- Email: biuro@kicb.pl
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadza do polskiego porządku prawnego nową, niezwykle istotną rolę – kierownika w zakresie cyberbezpieczeństwa. Kim jest ta osoba, jakie wymagania i obowiązki musi spełnić w podmiocie ważnym lub kluczowym wyjaśniamy poniżej. Utworzenie nowej roli w podmiotach ważnych lub kluczowych można bezpośrednio porównać do wdrożenia unijnego rozporządzenia o ochronie danych osobowych (RODO) w 2018 roku. Tak jak wówczas fundamentem bezpieczeństwa danych stał się Inspektor Ochrony Danych (IOD), tak obecnie nowelizacja KSC kreuje funkcję, która staje się podstawą odporności cyfrowej firm i instytucji. Należy jednak wyraźnie zaznaczyć, że są to osobne struktury w organizacji. Podczas gdy IOD koncentruje się na prywatności i legalności przetwarzania danych osób fizycznych, o tyle kierownik w zakresie cyberbezpieczeństwa odpowiada za ciągłość usług, odporność systemów informatycznych oraz techniczne zarządzanie ryzykiem.Osobista odpowiedzialność kierownictwa jednostki za obszar cyberbezpieczeństwa
Kluczowym przepisem regulującym osobistą odpowiedzialność za cyberbezpieczeństwo kierownika lub kierownictwo jednostki jest art. 8c ustawy, który stanowi, że to kierownik podmiotu kluczowego lub ważnego ponosi osobistą odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa. Jak czytamy w art 8c.1 znowelizowanej ustawy:
“Kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa przez podmiot kluczowy lub podmiot ważny, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8e, art. 8f ust. 1 i 2, art. 9–12b, art. 14 i art. 15.
2. W przypadku gdy kierownikiem podmiotu kluczowego lub podmiotu ważnego jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponoszą wszyscy członkowie tego organu.
3. Kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność także wtedy, gdy niektóre z obowiązków albo wszystkie obowiązki zostały powierzone innej osobie za jej zgodą.
Co zatem istotne, odpowiedzialność ta nie wygasa nawet w sytuacji, gdy realizacja obowiązków zostanie powierzona innej osobie lub podmiotowi zewnętrznemu. Takie zapisy sprawiają, że cyberbezpieczeństwo przestaje być jedynie domeną działów IT, a staje się priorytetowym zadaniem kadry zarządzającej.
Zgodnie z art. 14 ustawy, podmiot kluczowy lub ważny jest zobowiązany do powołania wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcia umowy z zewnętrznym dostawcą usług zarządzanych (MSSP).
Jak czytamy: “Podmiot kluczowy lub podmiot ważny w celu realizacji zadań, o których mowa w art. 8 oraz w art. 9–13, powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.”
Tworzy to wewnątrz organizacji trzeci, niezależny filar obok działu IT i Inspektora Ochrony Danych. Taka struktura zapewnia, że bezpieczeństwo nie jest poświęcane na rzecz wygody operacyjnej IT czy oszczędności finansowych, a każda z ról ma jasno zdefiniowany zakres kompetencji i odpowiedzialności przed organami nadzorczymi oraz właściwymi zespołami CSIRT, do których należy raportować incydenty w rygorystycznych terminach 24 i 72 godzin (art. 11).
Ustawodawca stawia przed osobami realizującymi zadania z zakresu cyberbezpieczeństwa wysokie wymagania dotyczące wiedzy i etyki. Według art. 8e, kierownik podmiotu oraz osoba, której powierzono obowiązki w tym zakresie, mają obowiązek raz w roku kalendarzowym przejść specjalistyczne szkolenie, którego realizacja musi być udokumentowana. Dodatkowo, art. 8f wprowadza wymóg niekaralności za przestępstwa przeciwko ochronie informacji, co musi zostać potwierdzone informacją z Krajowego Rejestru Karnego lub posiadaniem ważnego poświadczenia bezpieczeństwa o klauzuli co najmniej „poufne”. Osoby skazane za takie przestępstwa mają ustawowy zakaz realizacji zadań związanych z bezpieczeństwem systemu informacyjnego.
