- Email: [email protected]
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Ministerstwo Cyfryzacji zakończyło prace nad projektem ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wdrożone poprawki do projektu to efekt szerokich konsultacji społecznych. Teraz dokument trafi do rządu i Komisji Wspólnej Rządu i Samorządu Terytorialnego. Sejm ma go procedować jeszcze w tym roku, ale samo głosowanie nastąpi już w 2025.
Wejście w życie nowej ustawy o KSC oznaczać będzie implementację Dyrektywy NIS 2 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, wdrożenie środków dotyczący minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G (Toolbox 5G), jak również realizację Krajowego Planu Odbudowy i zwiększania odporności.
O tym jak ważny jest to dokument i jak bardzo na funkcjonowanie wielu podmiotów wpłynie może chociażby świadczyć fakt szerokich konsultacji społecznych oraz dużego nimi zainteresowania. Jak podał na konferencji prasowej minister cyfryzacji Krzysztof Gawkowski, do projektu wpłynęło ponad 1500 uwag. Na ich podstawie m.in. doprecyzowano kryteria klasyfikacji podmiotów ważnych i kluczowych, wydłużono czas na zgłoszenie wczesnego ostrzeżenia przez przedsiębiorców telekomunikacyjnych z 12h na 24h, a także wdrożono tzw. mapowanie norm w miejsce odwołania do ISO.
Ważną zmianą jest również złagodzenie wymogu przeprowadzania audytu cyberbezpieczeństwa dla podmiotów kluczowych – co 3 lata, w miejsce co 2 lata. Oczywiście zapis ten dotyczy wyłącznie podmiotów kluczowych – dla ważnych obowiązującym terminem jest audyt raz na 2 lata. O tym czy dany podmiot posiada status kluczowego czy ważnego bada się raz w roku przy sporządzaniu sprawozdania finansowego.
Dokładną rozpiskę porządkującą wymogi stanowiące o tym czy dana instytucja/firma jest podmiotem ważnym czy kluczowym stanowią załącznik nr 1 i 2 do projektu ustawy. UWAGA! Organ właściwy ds. cyberbezpieczeństwa może, w drodze decyzji, uznać osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej za podmiot kluczowy lub podmiot ważny. Mówi o tym dokładnie art. 7c. 1. projektu ustawy. Taka decyzja może zapaść w sytuacji, gdy wskazany wyżej podmiot:
1) prowadzi działalność określoną w załączniku nr 1 lub nr 2 do ustawy;
2) jest mikroprzedsiębiorcą albo małym przedsiębiorcą;
3) spełnia chociaż jedną z poniższych przesłanek:
a) jako jedyna świadczy usługę, która ma kluczowe znaczenie dla krytycznej działalności społecznej lub gospodarczej,
b) zakłócenie świadczenia usługi przez nią spowoduje poważne zagrożenie dla bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub obronności,
c) zakłócenie świadczenia usługi przez nią spowoduje ryzyko systemowe zaprzestania świadczenia usług przez podmioty kluczowe lub podmioty ważne lub
d) świadczenie przez nią usług ma istotne znaczenie na poziomie krajowym lub województwa lub ma znaczenie dla dwóch lub więcej sektorów określonych w załączniku nr 1 lub nr 2 do ustawy.
Kwestią budzącą duże zainteresowanie są oczywiście obowiązki dla podmiotów kluczowych i ważnych wynikających z wejścia w życie nowej ustawy. Oprócz wspomnianego już wyżej audytu cyberbezpieczeństwa, ustawa nakłada konieczność większego nacisku na kwestie Systemu Zarządzania Bezpieczeństwem Informacji. Mówi o tym dokładnie art. 8 projektu ustawy. Co istotne, przygotowana dokumentacja musi spełniać normy PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301.
Art. 8. „Podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez ten podmiot, zapewniający:
1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka, w szczególności:
a) polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne,
b) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
c) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
d) bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi z uwzględnieniem związków pomiędzy dostawcą sprzętu lub oprogramowania a podmiotem kluczowym lub podmiotem ważnym,
e) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi oraz zapewniających poufność, integralność, dostępność i autentyczność informacji, oraz planów awaryjnych umożliwiających odtworzenie systemu informacyjnego po katastrofie,
f) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi systemem monitorowania w trybie ciągłym,
g) polityki i procedury oceny skuteczności środków technicznych i organizacyjnych,
h) edukację z zakresu cyberbezpieczeństwa dla personelu podmiotu, w tym podstawowe zasady cyberhigieny,
i) polityki i procedury stosowania kryptografii, w tym szyfrowania;
3) zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi;
4) zarządzanie incydentami;
5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi, w tym:
a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
b) regularne przeprowadzanie aktualizacji oprogramowania, stosownie do zaleceń producenta, z uwzględnieniem analizy wpływu aktualizacji na bezpieczeństwo świadczonej usługi oraz poziomu krytyczności poszczególnych aktualizacji,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń;
6) stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa, uwzględniających uwierzytelnianie wieloskładnikowe.
Nacisk położono także na kwestie dokumentacji – jej opracowania, nadzoru nad nią, a także jej przechowywania. Jak czytamy w art. 10 1. “Podmiot kluczowy i podmiot ważny opracowuje, stosuje i aktualizuje dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi.
2. Do dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi zalicza się:
1) dokumentację normatywną;
2) dokumentację operacyjną.
3. Dokumentację normatywną stanowią:
1) dokumentacja dotycząca systemu zarządzania bezpieczeństwem informacji wytworzona zgodnie z wymaganiami Polskiej Normy PN-EN ISO/IEC 27001 lub normy jej równoważnej;
2) dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa, obejmująca:
a) charakterystykę usługi oraz infrastruktury, w której świadczona jest usługa,
b) szacowanie ryzyka dla obiektów infrastruktury,
c) ocenę aktualnego stanu ochrony infrastruktury (plan postępowania z ryzykiem),
d) opis zabezpieczeń technicznych obiektów infrastruktury,
e) zasady organizacji i wykonywania ochrony fizycznej infrastruktury,
f) dane o specjalistycznej uzbrojonej formacji ochronnej, o której mowa w art. 2 pkt 7 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2021 r. poz. 1995.), chroniącej infrastrukturę – jeżeli występuje;
3) dokumentacja systemu zarządzania ciągłością działania usługi wytworzona zgodnie z wymaganiami Polskiej Normy PN-EN ISO 22301 lub normy jej równoważnej;
4) dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi;
5) dokumentacja wynikająca ze specyfiki świadczonej usługi w danym sektorze lub podsektorze”.
Zadaniem podmiotów jest ustanowienie nadzoru nad dokumentacją, dbanie o dostęp wyłącznie dla osób upoważnionych, a także ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, niewłaściwym użyciem lub utratą integralności. Dokumentację dotycząca systemu informacyjnego wykorzystywanego do świadczenia usługi należy przechowywać przez co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi, liczony od 1 stycznia roku następującego po roku, w którym wygasa okres jej przechowywania.
W kwestii audytu cyberbezpieczeństwa, który należy przeprowadzać raz na 2 lata należy pamiętać o obowiązku przedstawienia sprawozdania z jego wykonania. Podmioty kluczowe i ważne przedstawiają je organowi właściwemu, w terminie trzech dni roboczych od dnia jego otrzymania.
Jaki ostatecznie kształt przyjmie nowa ustawa KSC i czy możemy spodziewać się jeszcze jakiś istotnych zmian w projekcie, przekonamy już niebawem.
Z projektem ustawy w najnowszej wersji można zapoznać się pod poniższym linkiem: Projekt ustawy KSC – kliknij tutaj