Pojawiające się coraz częściej i coraz bardziej wyrafinowane ataki cyberprzestępców na sieci informatyczne mogą pociągać za sobą ogromne straty związane z utratą reputacji, własności intelektualnej czy ograniczeniem zdolności do świadczenia usług.

W odpowiedzi na te zagrożenia prawodawca europejski uchwalił w dniu 6 lipca 2016 roku Dyrektywę 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Network Internet Security, „Dyrektywa NIS”), która weszła w życie w sierpniu 2016 roku. Dyrektywa zobowiązuje wszystkie państwa członkowskie UE do zagwarantowania minimalnego poziomu bezpieczeństwa krajowych sieci i systemów informatycznych poprzez ustanowienie organów właściwych do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (CSIRT) oraz przyjęcia krajowych strategii w zakresie cyberbezpieczeństwa.

W dniu 2 listopada 2017 roku na stronach Rządowego Centrum Legislacji został opublikowany projekt ustawy o krajowym systemie cyberbezpieczeństwa, będący implementacją dyrektywy NIS do polskiego porządku prawnego.

Cel i zakres regulacji

Zasadniczym celem opisywanej regulacji jest zapewnienie wysokiego poziomu odporności systemów teleinformatycznych na ataki w cyberprzestrzeni, a w konsekwencji – niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki, jak również usług cyfrowych.

Przepisy odnoszą się do dwóch grup podmiotów: tzw. operatorów usług kluczowych (przedsiębiorcy z sektorów: energetyka, transport, bankowość i infrastruktura rynków finansowych, służba zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, infrastruktura cyfrowa) oraz dostawców usług cyfrowych (internetowych platform handlowych, wyszukiwarek internetowych, usług przetwarzania w chmurze).

Należy zauważyć, że przepisy nie wprowadzają rozróżnienia między podmiotami prywatnymi i publicznymi, co w praktyce oznacza, że każdy podmiot świadczący wymienione wyżej usługi będzie musiał dostosować się do nowych wymogów związanych z zapewnieniem cyberbezpieczeństwa.

Operatorzy usług kluczowych

Operatorem usług kluczowych w myśl projektowanych przepisów jest podmiot należący do jednego z wyżej wymienionych sektorów kluczowych, który świadczy usługę o zasadniczym znaczeniu dla utrzymania działalności społecznej lub gospodarczej (tzw. usługa kluczowa), świadczenie tej usługi jest uzależnione od systemów teleinformatycznych, a każdy incydent dotyczący bezpieczeństwa tych systemów miałby istotny skutek zakłócający dla świadczenia usługi przez operatora.

Uznanie za operatora usługi kluczowej będzie odbywało się w trybie decyzji administracyjnej, wydawanej przez organ właściwy dla danego sektora. W przypadku zaprzestania spełniania przez podmiot warunków będących podstawą wydania decyzji administracyjnej, przewidziane zostało wydanie decyzji o wygaśnięciu decyzji o uznaniu za operatora usługi kluczowej. Wykaz usług kluczowych, z podziałem na sektory i podsektory, zostanie określony w drodze rozporządzenia Rady Ministrów. Wykaz ten będzie następnie prowadzony na bieżąco przez ministra do spraw informatyzacji.

Operatorzy usług kluczowych będą mieli dwa główne obowiązki związane z zapewnieniem bezpieczeństwa świadczonych przez nich usług.

Pierwszy z nich będzie dotyczył wprowadzenia zależnych od poziomu ryzyka środków (organizacyjnych i technicznych) zapewniających bezpieczeństwo świadczonej przez operatora usługi kluczowej oraz ciągłość świadczenia tej usługi (system zarządzania bezpieczeństwem, oparty na zasadzie risk-based approach).