Niezwykle ważnym aspektem przy powoływaniu kierownika w zakresie cyberbezpieczeństwa wewnątrz organizacji jest zapewnienie jego niezależności. Wnioski płynące z niedawnych decyzji Prezesa Urzędu Ochrony Danych Osobowych, który ukarał prezesa zarządu za jednoczesne pełnienie funkcji IOD, wskazują na niedopuszczalność łączenia ról kontrolnych z wykonawczymi. Choć ustawa jasno tego nie zabrania, kierownik podmiotu (np. Prezes) nie może być jednocześnie kierownikiem ds. cyberbezpieczeństwa, ponieważ dochodziłoby do sytuacji, w której ta sama osoba jako szef organizacji musiałaby nadzorować i kontrolować własne decyzje budżetowe czy strategiczne. Właściwy nadzór wymaga rozdziału ról, tzn. zarząd decyduje o strategii i budżecie, natomiast kierownik ds. cyberbezpieczeństwa ocenia ryzyko i zgłasza błędy w sposób obiektywny.
Zadania te zostały szczegółowo opisane w art. 8d ustawy.
Do najważniejszych obowiązków kierownika podmiotu należy podejmowanie decyzji w zakresie przygotowania, wdrażania i nadzoru nad systemem zarządzania bezpieczeństwem informacji oraz zapewnienie zgodności działania podmiotu z przepisami prawa. Kierownik jednostki musi planować adekwatne środki finansowe na realizację zadań (art. 8d pkt 2) oraz przydzielać konkretne zadania z zakresu cyberbezpieczeństwa wewnątrz organizacji, nadzorując ich wykonanie. Ponadto, na mocy art. 8, podmiot musi wdrażać proporcjonalne środki techniczne i organizacyjne, takie jak polityki szacowania ryzyka, plany ciągłości działania, procedury zarządzania incydentami oraz zasady bezpieczeństwa łańcucha dostaw. Całość tych działań musi być rzetelnie dokumentowana (art. 10), co obejmuje zarówno dokumentację normatywną, jak i operacyjną poświadczającą realne wykonywanie czynności ochronnych.
Jak czytamy w ustawie:
Art. 8d. Kierownik podmiotu kluczowego lub podmiotu ważnego:
1) podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji w podmiocie;
2) planuje adekwatne środki finansowe na realizację obowiązków z zakresu cyberbezpieczeństwa;
3) przydziela zadania z zakresu cyberbezpieczeństwa w tym podmiocie i nadzoruje ich wykonanie;
4) zapewnia, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa i zna wewnętrzne regulacje podmiotu w tym zakresie;
5) zapewnia zgodność działania tego podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami podmiotu.
Art. 8e. 1. Kierownik podmiotu kluczowego lub podmiotu ważnego oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, raz w roku kalendarzowym przechodzi szkolenie.
2. Zakres szkolenia obejmuje wykonywanie obowiązków, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8f ust. 1 i 2, art. 9–12b, art. 14 i art. 15.
