Obowiązująca od blisko roku ustawa o krajowym systemie cyberbezpieczeństwa objęła również podmioty publiczne. Jakie jednostki określane są tym mianem? Przede wszystkim te organizacje, które znajdują się w katalogu jednostek objętych ustawą o finansach publicznych. Ustawa dotyczy więc jednostek samorządu terytorialnego, uczelni wyższych, ZUS i NFZ, a także szczególnego rodzaju państwowych osób prawnych, takich jak Narodowy Bank Polski, Bank Gospodarstwa Krajowego czy Polskie Centrum Akredytacji. Tą kategorią objęte są także spółki prawa handlowego, o ile wykonują zadania o charakterze użyteczności publicznej.
Podmioty publiczne mają w świetle tej ustawy znacznie mniej obowiązków niż operatorzy usług kluczowych i dostawcy usług cyfrowych. Obowiązki podmiotów publicznych polegają na raportowaniu i obsłudze incydentów. Nieco inaczej wygląda to w przypadku podmiotów publicznych będących jednocześnie operatorem usług kluczowych. Wówczas ich obowiązki są takie same jak dla wszystkich pozostałych operatorów usług kluczowych.
Niezwykle ważne jest to, aby instytucje objęte ustawą o KSC jako podmioty publiczne miały pełną wiedzę, w jaki sposób mogą wypełnić obowiązki, które narzuca im ustawa. Dlatego Państwowy Instytut Badawczy NASK przygotował przejrzysty poradnik.
OBOWIĄZKI PODMIOTÓW PUBLICZNYCH
1. Wyznaczenie osoby do kontaktu
Podmiot publiczny, realizujący zadanie publiczne zależne od systemu informacyjnego, jest obowiązany do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
Organ administracji publicznej ma obowiązek wyznaczyć jedną osobę kontaktową w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jednostki jemu podległe lub przez niego nadzorowane.
Jednostka samorządu terytorialnego może wyznaczyć jedną osobę kontaktową w zakresie zadań publicznych zależnych od systemów informacyjnych realizowanych przez jej jednostki organizacyjne.
Dane osoby kontaktowej należy przekazać do właściwego CSIRT (dla samorządów będzie to CSIRT NASK).
Zgłoszenie osoby kontaktowej odbywa się w dwóch krokach:
+ Przesłanie wiadomości e-mail na adres: ksc@cert.pl następujących informacji:
- nazwa podmiotu/organizacji,
- sektor (energia, transport, finanse itd.),
- imię, nazwisko, telefon kontaktowy oraz służbowy e-mail osoby kontaktowej.
+ Przesłanie pisma z wyżej wymienionymi informacjami. Pismo stanowi potwierdzenie zgłoszenia.
Zgłoszenie osoby kontaktowej należy złożyć w terminie 14 dni od daty wyznaczenia osoby. Wszystkie zmiany również należy przekazać w terminie 14 dni.
2. Zarządzanie incydentem
Podmiot publiczny, który realizuje zadanie publiczne zależne od systemu informacyjnego, ma obowiązek zapewnić zarządzanie incydentem w podmiocie publicznym.
a. Zgłoszenie incydentu
Incydent powinien zostać zgłoszony niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT. Zgłoszenie przekazywane jest w postaci elektronicznej, poprzez uzupełnienie formularza internetowego znajdującego się na stronie: https://incydent.cert.pl.
Zgłoszenie zawiera:
- dane podmiotu zgłaszającego, w tym nazwę podmiotu, numer we właściwym rejestrze, siedzibę i adres;
- imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby składającej zgłoszenie;
- imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji;
- opis wpływu incydentu w podmiocie publicznym na realizowane zadanie publiczne (wskazanie zadania publicznego, na które incydent miał wpływ, liczbę osób, na które incydent miał wpływ, moment wystąpienia i wykrycia incydentu oraz czas jego trwania, zasięg geograficzny obszaru, którego dotyczy incydent, przyczynę zaistnienia incydentu i sposób jego przebiegu oraz skutki jego oddziaływania na systemy informacyjne podmiotu publicznego);
- informacje o przyczynie i źródle incydentu;
- informacje o podjętych działaniach zapobiegawczych;
- informacje o podjętych działaniach naprawczych;
- inne istotne informacje.
W momencie zgłoszenia podmiot podaje znane sobie informacje, które mogą być uzupełniane w trakcie obsługi incydentu.
b. Dane osobowe i tajemnice prawnie chronione
Poszczególne zespoły CSIRT mają prawo przetwarzać dane osobowe, w tym także tajemnice prawnie chronione, które są niezbędne do obsługi incydentów i zagrożeń cyberbezpieczeństwa (ustawodawca skorzystał w tym przypadku z art. 23 RODO, umożliwiającego wyłączenie niektórych podmiotów z części przepisów rozporządzenia).
Zgłoszenie incydentu powinno zawierać zarówno dane osobowe, a także tajemnice prawnie chronione (w tym tajemnice przedsiębiorstwa), jeżeli jest to konieczne do realizacji zadań CSIRT. W zgłoszeniu należy oznaczyć informacje, które są prawnie chronione.
CSIRT może zwrócić się do podmiotu publicznego o uzupełnienie zgłoszenia o informacje, które stanowią tajemnice prawnie chronione.
Właściwy CSIRT, publikując informacje o incydentach, nie może naruszać przepisów o ochronie danych osobowych, przepisów o ochronie informacji niejawnych oraz innych tajemnic prawnie chronionych.
3. Obowiązek informacyjny
Obsługa incydentu wiąże się również z obowiązkiem przekazania informacji osobom, na rzecz których realizuje się zadanie publiczne. Osoby mają prawo dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami.
Obowiązek informacyjny może zostać spełniony poprzez publikacje stosownego komunikatu na stronie internetowej.
Gdy podmiot publiczny jest operatorem usługi kluczowej
Podmiot publiczny może być jednocześnie operatorem usługi kluczowej. Procedura wyznaczenia jest identyczna z tą opisaną w części dotyczącej operatorów usług kluczowych.
Podmiot publiczny, który zostanie uznany za operatora usługi kluczowej, zobowiązany jest do wypełnienia ustawowych obowiązków przewidzianych dla operatorów usług kluczowych, w zakresie świadczenia usługi kluczowej.
Gdy podmiot publiczny jest operatorem infrastruktury krytycznej
Podmiot publiczny może być równocześnie także operatorem infrastruktury krytycznej. Mówimy tutaj o sytuacji, gdy jest właścicielem, posiadaczem samoistnym albo posiadaczem zależnym obiektów, instalacji, urządzeń lub usług wchodzących w skład infrastruktury krytycznej, wymienionych w wykazie, o którym mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2017 r. poz. 209 i 1566 oraz z 2018 r. poz. 1118).
Podmiot, który posiada już zatwierdzony plan ochrony infrastruktury krytycznej uwzględniający dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, nie ma obowiązku opracowania takiej dokumentacji ponownie.
Zgłaszanie incydentów odbywa się na tych samych zasadach jak dotychczas tzn. operatorzy infrastruktury krytycznej zgłaszają je do zespołu CSIRT GOV zarządzanego przez ABW.
Poradnik dla samorządów – ustawa o krajowym systemie cyberbezpieczeństwa (PDF)
Czytaj także: Krajowy system cyberbezpieczeństwa – zadania przedsiębiorców
