Praktycznie o informacji publicznej

Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz 2019,  wyd. 1

  • Celem nowej ustawy jest zapewnienie cyberbezpieczeństwa w zakresie świadczenia usług kluczowych i usług cyfrowych. Krajowy system cyberbezpieczeństwa obejmuje kilkanaście kategorii podmiotów,  w szczególności tzw. operatorów usług kluczowych. Ustawa o krajowym systemie cyberbezpieczeństwa zawiera także zasady wskazywania operatorów i określa ich obowiązki dotyczące wdrożenia skutecznego systemu zarządzania bezpieczeństwem.
  • Komentarz to obszerne kompendium wiedzy dotyczące nowych przepisów oraz baza niezbędnych, praktycznych uwag dotyczących funkcjonowania krajowego systemy cyberbezpieczeństwa w Polsce.

  • Publikacja skierowana do praktyków – sędziów, prokuratorów, adwokatów i radców prawnych, oraz specjalistów zajmujących zagadnieniami z obszaru bezpieczeństwa IT, operatorów usług kluczowych wszystkich sektorów, dostawców usług cyfrowych, organów administracji publicznej oraz specjalistów compliance.

Fragment tekstu z komentarza

Art. 11 [Obsługa incydentu]

KOMENTOWANY PRZEPIS

  1. Operator usługi kluczowej:

1)  zapewnia obsługę incydentu;

2)  zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;

3)  klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;

4)  zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;

5)  współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;

6)  usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.

  1. Zgłoszenie, o którym mowa w ust. 1 pkt 4, przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.
  2. W przypadku ustanowienia sektorowego zespołu cyberbezpieczeństwa operator usługi kluczowej niezależnie od zadań określonych w ust. 1:

1)  przekazuje jednocześnie temu zespołowi w postaci elektronicznej zgłoszenie, o którym mowa w ust. 1 pkt 4;

2)  współdziała z tym zespołem na poziomie sektora lub podsektora podczas obsługi incydentu poważnego lub incydentu krytycznego, przekazując niezbędne dane, w tym dane osobowe;

3)  zapewnia temu zespołowi dostęp do informacji o rejestrowanych incydentach w zakresie niezbędnym do realizacji jego zadań.

  1. Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w załączniku nr 1 do ustawy, uwzględniając:

1)  liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej,

2)  czas oddziaływania incydentu na świadczoną usługę kluczową,

3)  zasięg geograficzny obszaru, którego dotyczy incydent,

4)  inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują

– kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.

 

  1. Art. 14 dyrektywy NIS. W przepisie art. 11 CyberbezpU na operatorów usług kluczowych nałożono obowiązki związane z obsługą incydentu oraz ze zgłaszaniem i obsługą incydentu poważnego. Implementuje on [w zakresie oceny wagi incydentu oraz zgłaszania go w wypadku uznania za istotny (w CyberbezpU – poważny)] postanowienia art. 14 ust. 3 i 4 dyrektywy NIS. Zgodnie z pierwszym z tych przepisów państwa członkowskie zapewniają, aby operatorzy usług kluczowych niezwłocznie zgłaszali właściwemu organowi lub CSIRT incydenty mające istotny wpływ na ciągłość świadczonych przez nich usług kluczowych. W art. 14 ust. 4 dyrektywy NIS wskazano, jakie kryteria powinny być brane pod uwagę przy określeniu istotności danego incydentu, a mianowicie:

        a) liczba użytkowników, których dotyczy zakłócenie usługi kluczowej,
        b) czas trwania incydentu,
        c) zasięg geograficzny związany z obszarem, którego dotyczy incydent.