Minimalny zakres, jaki ma obejmować tworzony system zarządzania bezpieczeństwem, został wskazany w art. 10 ust. 2 projektu ustawy o krajowym systemie cyberbezpieczeństwa. Jest to w szczególności: (1) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych, (2) zarządzanie incydentami, (3) zastosowanie środków technicznych i organizacyjnych w celu analizowania i zarządzania ryzykami, na jakie narażone są systemy informacyjne wykorzystywane przez operatora do świadczenia usług kluczowych, (4) zarządzanie ryzykiem zakłócenia ciągłości świadczenia usługi kluczowej, (5) objęcie świadczonych usług kluczowych systemem monitorowania w trybie ciągłym, (6) utrzymanie i bezpieczna eksploatacja systemów informacyjnych, (7) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemów informacyjnych. Obowiązkiem operatorów usług kluczowych będzie także opracowanie dokumentacji dotyczącej cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych (w ciągu sześciu miesięcy od otrzymania decyzji o uznaniu za operatora usługi kluczowej).

Drugim zasadniczym obowiązkiem operatora usługi kluczowej będzie konieczność raportowania i obsługi incydentów.

Operator będzie zobowiązany do identyfikacji incydentu, jego rejestracji oraz klasyfikacji na podstawie progów uznawania incydentu za poważny. Incydenty poważne (tj. incydenty, które powodują lub mogą spowodować krytyczne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej) będą musiały być zgłaszane przez operatora niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT. W projektowanych przepisach znajduje się upoważnienie ustawowe dla Rady Ministrów do określenia w drodze rozporządzenia progów uznania incydentu za poważny w poszczególnych sektorach.

Dodatkowo operatorzy usług kluczowych będą zobowiązani do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług kluczowych oraz zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami, a ponadto do przeprowadzania co najmniej raz na dwa lata audytu bezpieczeństwa teleinformatycznego.

Projektodawca dopuszcza przy tym możliwość budowy wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo bądź outsourcingu usług z zakresu cyberbezpieczeństwa.

Dostawcy usług cyfrowych

Przepisy o cyberbezpieczeństwie dotyczą trzech rodzajów dostawców usług cyfrowych: internetowych platform handlowych, wyszukiwarek internetowych i podmiotów świadczących usługi przetwarzania w chmurze. Zgodnie z omawianymi przepisami dostawcy usług cyfrowych będą odpowiedzialni za zapewnienie cyberbezpieczeństwa świadczonych przez nich usług cyfrowych.

Obowiązkiem dostawcy usług cyfrowych będzie określenie i podjęcie odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykami, na jakie narażone są systemy informacyjne wykorzystywane przez niego do świadczenia usług cyfrowych. Środki te, uwzględniając najnowszy stan wiedzy, będą musiały zapewniać poziom bezpieczeństwa systemów informacyjnych odpowiedni do istniejącego ryzyka.

W zakresie raportowania o incydentach przez dostawców usług cyfrowych przepisy przewidują obowiązek informowania CSIRT NASK o incydencie istotnym, jak również obowiązek przekazania informacji o incydencie operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usług cyfrowych.

Szczegółowe uzupełnienie przepisów dotyczących stosowanych przez dostawców usług cyfrowych zabezpieczeń teleinformatycznych oraz wytyczne dla określania istotności incydentów znajdą się w wydanej na podstawie art. 16 ust. 8 Dyrektywy NIS decyzji wykonawczej Komisji Europejskiej. Projekt tej decyzji został opublikowany w dniu 13 września 2017 r.

Współpraca przedsiębiorców z CSIRT, szczególna rola przedsiębiorców z sektora Security IT

