Krajowy system cyberbezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeństwa wdraża do polskiego systemu Dyrektywę Parlamentu Europejskiego i Rady w sprawie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych. Określa organizację systemu, zadania podmiotów, nadzór oraz zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Definiuje cyberbezpieczeństwo, podmioty reagujące na incydenty komputerowe i kategorie incydentów.

Tematyka: krajowy system cyberbezpieczeństwa, ustawa, operatorzy usług kluczowych, dostawcy usług cyfrowych, podmioty publiczne, cyberbezpieczeństwo, incydenty komputerowe, kategorie incydentów, kary pieniężne, strategia cyberbezpieczeństwa

Ustawa z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560, dalej jako:
CyberBezpU) wdraża do polskiego systemu Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148
z 6.7.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów
informatycznych na terytorium Unii (Dz.Urz. UE L Nr 194 z 2016 r., s. 1). Ustawa określa organizację
krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego
systemu, sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy, zakres oraz tryb
stanowienia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.
• Podmioty zajmujące się reagowaniem na incydenty komputerowe: CSIRT GOV, CSIRT MON, CSIRT NASK
• Ustawa nakłada obowiązki na operatorów usług kluczowych, jak i na dostawców usług cyfrowych.
• Informacje o podatnościach, incydentach i zagrożeniach cyberbezpieczeństwa oraz o poziomie ryzyka wystąpienia
incydentu, są wyłączone z reżimu ustawy o dostępie do informacji publicznej.
Definicja cyberbezpieczeństwa i podmioty zajmujące się reagowaniem na incydenty komputerowe
Ustawodawca zdefiniował cyberbezpieczeństwo jako odporność systemów informacyjnych na wszelkie
działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub
związanych z nimi usług oferowanych przez te systemy informacyjne.
Ustawa o krajowym systemie cyberbezpieczeństwa usankcjonowała istniejące i działające od lat w ramach swojej
właściwości trzy podmioty na poziomie krajowym, które w ramach swojej działalności zajmują się reagowaniem na
incydenty komputerowe: CSIRT GOV, czyli Rządowy Zespół Reagowania na Incydenty Komputerowe, CSIRT MON,
czyli System Reagowania na Incydenty Komputerowe Resortu Obrony Narodowej oraz CSIRT NASK, czyli Naukową
Akademię Sieci Komputerowych.
Kategorie incydentów
Ustawa o krajowym systemie cyberbezpieczeństwa wprowadza kilka kategorii incydentów, które różnią się
w zależności rodzaju podmiotu, który je zgłasza, i stopnia jego oddziaływania (progów). Incydent poważny,
zgłaszany przez operatora usług kluczowych, związany jest z poważnym obniżeniem jakości lub przerwaniem
ciągłości działania świadczonej usługi kluczowej, a incydent istotny ma istotny wpływ na świadczenie usługi
cyfrowej. Incydent w podmiocie publicznym nie jest uzależniony od progu oddziaływania, ale dotyczy wszystkich
zdarzeń, które powodują lub mogą spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego.
Przewidziano również incydenty krytyczne, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku
publicznego, interesów gospodarczych, działania instytucji publicznych.
Pojęcie operatora usług kluczowych
W myśl art. 5 CyberBezpU operatorem usługi kluczowej jest podmiot, o którym mowa w załączniku nr 1 do ustawy,
posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do
spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Organ właściwy do spraw
cyberbezpieczeństwa wydaje decyzję o uznaniu podmiotu za operatora usługi kluczowej, jeżeli: 1) podmiot
świadczy usługę kluczową; 2) świadczenie tej usługi zależy od systemów informacyjnych; 3) incydent miałby istotny
skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora. Minister właściwy do spraw informatyzacji
prowadzi wykaz operatorów usług kluczowych.
W art. 8 CyberBezpU określone zostały obowiązki operatorów usług kluczowych w zakresie stosowania
zabezpieczeń systemów informacyjnych służących do świadczenia usług kluczowych, szacowania i zarządzania
ryzykiem oraz realizowania procedur dotyczących zarządzania incydentem. Miedzy innymi wskazano, że operator
usług kluczowych zobowiązany jest do: zgłoszenia incydent poważny niezwłocznie, nie później niż w ciągu 24
godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV; zbierania informacji
o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do
świadczenia usługi kluczowej; zapewnienia użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na
zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi
zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji
na ten temat na swojej stronie internetowej; zapewnienia przeprowadzenie, co najmniej raz na 2 lata, audytu
bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

Dostawcy usług cyfrowych
Wymaganiami z zakresu cyberbezpieczeństwa zostaną również objęci dostawcy usług cyfrowych, czyli osoby
prawne albo jednostki organizacyjne nieposiadające osobowości prawnej mająca siedzibę lub zarząd na terytorium
Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej
Polskiej, świadczące usługę cyfrową, z wyjątkiem mikroprzedsiębiorców i małych przedsiębiorców, o których mowa
w art. 7 ust. 1 pkt 1 i 2 ustawy z 6.3.2018 r. – Prawo przedsiębiorców (Dz.U. z 2018 r. poz. 646 ze zm.). Ustawa
o krajowym systemie cyberbezpieczeństwa w art. 17 oraz art. 18 szczegółowo opisuje obowiązki tych podmiotów.
Podmioty publiczne
Zakresem działania ustawy o krajowym systemie cyberbezpieczeństwa objęte zostały również podmioty publiczne.
Podmioty publiczne objęte wymogami z zakresu cyberbezpieczeństwa będą zobowiązane do wyznaczenia osoby
odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa (art. 21
CyberBezpU) oraz udostępniania wiedzy na temat zagrożeń cyberbezpieczeństwa oraz stosowania odpowiednich
zabezpieczeń przed tymi zagrożeniami (art. 22 ust. 1 pkt 4 CyberBezpU).
W kwestii udostępniania informacji ustawa wprowadza zasadę, że informacje o podatnościach, incydentach
i zagrożeniach cyberbezpieczeństwa oraz o poziomie ryzyka wystąpienia incydentu, są wyłączone z reżimu
ustawy o dostępie do informacji publicznej.
Kary pieniężne
Zgodnie z zasadą proporcjonalności wysokość kar administracyjnych została odpowiednio zróżnicowana. Za
niewypełnianie obowiązków administracyjnych, tj. wyznaczenie osoby odpowiedzialnej za kontakty w ramach
krajowego systemu cyberbezpieczeństwa przewiduje się najniższe kary do 15 tys. zł. Przykładowo również
przewiduje się od 20 tys. zł kary za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego bądź
istotnego. Z kolei z tytułu niewypełniania obowiązków o istotnym charakterze z punktu widzenia
cyberbezpieczeństwa, np. za nieprzeprowadzenie audytu, bądź nie usunięcie w wyznaczonym terminie
nieprawidłowości stwierdzonych w wyniku kontroli – przewiduje się kary odpowiednio wyższe i będzie to 200 000 zł.
Kara Pieniężna w wysokości do 1 000 000 zł, grozi operatora usługi kluczowej bądź dostawcy usługi cyfrowej,
który uporczywie narusza przepisy ustawy, powodując bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla
obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, bądź
zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych.
Ustawa weszła w życie 28.8.2018 r.
Autor jest adwokatem

Ustawa narzuca obowiązki na operatorów usług kluczowych i dostawców usług cyfrowych. Podmioty publiczne również są objęte wymogami cyberbezpieczeństwa. Przewidziane są kary pieniężne proporcjonalne do rodzaju naruszenia. Ustawa weszła w życie 28.8.2018 r.