  1. Obsługa incydentu. Za obsługę incydentu (bez względu na jego rodzaj) odpowiada operator usługi kluczowej – dokonuje identyfikacji incydentu, jego rejestracji i kwalifikacji (na podstawie progów uznawania incydentu za poważny określa, czy należy go za taki uznać; o kwalifikacji incydentu jako krytyczny decyduje właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV– zob. uwagi do art. 2 pkt 6), priorytetyzacji, a także podejmuje działania naprawcze oraz ograniczające jego skutki (zob. uwagi do art. 2 pkt 10).
  2. Obowiązek zgłoszenia incydentu poważnego. Jeżeli operator usługi kluczowej uzna, że incydent jest poważny, ma on obowiązek zgłoszenia niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia tego zdarzenia właściwemu CSIRT (na temat właściwości CSIRT – art. 26 ust. 5–7 oraz art. 27 CyberbezpU). Zgodnie z art. 26 ust. 8 CyberbezpU, jeżeli CSIRT MON, CSIRT NASK lub CSIRT GOV otrzymał zgłoszenie incydentu, a nie jest właściwy do koordynacji jego obsługi, przekazuje niezwłocznie to zgłoszenie do właściwego CSIRT wraz z otrzymanymi informacjami. W art. 11 ust. 1 pkt 4 CyberbezpU przewidziano, że zgłoszenie dokonywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – co może przecież mieć miejsce, jako skutek zaistnienia incydentu – przy użyciu innych dostępnych środków komunikacji. Określenie zarówno elektronicznej formy zgłaszania incydentu, jak i sposobu dokonywania zgłoszeń i przekazywania informacji przy użyciu innych środków komunikacji – w przypadku braku możliwości dokonania zgłoszenia albo przekazania ich w postaci elektronicznej – jest w gestii CSIRT (art. 31 ust. 1 CyberbezpU). Komunikat zawierający informacje na ten temat CSIRT MON, CSIRT NASK i CSIRT GOV publikują na stronie podmiotowej Biuletynu Informacji Publicznej odpowiednio Ministra Obrony Narodowej, Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego lub Agencji Bezpieczeństwa Wewnętrznego (art. 31 ust. 2 CyberbezpU).
  3. Obsługa incydentu poważnego oraz krytycznego. Obsługę incydentu poważnego i krytycznego zapewnia operator usługi kluczowej. Współpracuje on z właściwym CSIRT: CSIRT MON, CSIRT NASK lub CSIRT GOV (art. 11 ust. 1 pkt 5 CyberbezpU), a także – w tym samym zakresie – z sektorowym zespołem cyberbezpieczeństwa, jeżeli został ustanowiony (art. 11 ust. 3 pkt 2 i 3 CyberbezpU). Ponadto przesyła mu w postaci elektronicznej zgłoszenie incydentu (art. 11 ust. 3 pkt 1 CyberbezpU). Oczywiście w tym wypadku nie jest to obwarowane żadnym terminem.

Zgodnie z art. 11 ust. 1 pkt 5 CyberbezpU operator usługi kluczowej współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe. Natomiast w świetle art. CSIRT MON, CSIRT NASK lub CSIRT GOV może wystąpić bezpośrednio do operatora usługi kluczowej o udostępnienie informacji technicznych związanych z incydentem poważnym lub krytycznym, które będą niezbędne do przeprowadzenia analizy lub koordynacji obsługi takiego incydentu (art. 32 ust. 3 CyberbezpU). Z uprawnieniem tym skorelowana jest treść art. 11 ust. 1 pkt 2 CyberbezpU, zgodnie z którym operator usługi kluczowej zobligowany jest zapewnić dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań.

  1. Kontrowersje związane z długością terminu zgłoszenia incydentu poważnego. W toku konsultacji społecznych prowadzonych przed skierowaniem projektu CyberbezpU do Sejmu słusznie moim zdaniem podnoszono, że okres 24 godzin na zgłoszenie incydentu poważnego jest zbyt krótki. Wskazywano, że może uniemożliwić przeprowadzenie tak skrupulatnej i głębokiej analizy, podkreślano, że w tym okresie istotniejsza jest obsługa incydentu, a nie przeprowadzenie takiej analizy, postulowano wydłużenie terminu do co najmniej 48 lub 72 godzin od momentu wykrycia incydentu lub uzyskania wiedzy o incydencie przez operatora usług kluczowych (zob. uwagi do projektu wniesione przez np. Polskie Towarzystwo Przesyłu i Rozdziału Energii Elektrycznej, Konfederację Lewiatan, Polską Organizację Przemysłu i Handlu Naftowego, Związek Banków Polskich; należy nadmienić, że ustosunkowując się do tych uwag, projektodawca nie odniósł się do przedmiotowej kwestii, https://legislacja.rcl.gov.pl/projekt/12304650/katalog/12466708#12466708, dostęp: 1.3.2019 r.). Warto zwrócić uwagę, że w przywoływanym wyżej art. 14 ust. 3 dyrektywy NIS nie wskazano terminu na zgłoszenie incydentu, wymagając, by państwa członkowskie zapewniły, aby operatorzy usług kluczowych czynili to „niezwłocznie”. Dla porównania – art. 33 ust. 1 RODO przewiduje, że w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Należy pamiętać, że zgodnie z art. 73 ust. 1 pkt 7 w zw. z art. 73 ust 3 pkt 7 w zw. z art. 73 ust. 4 pkt 2 CyberbezpU za niezgłoszenie do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV poważnego incydentu w ciągu 24 godzin od momentu jego wykrycia grozi administracyjna kara pieniężna w wysokości do 20 000 zł (nie niższa niż 5000 zł) za każdy stwierdzony przypadek niezgłoszenia (zob. uwagi do art. 73 CyberbezpU).

