Wchodzi w życie ustawa o cyberbezpieczeństwie

Ustawa powinna zwiększyć cyberbezpieczeństwo Polski. Wdrożenie regulacji może być jednak kosztowne dla kluczowych uczestników systemu. Kogo dotyczą nowe obowiązki?

Działania w zakresie zwiększenia cyberbezpieczeństwa są koniecznością na poziomie europejskim i krajowym. Cyberataki powodują ogromne straty finansowe i utratę reputacji przedsiębiorcy, który stał się celem ataku, lub sprawiają że obywatele nie mogą korzystać z usług niezbędnych w codziennym życiu. Jutro, 28 sierpnia 2018 r. wchodzi w życie ustawa o krajowym systemie cyberbezpieczeństwa, która wdraża do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, czyli tzw. Dyrektywę NIS („Network and Information Systems Directive”). Mimo, że Dyrektywa NIS jest implementowana do krajowego porządku prawnego z opóźnieniem (przepisy implementujące Dyrektywę NIS miały wejść w życie 10 maja 2018 r.) to pozytywnie jednak należy ocenić wprowadzenie do polskiego porządku prawnego krajowego systemu cyberbezpieczeństwa. Celem krajowego systemu cyberbezpieczeństwa jest podniesienie odporności usług kluczowych świadczonych z wykorzystaniem technologii informatycznych na ataki pochodzące z cyberprzestrzeni. Krajowy system cybeberbezpieczeństwa ma przyczynić się do osiągnięcia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych.

Kogo dotyczy nowa regulacja?

Operatorzy usług kluczowych, dostawcy usług cyfrowych oraz podmioty publiczne, które realizują zadania zależne od działania systemów informatycznych to kluczowi uczestnicy krajowego systemu cyberbezpieczeństwa. Nowa regulacja nakłada na te podmioty szereg obowiązków celem zwiększenia poziomu cyberbezpieczeństwa. Podmioty te powinny zweryfikować zgodność wewnętrznych zabezpieczeń i procedur z nową regulacją mając na względzie szereg ustawowych obowiązków, za których nieprzestrzeganie mogą zostać nałożone kary finansowe.

Operatorzy usług kluczowych

Operatorzy usług kluczowych to przedsiębiorcy, którzy świadczą usługi najistotniejsze dla państwa działający m.in. w sektorach: energetycznym, paliwowym, transportowym, zdrowotnym, bankowym. Ważnym podkreślenia jest, że identyfikacja operatorów usług kluczowych, będzie odbywała się w drodze postępowania administracyjnego. Operatorem usługi kluczowej będzie ten podmiot wobec którego organ właściwy do spraw cyberbezpieczeństwa wyda decyzję o uznaniu za operatora usługi kluczowej. Minister właściwy do spraw informatyzacji prowadzić będzie wykaz operatorów kluczowych. W przypadku, gdy podmiot świadczy usługę kluczową w innych państwach członkowskich Unii Europejskiej, organ właściwy do spraw cyberbezpieczeństwa będzie prowadził konsultacje z tymi państwami za pośrednictwem tzw. Pojedynczego Punktu Kontaktowego, w celu ustalenia, czy ten podmiot został uznany w tych państwach za operatora usługi kluczowej. Pojedynczy Punkt Kontaktowy służy komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie cyberbezpieczeństwa.

Kluczowe obowiązki

Podstawowym obowiązkiem operatorów usług kluczowych jest dbałość o ciągłość ich dostarczenia. W tym celu operatorzy usług kluczowych zostali ustawowo zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach i ich obsługi we współpracy z jednym z trzech Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT – „Computer Security Incident Response Teams”). Rolę CSRIT przyjęły na siebie Agencja Bezpieczeństwa Wewnętrznego (CSRIT GOV), Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (CSRIT NASK) oraz resort obrony narodowej (CSRIT MON). Operatorzy usług kluczowych zostali również zobowiązani do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Operator usługi kluczowej ma również zapewnić przeprowadzenie minimum raz na 2 lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej oraz powołać osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami z krajowego systemu cyberbezpieczeństwa. Za nieprzestrzeganie  obowiązków ustawowych z zakresu cyberbezpieczeństwa operatorzy usług kluczowych będą mogli zostać ukarani karą pieniężną nawet do 200 000 zł.