3. Udział w szkoleniu jest udokumentowany.
Jakie konkretnie działania i procedury musi spełnić podmiot kluczowy lub ważny, aby dostosować się do nowych przepisów KSC? Reguluje to art. 8. ustawy. Jak czytamy:
„Art. 8. 1. Podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi przez ten podmiot, zapewniający:
1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka, skutki społeczne i gospodarcze, w szczególności:
a) polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne,
b) bezpieczeństwo w procesie nabywania, rozwoju, utrzymania i eksploatacji systemu informacyjnego, w tym testowanie systemu informacyjnego,
c) bezpieczeństwo fizyczne i środowiskowe uwzględniające kontrole dostępu,
d) bezpieczeństwo zasobów ludzkich,
e) bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi, z uwzględnieniem związków pomiędzy bezpośrednim dostawcą sprzętu lub oprogramowania a podmiotem kluczowym lub podmiotem ważnym,
f) wdrażanie, dokumentowanie, testowanie i utrzymywanie planów ciągłości działania umożliwiających ciągłe i niezakłócone świadczenie usługi oraz zapewniających poufność, integralność, dostępność i autentyczność informacji, planów awaryjnych oraz planów odtworzenia działalności umożliwiających odtworzenie systemu informacyjnego po zdarzeniu, które spowodowało straty przekraczające zdolności podmiotu do odbudowy za pomocą własnych środków,
g) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi systemem monitorowania w trybie ciągłym,
h) polityki i procedury oceny skuteczności środków technicznych i organizacyjnych,
i) edukację z zakresu cyberbezpieczeństwa dla personelu podmiotu,
j) podstawowe zasady cyberhigieny,
k) polityki i procedury stosowania kryptografii, w tym w stosownych przypadkach szyfrowania,
l) stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa oraz wewnątrz podmiotu, uwzględniających uwierzytelnianie wieloskładnikowe w stosownych przypadkach,
m) zarządzanie aktywami,
n) polityki kontroli dostępu;
3) zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi;
4) zarządzanie incydentami;
5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi, w tym:
a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
b) regularne przeprowadzanie aktualizacji oprogramowania, stosownie do zaleceń producenta, z uwzględnieniem analizy wpływu aktualizacji na bezpieczeństwo świadczonej usługi oraz poziomu krytyczności poszczególnych aktualizacji,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń, w tym również czasowe ograniczenie ruchu sieciowego przychodzącego do infrastruktury podmiotu kluczowego lub podmiotu ważnego, które może skutkować zakłóceniem usług świadczonych przez ten podmiot, z uwzględnieniem konieczność minimalizacji skutków ograniczenia dostępności tych usług, z uwagi na podjęte działania.
Art. 10. 1. Podmiot kluczowy lub podmiot ważny opracowuje, stosuje i aktualizuje dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi.
2. Do dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, o której mowa w ust. 1, zalicza się:
1) dokumentację normatywną;
2) dokumentację operacyjną
3. Dokumentację normatywną stanowią:
1) dokumentacja systemu zarządzania bezpieczeństwem informacji;
2) dokumentacja ochrony infrastruktury, z wykorzystaniem której jest świadczona usługa, obejmująca:
a) charakterystykę usługi oraz infrastruktury, w której świadczona jest usługa,
b) ocenę aktualnego stanu ochrony infrastruktury,
c) szacowanie ryzyka dla obiektów infrastruktury,
d) plan postępowania z ryzykiem,
e) opis zabezpieczeń technicznych obiektów infrastruktury,
f) zasady organizacji i wykonywania ochrony fizycznej infrastruktury,
g) dane o specjalistycznej uzbrojonej formacji ochronnej, o której mowa w art. 2 pkt 7 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2025 r. poz. 532), chroniącej infrastrukturę – jeżeli występuje;
3) dokumentacja systemu zarządzania ciągłością działania;
4) dokumentacja techniczna systemu informacyjnego wykorzystywanego w procesie świadczenia usługi;
5) dokumentacja wynikająca ze specyfiki świadczonej usługi w danym sektorze lub podsektorze.
4. Dokumentację operacyjną stanowią zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej, w tym automatycznie generowane zapisy w dziennikach systemów informacyjnych.
5. Dokumentacja dotycząca bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi może być prowadzona w postaci papierowej lub w postaci elektronicznej.
6. Podmiot kluczowy lub podmiot ważny jest obowiązany do ustanowienia nadzoru nad dokumentacją dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, zapewniającego:
1) dostępność dokumentów wyłącznie dla osób upoważnionych, zgodnie z realizowanymi przez nie zadaniami;
2) ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności;
3) oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach.
