawa z 25 lipca 2015 r.). Przy czym dostosowali ją do federalnej struktury państwa. Z tego powodu nowe przepisy krajowe nie objęły administracji publicznej (choć landy mogą, a nawet jest to sugerowane, nałożyć obowiązki w zakresie cyberbezpieczeństwa na urzędników). Obejmują za to największych przedsiębiorców w sektorze spożywczym.

Czechy

Południowi sąsiedzi niedawno wdrożyli unijną dyrektywę NIS do krajowego porządku prawnego. Większość zastosowanych rozwiązań jest tożsama z tymi projektowanymi w Polsce.

Wyższe za to są kary – już za najprostsze przewinienia przekraczają równowartość 150 tys. zł. Ponadto wskazane w ustawie czeskie organy administracji publicznej mają prawo zakazać przedsiębiorcy stosowania danego systemu teleinformatycznego, jeśli urzędnicy uznają, że nie spełnia on wymogów bezpieczeństwa określonych w ustawie oraz rozporządzeniach.

Holandia

Holenderskie Narodowe Centrum Bezpieczeństwa działa już od sześciu lat. Podlega Ministerstwu Bezpieczeństwa i Sprawiedliwości. Jego rola jest daleko większa niż wszelkich polskich instytucji zajmujących się cyberbezpieczeństwem. Holenderskie NCB jest uprawnione do samodzielnego wydawania wytycznych i rekomendacji urzędom administracji publicznej oraz przedsiębiorcom działającym w kluczowych sektorach gospodarki. NCB ma też prawo do szerokiej analizy informacji niejawnych.

©℗ Oprac. PSŁ