Dostawcy usług cyfrowych

Obowiązki dotyczące zapewnienia odpowiedniego poziomu bezpieczeństwa oraz zgłaszania incydentów mających znaczenie dla cyberbezpieczeństwa dotyczą również niektórych dostawców usług cyfrowych, a konkretnie: internetowych platform handlowych, usług przetwarzania w chmurze oraz wyszukiwarek internetowych. Ze względu jednak na transgraniczny charakter tych usług zostały one objęte reżimem regulacyjnym zharmonizowanym na poziomie UE. Oznacza to, że dostawca usługi cyfrowej obowiązany jest podejmować właściwe i proporcjonalne środki techniczne i organizacyjne określone w rozporządzeniu wykonawczym Komisji (UE) 2018/151. Rozporządzenie 2018/151 doprecyzowuje elementy, jakie mają być uwzględnione przez dostawców usług cyfrowych  w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ. Dostawca, który nie posiada jednostki organizacyjnej w jednym z państw członkowskich Unii Europejskiej, ale oferuje usługi cyfrowe w Rzeczypospolitej Polskiej, jest obowiązany wyznaczyć przedstawiciela posiadającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, o ile nie wyznaczył takiego przedstawiciela w innym państwie członkowskim Unii Europejskiej. Zgodnie z Dyrektywą NIS, nową regulacją nie są objęci mikroprzedsiębiorcy oraz mali przedsiębiorcy.

Podmioty publiczne

Podmioty publiczne, które realizują zadania publiczne zależne od systemu informacyjnego są obowiązane do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu bezpieczeństwa. Wśród tych podmiotów wymienić należy: jednostki sektora finansów publicznych, instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polska Agencja Żeglugi Powietrznej, Polskie Centrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej. Podmiot publiczny może zostać uznany za operatora usługi kluczowej. W zakresie świadczenia tej usługi będzie on obowiązany realizować obowiązki ustawowe ustanowione dla operatorów usług kluczowych.

Obowiązki ustawowe wynikające z nowej regulacji mogą różnić się od obowiązków ustawowych wynikających z regulacji innych państw członkowskich UE.

Operatorzy usług kluczowych świadczący swoje usługi zarówno w Polsce jak i w innych krajach członkowskich UE powinni mieć na względzie, że zasadniczo wszelkie regulacje krajowe w państwach członkowskich Unii, stanowią transpozycje przepisów Dyrektywy NIS, a zatem powinny być z nią zgodne. Nie można jednak wykluczyć takiej sytuacji, że poszczególne państwa członkowskie implementują Dyrektywę NIS dokonując swoistych lokalizacji. Z tego względu obowiązki ustawowe wynikające z nowej regulacji, która rozpoczyna swoje obowiązywanie w Polsce, mogą różnić się od obowiązków ustawowych wynikających z regulacji krajowych obowiązujących w innych państwach członkowskich UE. Dyrektywa NIS ma bowiem charakter ogólny i zobowiązuje państwa członkowskie do wdrożenia odpowiednich szczegółowych mechanizmów na poziomie krajowym. Dlatego też w rezultacie może okazać się, że sposób implementacji do porządków krajowych poszczególnych państw członkowskich UE będzie zróżnicowany, a na operatorach usług kluczowych działających w różnych państwach będą ciążyć odmienne obowiązki.

*             *           *

Obowiązki nałożone na kluczowych uczestników krajowego systemu cyberbezpieczeństwa mają szanse przyczynić się do wzmocnienia niezakłóconego funkcjonowania usług, z których obywatele korzystają każdego dnia. Nie jest jednak wykluczone, że obowiązek ustawowy zapewnienia bezpieczeństwa świadczonych usług wymusi na kluczowych uczestnikach tego systemu efektywne, ale i kosztowne inwestycje w zakresie wdrożenia zabezpieczeń oraz wewnętrznych regulacji tak aby świadczone przez nich usługi były dostarczane do obywateli bez zakłóceń wynikających z działań cyberprzestępców, a jednocześnie spełniały ustawowe wymogi w zakresie cyberbezpieczeństwa.


Bądź na bieżąco
Otrzymuj najnowsze informacje o zmianach w prawie i podatkach bezpośrednio na swojego maila.

Zapisz się na newsletter >>