Zaledwie po 14 dniach od dnia ogłoszenia, czyli 28 sierpnia 2018 r., weszła w życie Ustawa o krajowym systemie cyberbezpieczeństwa. Celem regulacji jest zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych. Konsultacje publiczne projektu ustawy trwały około miesiąc, a swoje uwagi złożyło prawie 30 podmiotów. Szereg spostrzeżeń przedstawiły też w ramach opiniowania organy i instytucje państwowe.
Zakres podmiotowy
Krajowy system cyberbezpieczeństwa obejmuje między innymi operatorów usług kluczowych. Zgodnie z art. 5 ustawy są nimi podmioty wymienione w załączniku nr 1 do ustawy, posiadające jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec których organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Dla wydania takiej decyzji muszą zostać spełnione następujące przesłanki:
- podmiot świadczy usługę kluczową;
- świadczenie tej usługi zależy od systemów informacyjnych;
- incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.
To, czy skutek jest „istotny” będzie się oceniać na podstawie odpowiednich progów określonych w rozporządzeniu Rady Ministrów.
W załączniku do ustawy w ramach sektora „Energia” wymienia się następujące podsektory: wydobywanie kopalin, energia elektryczna, ciepło, ropa naftowa, gaz, dostawy i usługi dla sektora energii oraz jednostki nadzorowane i podległe (jednostki organizacyjne podległe ministrowi właściwemu do spraw energii lub przez niego nadzorowane oraz jednostki organizacyjne podległe ministrowi właściwemu do spraw gospodarki złożami kopalin lub przez niego nadzorowane). Dokładniej, wśród rodzajów podmiotów mogących zostać uznanymi za operatora usługi kluczowej znajdują się między innymi:
- przedsiębiorstwa energetyczne posiadające koncesję na wykonywanie działalności gospodarczej w zakresie wytwarzania, przesyłania, dystrybucji, przetwarzania albo magazynowania energii elektrycznej, a także obrotu energią elektryczną;
- przedsiębiorstwa energetyczne posiadające koncesję na wykonywanie działalności gospodarczej w zakresie wytwarzania, przesyłania, dystrybucji ciepła, a także obrotu ciepłem;
- przedsiębiorstwa energetyczne prowadzące działalność w zakresie wytwarzania paliw gazowych, posiadające koncesję na wykonywanie działalności gospodarczej w zakresie przesyłania paliw gazowych, na wykonywanie działalności gospodarczej w zakresie obrotu gazem ziemnym z zagranicą lub na wykonywanie działalności gospodarczej w zakresie obrotu paliwami gazowymi;
- przedsiębiorstwa energetyczne będące wyznaczonym przez Prezesa Urzędu Regulacji Energetyki operatorem systemu przesyłowego gazowego, operatorem systemu dystrybucyjnego gazowego, operatorem systemu magazynowania paliw gazowych albo operatorem systemu skraplania gazu ziemnego;
- przedsiębiorstwa energetyczne posiadające koncesję na wykonywanie działalności gospodarczej w zakresie wytwarzania, przesyłania, przeładunku czy magazynowania paliw ciekłych, a także w zakresie obrotu paliwami ciekłymi lub w zakresie obrotu paliwami ciekłymi z zagranicą;
- podmioty prowadzące działalność gospodarczą w zakresie magazynowania, przesyłania, przeładunku ropy naftowej czy wytwarzania paliw syntetycznych.
Obowiązki dla przedsiębiorstw z sektora energetycznego
Wśród obowiązków operatora usługi kluczowej należy wskazać:
- wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej,
- wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
- zapewnienie użytkownikowi usługi kluczowej dostęp do wiedzy w zakresie zagrożeń cyberbezpieczeństwa,
- opracowanie, wdrożenie i aktualizację dokumentacji cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,
- obsługę incydentów, zgłaszanie incydentów poważnych i współdziałanie przy obsłudze incydentu poważnego i incydentu krytycznego,
- powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa,
- zapewnienie przeprowadzenia, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej „audytem”.