Dyrektywa NIS zobowiązuje każde państwo członkowskie do przyjęcia krajowej strategii cyberbezpieczeństwa. W jej ramach każdy kraj będzie zobowiązany do wyznaczenia krajowego punktu kontaktowego ds. bezpieczeństwa sieci i systemów informatycznych, który będzie pełnił funkcję łącznikową w celu zapewnienia transgranicznej współpracy organów z poszczególnych państw członkowskich. Dyrektywa tworzy również grupę współpracy w celu wymiany informacji między państwami członkowskimi, która będzie składała się z przedstawicieli państw członkowskich, Komisji Europejskiej oraz ENISA (Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji). Ponadto każdy kraj członkowski będzie miał obowiązek utworzenia jednego lub większej liczby zespołów reagowania na incydenty bezpieczeństwa komputerowego (Computer Security Incident Response Team – CSIRT), odpowiedzialnych za postępowanie w odniesieniu do ryzyk i postępowanie w przypadku incydentów. Art. 12 ust. 1 Dyrektywy ustanawia także sieć krajowych CSIRT, składającą się z przedstawicieli CSIRT państw członkowskich i CERT-EU.

W Polsce, zgodnie z projektem ustawy o krajowym systemie cyberbezpieczeństwa, system zarządzania ryzykiem w zakresie cyberbezpieczeństwa państwa oraz obsługa zgłoszonych incydentów będzie realizowana przez CSIRT MON (prowadzony przez Ministra Obrony Narodowej), CSIRT NASK (prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy) i CSIRT GOV (prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego). CSIRT MON, CSIRT NASK i CSIRT GOV będą miały za zadanie realizować zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także zapewniać koordynację obsługi poważnych incydentów. Na wniosek operatorów usług kluczowych i dostawców usług cyfrowych CSIRT będą mogły zapewnić im wsparcie w obsłudze lub obsługę poważnych incydentów.

Jak więc wynika z powyższego, przepisy o cyberbezpieczeństwie stawiają na współpracę pomiędzy przedsiębiorcami a jednostkami służącymi ściganiu cyberprzestępczości i neutralizowaniu zagrożeń. Współpraca ta jest przy tym dwuaspektowa – z jednej strony zakłada współdziałanie operatorów usług kluczowych i dostawców usług cyfrowych z zespołami reagowania na incydenty bezpieczeństwa komputerowego, a z drugiej wzmacnia rolę (i odpowiedzialność) przedsiębiorców z sektora Security IT – dostawców technologii ochronnej. Aktywna współpraca tych przedsiębiorców i dzielenie się informacjami o obserwacjach dotyczących cyberzagrożeń z CSIRT-ami oraz innymi organami właściwymi w sprawach zwalczania cyberprzestępczości, i to zarówno na poziomie krajowym, jak i europejskim, z pewnością będzie służyć poprawie bezpieczeństwa sieci i systemów informatycznych.

Podsumowanie  

Ustanowienie wspólnych standardów cyberbezpieczeństwa oraz poprawa współpracy między krajami UE ma pomóc przedsiębiorstwom skuteczniej stawiać czoła hakerom, a także pomóc w zapobieganiu atakom na infrastrukturę cyfrową. Jednocześnie jednak nowe przepisy nakładają na przedsiębiorców szereg obowiązków, z których niewywiązanie się będzie równoznaczne z możliwością nałożenia na przedsiębiorcę kary pieniężnej (w wysokości maksymalnie do 200 000 złotych). Co istotne, podobnie jak w przypadku RODO przedsiębiorcy będą zobowiązani do zapewnienia poziomu bezpieczeństwa współmiernego do poziomu ryzyka zagrażającego bezpieczeństwu świadczonych przez nich usług, wymusi to zatem na przedsiębiorcach konieczność rzetelnej i odpowiedzialnej oceny zagrożeń. Jednocześnie nie ulega wątpliwości, że wzmocnieniu ulegnie pozycja firm, które są dostawcami technologii z zakresu Security IT. Motywacją do korzystania z zaawansowanych systemów zabezpieczeń przez przedsiębiorców będzie bowiem nie tylko nakaz ujawniania informacji o zdarzeniach naruszeń bezpieczeństwa, ale także zakładane przez nowe przepisy tzw. podejście na zasadzie ryzyka, a co za tym idzie konieczność udowodnienia, że przedsiębiorca zrobił wszystko, aby do incydentów zagrożeń cyberprzestępczością nie dopuścić.