7. Podmiot kluczowy lub podmiot ważny przechowuje dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi przez okres co najmniej 2 lat od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi, liczony od dnia 1 stycznia roku następującego po roku, w którym wygasa okres jej przechowywania. Przepisu nie stosuje się do podmiotów podlegających ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164 oraz z 2025 r. poz. 1173).
8. Zniszczenie wycofanej z użytkowania dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi potwierdza się protokołem brakowania zawierającym w szczególności: datę protokołu, oznaczenie niszczonej dokumentacji, opis sposobu zniszczenia, dane osoby zatwierdzającej protokół. Protokoły brakowania dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi są przechowywane w sposób trwały.”
Zgodnie z ustawą podmiot kluczowy lub ważny zobowiązany jest do wyznaczenia osoby odpowiedzialnej za kontakt z podmiotami krajowego systemu cyberbezpieczeństwa, czyli innymi podmiotami ważnymi lub kluczowymi. W przypadku podmiotu kluczowego lub ważnego są to co najmniej dwie osoby, a w przypadku podmiotu ważnego będącego mikro- lub małym przedsiębiorcą, o którym mowa w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE, lub podmiotu ważnego będącego podmiotem publicznym – jest to jedna osoba.
Szczegółowe zadania w tym obszarze reguluje art. 9 ustawy.
„Art. 9. 1. Podmiot kluczowy lub podmiot ważny:
2) zapewnia użytkownikowi usługi dostępu do wiedzy pozwalającej na zrozumienie cyberzagrożeń i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczonymi usługami, w szczególności przez udostępnianie informacji na ten temat na swojej stronie internetowej;
3) zapewnia użytkownikowi usługi możliwość zgłoszenia cyberzagrożenia, incydentu lub podatności związanych ze świadczoną usługą;
4) po uzyskaniu wpisu podmiotu do wykazu rozpoczyna korzystanie z systemu teleinformatycznego, o którym mowa w art. 46 ust. 1.
4. Obowiązek, o którym mowa w ust. 1 pkt 2, może być zrealizowany przez zamieszczenie na stronie internetowej podmiotu hiperłącza do stron internetowych organu właściwego do spraw cyberbezpieczeństwa, CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowego.
Ustawodawca wyraźnie wskazuje, że odpowiedzialność za obszar cyberbezpieczeństwa spoczywa na kierowniku jednostki, nawet jeśli realizacja zadań zostanie powierzona innemu podmiotowi. Jednocześnie przepisy (art. 14) dopuszczają możliwość realizacji obowiązków poprzez zawarcie umowy z zewnętrznym dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP). W praktyce oznacza to, że funkcja kierownika w zakresie cyberbezpieczeństwa może być realizowana nie tylko w modelu etatowym, lecz także w formule outsourcingowej – w tym w modelu abonamentowym.
Takie rozwiązanie pozwala podmiotowi kluczowemu lub ważnemu:
– zapewnić zgodność z wymaganiami ustawy KSC i NIS2,
– zagwarantować stały nadzór nad systemem zarządzania bezpieczeństwem informacji,
– spełnić obowiązki w zakresie dokumentacji, zarządzania ryzykiem, raportowania incydentów (24h/72h), utrzymać – niezależność funkcji od działu IT i zarządu,
– korzystać z kompetencji zespołu ekspertów zamiast jednej osoby.
Model abonamentowy umożliwia ciągłość realizacji obowiązków określonych w art. 8, 8d, 9–12b, 14 i 15 ustawy, w tym: wdrażanie i przegląd SZBI, planowanie środków finansowych, nadzór nad dokumentacją normatywną i operacyjną, organizację szkoleń, koordynację kontaktów z CSIRT oraz bieżące monitorowanie zagrożeń. Co istotne, powierzenie tej funkcji wyspecjalizowanemu podmiotowi zewnętrznemu nie zwalnia kierownika jednostki z odpowiedzialności, ale stanowi racjonalny i zgodny z ustawą sposób jej realizacji – szczególnie w sytuacji ograniczonych zasobów kadrowych lub braku wewnętrznych kompetencji eksperckich.
Najnowsze komentarze