Kluczowe wyzwania dla przedsiębiorców po wejściu w życie ustawy o krajowym systemie cyberbezpieczeństwa

W dniu 28 sierpnia 2018 roku zaczęła obowiązywać ustawa o krajowym systemie cyberbezpieczeństwa (Dz. U. 2018 poz. 1560) mająca na celu wykrywania, zapobiegania i minimalizowania skutków ataków naruszających cyberbezpieczeństwo kraju. Przedmiotowy akt prawny zawiera kary w wysokości do 1 000 000 zł i jego wdrożenie może sprawić wiele kłopotu przedsiębiorcom zakwalifikowanym do grupy tzw. operatorów usług kluczowych. Ustawa oraz towarzyszące jej rozporządzenia wykonawcze w pełni wdrożą do polskiego porządku prawnego  dyrektywę nr 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, tzw. dyrektywę NIS.

Kogo dotyczy ustawa o krajowym systemie cyberbezpieczeństwa?

Ustawa ma na celu powołanie pierwszego w Polce krajowego systemu cyberbezpieczeństwa. W jego skład wejdą tzw. operatorzy usług kluczowych (OUK), którymi są podmioty, o których mowa w załączniku nr 1 do ustawy, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec których organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej.

Ustawa dotyczy m.in. instytucji administracji rządowej i samorządowej oraz największych przedsiębiorców z kluczowych sektorów gospodarki. Załącznik nr 1 wskazuje na następujące sektory: energia, transport, bankowość i infrastruktura rynków finansowych, zaopatrzenie w wodę pitną i jej dystrybucja, infrastruktura cyfrowa. Mowa jest zatem m. in. o największych bankach, firmach z sektora energetycznego, przewoźnikach lotniczych i kolejowych, armatorach, szpitalach; dostawcach usług kluczowych, czyli internetowych platformach handlowych; organach właściwych, czyli instytucjach publicznych, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla gospodarki.

O tym jaki dokładnie podmiot będzie wchodził w skład OUK, a tym samym będzie musiał się stosować do przepisów ustawy, jeszcze nie wiadomo. Trwają bowiem prace nad ośmioma rozporządzeniami wykonawczymi, na podstawie których urzędnicy będą kwalifikować danego przedsiębiorcę jako operatora usługi kluczowej. Do 9 listopada 2018 roku organy właściwe, czyli instytucje publiczne, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla naszej gospodarki, są zobowiązane do zidentyfikowania i wydania decyzji administracyjnej o uznaniu danego podmiotu za operatora usługi kluczowej.

Organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję o uznaniu podmiotu za operatora usługi kluczowej, jeżeli:

1) podmiot świadczy usługę kluczową;

2) świadczenie tej usługi zależy od systemów informacyjnych;

3) incydent (czyli zdarzenie, które ma lub mogłoby mieć niekorzystny wpływ na cyberbezpieczeństwo) miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Kliknij i napisz do nas. Zapraszamy na konsultacje

Obowiązki operatorów usług kluczowych

Ustawa nakłada określone obowiązki na dany podmiot uznany za operatora usługi kluczowej od momentu otrzymania od organu właściwego decyzji administracyjnej.

W ciągu 3 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, OUK jest obowiązany do:

1)    prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;

2)    zarządzania incydentami;

3)    wyznaczenia  osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;

4)    zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej;

5)    zapewnia obsługę incydentu;

6)    zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu organowi w zakresie niezbędnym do realizacji jego zadań;

7)    klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;

8)    zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia;

9)    powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

Po wyznaczeniu osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, zgodnie z obowiązkiem przewidzianym w pkt. 3) powyżej, operator usług kluczowych będzie musiał w ciągu 14 dni przekazać do organu właściwego do spraw cyberbezpieczeństwa imię i nazwisko, numer telefonu oraz adres poczty elektronicznej tej osoby. Ustawa nie określa, kto może zostać wyznaczony do pełnienie tej funkcji. OUK ma zatem dowolność w zakresie wyboru tej osoby.

Natomiast w terminie 6 miesięcy od otrzymania decyzji administracyjnej, przedsiębiorca, uznany w tej decyzji za operatora usług kluczowych powinien:

1)    wdrożyć odpowiednie i proporcjonalne do oszacowanego ryzyka środki techniczne i organizacyjnych, uwzględniających najnowszy stan wiedzy;

2)    zbierać informacje o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

3)    stosować środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

4)    stosować środki łączności umożliwiające prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa;

5)    stosować wymaganą dokumnetację.

Z kolei w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej ustawa przewiduje obowiązek przygotowania audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Należy zaznaczyć, iż zgodnie z ustawą audyt będzie musiał być przeprowadzany co najmniej raz na 2 lata. Taki audyt będzie musiał być wykonywać wyspecjalizowany podmiot zewnętrzy, określony w art. 15 ust. 1 ustawy. Ministerstwo Cyfryzacji szacuje, że dany audyt może kosztować ok. 50 000 zł.

Przewidziane ustawą kary

Należy zaznaczyć, iż kary przewidziane za naruszenie obowiązków wynikających z ustawy nie są ściśle określone, a w rozdziale 14 ustawy, wskazane są jedynie kwoty graniczne, tj. maksymalne kwoty powyżej których właściwy organ nie może nałożyć żadnej sankcji pieniężnej. Taką karę, zgodnie z ustawą, nakłada, w drodze decyzji, organ właściwy do spraw cyberbezpieczeństwa. Sankcje pieniężne mogą zostać nałożona również w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli organ właściwy do spraw cyberbezpieczeństwa uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia. Ministerstwo Cyfryzacji szacuje, że z przedmiotowych kar ściągnie w ciągu roku około 3 000 000 zł.

Kliknij i napisz do nas. Zapraszamy na konsultacje Zapisz się na newsletter