W dniu 11 czerwca w Biuletynie Informacji Publicznej na portalu Rządowego Centrum Legislacji został opublikowany projekt rozporządzenia Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (dalej: „Rozporządzenie”, „Projekt”).
Projekt, który znajduje się obecnie na etapie konsultacji, ma zastąpić docelowo rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz. U. z 2018 r. poz. 1780).
Uwagi do projektu można było zgłaszać do 5 lipca br.
Przepisy ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2018 r. poz. 1560, „UoKSC”) nakładają na operatorów usług kluczowych obowiązki związane z wdrożeniem i zapewnieniem właściwego funkcjonowania systemu zarządzania bezpieczeństwem w systemach informacyjnych, wykorzystywanych do świadczenia usług kluczowych. W szczególności obowiązki te związane są z koniecznością powołania struktur wewnętrznych odpowiedzialnych za cyberbezpieczeństwo lub zawarcia odpowiednich umów z podmiotami świadczącymi usługi w tym zakresie.
Projekt jest przede wszystkim odpowiedzią na uwagi przedsiębiorców odnoszące się do potrzeby wprowadzenia proporcjonalności wymogów, usprawnienia istniejących dotąd wymogów oraz doprecyzowania „miękkich zapisów” odnoszących się do poszczególnych obowiązków. W treści Rozporządzenia doprecyzowano również przepisy dotyczące zabezpieczeń technicznych oraz rozróżniono rodzaje zabezpieczeń w zależności od realizowanych czynności poprzez dokonanie ich podziału na czynności techniczne i organizacyjne.
W § 1 wskazane zostały warunki organizacyjne, jakie musi spełniać podmiot świadczący usługi z zakresu cyberbezpieczeństwa oraz wewnętrzna struktura organizacyjna operatora usługi kluczowej. W szczególności, doprecyzowaniu uległy warunki, które powinien spełniać personel takiego podmiotu.
Istotną zmianę wprowadzono również w § 2 Rozporządzenia. W niniejszym paragrafie wskazano, że pomieszczenia mają służyć bezpiecznemu realizowaniu czynności polegających na:
– zbieraniu informacji o zagrożeniach, cyberbezpieczeństwie i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zarządzaniu incydentami oraz stosowaniu bezpiecznej łączności na potrzeby krajowego systemu cyberbezpieczeństwa oraz
– zgłaszaniu incydentów i innych informacji do zespołów CSIRT.
Zaproponowano również zmianę treści § 2 Rozporządzenia, w którym uregulowano wymogi dotyczące pomieszczeń. Usunięto wymogi dotyczące ścian wewnętrznych oraz wskazano, że pozostałe obowiązki o których mowa w art. 8 UoKSC powinny być realizowane po wprowadzeniu zabezpieczeń zapewniających poufność, integralność, dostępność i autentyczność przetwarzanych informacji zgodnie z oszacowanym ryzykiem w danej organizacji.
W treści § 5 wprowadzono zapis umożliwiający pracę zdalną, która jest dopuszczalna pod warunkiem zapewnienia bezpieczeństwa pracy zdalnej w zakresie wskazanym w projekcie Rozporządzenia. Wprowadzenie możliwości zdalnej pracy wiąże się z możliwością prowadzenia konsultacji z ekspertami oraz zlecaniem analiz zewnętrznym specjalistom.
W projekcie uregulowano również przepisy przejściowe. Zgodnie z proponowanym brzmieniem § 6 Rozporządzenia, podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo, zobowiązane są do dostosowania pomieszczeń do wymogów określonych w projektowanym § 2 w terminie 30 dni od dnia wejścia w życie niniejszego Rozporządzenia.
Zawarte w Projekcie regulacje będą miały wpływ również na działalność mikroprzedsiębiorców, małych oraz średnich przedsiębiorców.
***
Rozporządzenie ma wejść w życie po upływie 14 dni od dnia ogłoszenia.
Autor: Joanna Nowak, Warzynowicz & Wspólnicy sp. k.