Rośnie liczba przedsiębiorców zobowiązanych do stosowania nowej ustawy – nowe obowiązki w zakresie cyberbezpieczeństwa

Nowy standard w zakresie cyberbezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie w dniu 28 sierpnia 2018r. W praktyce oznacza to, że przedsiębiorcy m.in. z sektorów Energii, Transportu, Bankowości oraz Służby Zdrowia posiadający jednocześnie status operatorów usług kluczowych oraz dostawcy usług cyfrowych (internetowe platformy handlowe, wyszukiwarki oraz dostawcy usług przetwarzania w chmurze), a także wybrane podmioty publiczne będą współtworzyć wraz z określonymi instytucjami krajowy system cyberbezpieczeństwa.

W myśl w/w ustawy powyższy system ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych takich jak np. dystrybucja energii elektrycznej lub transport lotniczy pasażerski oraz usług cyfrowych. Powyższe ma zostać zapewnione przez dwa działania: osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia usług oraz prowadzenie obsługi incydentów bezpieczeństwa komputerowego.

Operatorzy usług kluczowych – obowiązki będą dotyczyć większej liczby przedsiębiorców niż zakładano

W ramach systemu cyberbezpieczeństwa najwięcej obowiązków ma spoczywać na operatorach usług kluczowych. W odróżnieniu od dostawców usług cyfrowych, których obowiązki wynikają wprost z ustawy, status operatora usługi kluczowej przedsiębiorca uzyska dopiero wraz z wydaniem przez jedno z dziesięciu ministerstw lub KNF (w przypadku banków) decyzji o uznaniu za operatora usługi kluczowej. Z bieżących szacunków wynika, że decyzje będą wydawane sukcesywnie do końca bieżącego roku. Powyższe oznacza, że w terminie ustawowym czyli do dnia 9 listopada 2018r. z całą pewnością nie zostaną wydane decyzje wobec wszystkich operatorów usług kluczowych.

Ponadto, z dotychczasowych szacunków poszczególnych ministerstw wynikało, że operatorów usług kluczowych będzie ogółem 531. Teraz już wiadomo, że liczba powyżej 500 będzie dotyczyła samego tylko sektora energii (wcześniej wskazywano, że w sektorze tym będzie ok. 98 operatorów usług kluczowych) w wyniku czego należy się spodziewać, że w sumie operatorów usług kluczowych może być więcej niż 800.

Natychmiastowa wykonalność decyzji i trzy koszyki obowiązków

Termin wydania decyzji o uznaniu za operatora usługi kluczowej jest o tyle istotny, że od momentu ich doręczenia operatorzy usług kluczowych będą mieli kolejno oraz w zależności od obowiązku ustawowego trzy, sześć oraz dwanaście miesięcy na ich zrealizowanie (trzy koszyki obowiązków). Powyższe znajdzie zastosowanie niezależnie od ewentualnego złożenia odwołania od decyzji. W myśl ustawy bowiem powyższe decyzje podlegają natychmiastowemu wykonaniu. Poniżej przedstawiono przykładowe obowiązki w zakresie szacowania ryzyka oraz obsługi incydentów.

Szacowanie i zarządzanie ryzykiem

Przykładowo, w terminie trzech miesięcy będzie należało wdrożyć dla systemów informacyjnych jakie służą do świadczenia usługi kluczowej prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem. Przy czym pod pojęciem szacowania ryzyka ustawa rozumie całościowy proces identyfikacji, analizy i oceny ryzyka. Zarządzanie ryzykiem z kolei to skoordynowane działania w zakresie zarządzania cyberbezpieczeństwem w odniesieniu do oszacowanego ryzyka.

Obsługa incydentów

Również w terminie trzech miesięcy będzie należało wdrożyć zarządzanie incydentami, na które składa się: obsługa incydentu, wyszukiwanie powiązań pomiędzy incydentami, usuwanie przyczyn wystąpienia incydentu oraz opracowywanie wniosków wynikających z obsługi incydentu. Jednocześnie należy pamiętać o tym, że w odróżnieniu od metodyki ITIL lub ISO obsługa incydentu to w myśl ustawy czynności umożliwiające wykrywanie, rejestrowanie, analizowanie i klasyfikowanie incydentów jak również ich prioretyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu.

Rozporządzenia wykonawcze – warunki techniczne i niezbędna dokumentacja Co istotne, podczas prac wdrożeniowych będzie należało uwzględnić przepisy sześciu rozporządzeń wykonawczych jakie ostatecznie zostaną wydane do ustawy.

W myśl jednego z nich powołana przez operatora usługi kluczowej wewnętrzna struktura ds. cyberbezpieczeństwa (ewentualnie zatrudniony przez niego wyspecjalizowany podmiot) powinny m.in. posiadać i utrzymywać w aktualności system zarządzania bezpieczeństwem informacji spełniający wymagania Polskiej Normy PN-EN ISO/IEC 27001, a także zapewnić ciągłość działania usłudze reagowania na incydenty, zgodnie z wymaganiami Polskiej Normy PN-EN ISO 22301. Podczas wdrożenia wymogów ustawy pomocne będą także takie pozaprawne regulacje jak rekomendacje z serii 800 wydawane przez NIST (National Institute of Standards and Technology) oraz dokumenty Agencji UE ds. bezpieczeństwa sieci i informacji (ENISA).

Paweł Gruszecki, Radca prawny, Partner, Praktyka Nowych technologii i telekomunikacji, Kochański & Partners sp. K