W rozwijającym się świecie nowych technologii niezbędne okazały się regulacje prawne, które wpłyną na cyberbezpieczeństwo przedsiębiorstw, a tym samym obywateli. Najważniejszym aktem prawnym w tym obszarze jest przygotowana i wdrożona przez Ministerstwo Cyfryzacji ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), która obowiązuje od sierpnia 2018 r. i nałożyła nowe obowiązki na część przedsiębiorstw oraz podmioty administracji publicznej. Stanowi ona implementację unijnej Dyrektywy NIS (ang. Network and Information Systems Directive).
Kto został zobowiązany do przestrzegania ustawy? Trzy typy podmiotów:
- operatorzy usług kluczowych,
- dostawcy usług cyfrowych,
- podmioty publiczne.
O tym, która z organizacji podlega wymogom ustawy jako operator usług kluczowych informuje organ właściwy (ministerstwo), który wydaje decyzję administracyjną o zakwalifikowaniu do tej grupy. Ustawa wskazuje też sektory, w których powinni zostać zidentyfikowani operatorzy usług kluczowych. Są to:
- sektor energetyczny,
- transportowy,
- bankowy i infrastruktury rynków finansowych,
- ochrony zdrowia,
- zaopatrzenia w wodę pitną (wraz z dystrybucją),
- infrastruktury cyfrowej.
Dokładna lista usług kluczowych jest zawarta w rozporządzeniu wykonawczym do ustawy z dnia 11 września 2018 r.
Operator usługi kluczowej jest zobowiązany do wdrożenia zarządzania bezpieczeństwem w systemie informacyjnym używanym do świadczenia usługi kluczowej. Ma także obowiązek systematycznego szacowania ryzyka i dostosowania do niego środków bezpieczeństwa. Poza tym musi opracowywać i uaktualniać dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego oraz przechowywać ją przez co najmniej dwa lata.
Obsługa incydentu jest obowiązkiem operatora usługi kluczowej, a w przypadku, gdy jest powołany sektorowy zespół cyberbezpieczeństwa, operator przekazuje zgłoszenie do tego zespołu. Współdziała z nim wysyłając niezbędne dane i zapewnia dostęp do informacji o rejestrowanych incydentach.
Przedsiębiorcy mogą kierować zgłoszenia do CERT Polska w NASK, pełniącego rolę jednego z trzech CSIRT poziomu krajowego (obok CSIRT MON i CSIRT ABW).
Ustawa o Krajowym Systemie Cyberbezpieczeństwa jasno określa również obowiązki dostawców usług cyfrowych (ang. Digital Service Providers, DSP), do których zaliczane są:
- internetowe platformy handlowe,
- usługi przetwarzania w chmurze,
- wyszukiwarki internetowe.
Ustawie nie podlegają małe i mikroprzedsiębiorstwa. Ze względu na transgraniczny charakter usług cyfrowych i międzynarodową specyfikę podmiotów świadczących tego rodzaju usługi, DSP zostały objęte lżejszą regulacją niż operatorzy usług kluczowych. Dostawcy usług cyfrowych oprócz odpowiedniego zarządzania ryzykiem systemów informacyjnych wykorzystywanych do świadczenia usługi cyfrowej, mają obowiązek prowadzenia czynności umożliwiających wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów. Podobnie jak operatorzy usług kluczowych, dostawcy usług cyfrowych również podlegają nadzorowi organów właściwych, które są uprawnione do kontrolowania i nakładania kar pieniężnych.
Wspomniana ustawa powinna być obecnie na etapie wdrożenia w przedsiębiorstwach, które zostały poinformowane przez organy właściwe (ministerstwa), iż jej podlegają. To jednak nie oznacza, że proces ten zakończy się wraz z wdrożeniem wszystkich obowiązków wynikających z aktu prawnego.
Po pierwsze dlatego, iż ustawa przewiduje stałe monitorowanie i czynne, ciągłe działania na rzecz cyberbezpieczeństwa.
Po drugie dlatego, że powstające przedsiębiorstwa mogą dołączać do grup objętych ustawą.
Po trzecie dlatego, iż prawdopodobne jest, że konieczne okaże się włączanie w zakres ustawy kolejnych przedsiębiorstw, które w jakimś zakresie współpracują np. z operatorami usług kluczowych.
Wynika z tego jasno, iż warto wnikliwie zapoznać się z tą regulacją prawną oraz mieć świadomość, że dbanie o cyberbezpieczeństwo staje się BHP XXI wieku.
PORADNIK: Zgłaszanie incydentów przez operatorów usług kluczowych (PDF)