Dodatkowe koszty
Zgodnie z Oceną Skutków Regulacji w przypadku konieczności zatrudnienia osoby odpowiedzialnej za kwestie bezpieczeństwa teleinformatycznego, przedsiębiorcy będą musieli się liczyć z kosztem od 5.000 zł do 10.000 zł brutto. Wartość ta jest zależna od kwalifikacji i obowiązków pracownika oraz od wielkości przedsiębiorcy. Koszt został policzony dla zatrudnienia 6 pracowników. Do tego należy doliczyć wydatki związane z utworzeniem operacyjnego centrum bezpieczeństwa (SOC) – szacunkowo 1 mln zł oraz jego utrzymaniem – szacunkowo 2 mln zł, przy czym kwota ta może się zmienić w przypadku utworzenia sektorowego SOC albo skorzystania z komercyjnych usług podmiotu działającego na rynku.
Dodatkowe koszty wiążą się też z przeprowadzeniem audytu zewnętrznego. Szacuje się, że koszt jednostkowy jego wykonania wyniesie 50 tys. zł. Audyt po raz pierwszy będzie przeprowadzony w roku 2019, a następnie co 2 lata.
Cyberbezpieczeństwo w pozostałych krajach UE
Ustawa o krajowym systemie cyberbezpieczeństwa wpisuje się w cel 5 Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 – Osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów informacyjnych istotnych dla funkcjonowania państwa. Implementuje także Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 194 z 19.07.2016, str. 1). Dyrektywa 2016/1148 jest w trakcie transpozycji w innych państwach członkowskich UE, jednak w wielu z nich wprowadzono już różnorodne rozwiązania w zakresie zapewnienia cyberbezpieczeństwa. Jednym z pierwszych krajów, które podjęły tego typu działania jest Francja. Polityka w zakresie ochrony systemów teleinformatycznych jest prowadzona przez premiera za pośrednictwem Agencji Bezpieczeństwa Systemów Informacyjnych (Agence nationale de la sécurité des systèmes d’information „ANSSI”). W Niemczech zalecenia Dyrektywy zaimplementowano już w 2015 roku. Funkcję federalnego urzędu ds. bezpieczeństwa pełni tam BSI (Bundesamt für Sicherheit in der Informationstechnik). Do jego zadań należy bieżąca analiza zagrożeń, przygotowywanie środków do ich zwalczania oraz zabezpieczanie przed nimi gospodarki. W ramach BSI funkcjonuje Cyber-Abwehrzentrum (Cyber-AZ), którego zadaniem jest koordynacja ochrony cyberprzestrzeni w Niemczech poprzez wczesne ostrzeganie, informację i prewencję. W Finlandii ochronę cyberprzestrzeni mają zapewnić poszczególne jednostki administracji w oparciu o przygotowane plany działania, które powstają na podstawie sporządzanych analiz ryzyka. Może je przeprowadzić narodowy regulator telekomunikacyjny (FICORA) albo akredytowane przez niego jednostki. W Holandii od 2012 roku funkcjonuje Narodowe Centrum Cyberbezpieczeństwa (NCSC), a w Wielkiej Brytanii organizacja o tej samej nazwie, ale od 2017 roku. NCSC, organizacyjnie, jest częścią brytyjskiej agencji wywiadu i bezpieczeństwa (Government Communications Headquarters – GCHQ).
Znaczenie
Cyberprzestrzeń stanowi niezmiernie istotny obszar nowoczesnej gospodarki i wpływa bezpośrednio na bezpieczeństwo obywateli oraz przedsiębiorców. Dlatego też konieczność stanowiło przyjęcie regulacji prawnych pozwalających na budowanie oraz rozwój polityki ochrony cyberprzestrzeni. Z pewnością jednak utrudnienie dla wdrożenia przepisów Ustawy stanowi fakt, że weszła ona w życie zaledwie po 14 dniach od dnia publikacji.
Autor: Agata Szafrańska, Kancelaria Wawrzynowicz & Wspólnicy Sp.k.