  1. Obowiązek usuwania podatności. Na operatorze usługi kluczowej spoczywa także nałożony w art. 11 ust. 1 pkt 6 CyberbezpU obowiązek usuwania podatności, czyli właściwości systemu informacyjnego, która może być wykorzystana przez zagrożenie cyberbezpieczeństwa (art. 2 pkt 11 CyberbezpU), które doprowadziły lub mogłyby doprowadzić do incydentu poważnego lub krytycznego (art. 32 ust. 2 CyberbezpU), oraz informowania o ich usunięciu organu właściwego do spraw cyberbezpieczeństwa (odnośnie do organu właściwego – zob. uwagi do art. 41 CyberbezpU). Niezastosowanie się do wezwania organu właściwego i nieusunięcie podatności wiąże się dla operatora usługi kluczowej z nałożeniem kary pieniężnej, o której mowa w art. 73 ust. 1 pkt 9, w wysokości do 20 000 zł.
  2. Rozporządzenie Rady Ministrów w sprawie progów uznania incydentu za poważny. Realizując upoważnienie ustawowe zawarte w przepisie art. 11 ust. 4 CyberbezpU do określenia progów uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w załączniku Nr 1 do tej ustawy, Rada Ministrów wydała odpowiednie rozporządzenie (IncydentR).

Przykładowo – poniżej podano progi dla uznania za poważny incydentu dotyczącego sieci przesyłowej (sektor – energia, podsektor – energia elektryczna):

1) liczba użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej: nie dotyczy (trzy pierwsze progi uznania incydentu za poważny nie są brane w tym wypadku pod uwagę);

2) czas oddziaływania incydentu na świadczoną usługę kluczową: nie dotyczy;

3) zasięg geograficzny obszaru, którego dotyczy incydent: nie dotyczy;

4) inne czynniki charakterystyczne dla danego podsektora: awaryjne, równoczesne wyłączenie co najmniej dwóch elementów sieci przesyłowej powodujące:

 

a) istotne pogorszenie warunków pracy systemu lub

b) ograniczające zdolności wymiany transgranicznej, lub

c) ogłoszenie przez Operatora Systemu Przesyłowego stanu zagrożenia systemu przesyłowego lub stanu zaniku zasilania, lub stanu odbudowy systemu zgodnie z klasyfikacją stanów systemu określoną w art. 18 rozporządzenia Komisji (UE) 2017/1485 z 2.8.2017 r. ustanawiającego wytyczne dotyczące pracy systemu przesyłowego energii elektrycznej (Dz.Urz. UE L Nr 220, s. 1).

Obowiązek notyfikacji incydentów przez podmioty nieobjęte zakresem podmiotowym lub przedmiotowym CyberbezpU nałożony innymi przepisami. Obowiązek notyfikacji incydentów (naruszeń) odpowiednim organom na przedsiębiorców telekomunikacyjnych nakłada art. 175a PrTelekom, a na do dostawców usług zaufania – art. 19 rozporządzenia Rady (UE) Nr 910/2014 z 23.7.2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (Dz.Urz. L Nr 257, s. 73) (zob. uwagi do art. 1 ust. 2 pkt 1 i 2), na administratorów danych osobowych – jak była mowa wyżej – art. 33 ust. 1 RODO.


Zobacz także:


Więcej o krajowym systemie cyberbezpieczeństwa znajdziesz na

w module Informacja publiczna, bezpieczeństwo publiczne



 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw nam swój numer telefonu
i adres e-mail, a skontaktujemy się z Tobą:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych