Obowiązki wynikające z ustawy o Krajowym Systemie Cyberbezpieczeństwa nakładane na gminy – najczęstsze pytania

Z uwagi na Grantowy Konkurs Cyfrowa Gmina w którym urzędy są zobligowane do wykonania audytu cyberbezpieczeństwa według wymagań regulaminu oraz załącznika z formularzem audytowym gminy zwracaj się do nas z zapytaniami ustawę o Krajowym Systemie Cyberbezpieczeństwa, która nakłada na JST obowiązki związane z zarządzaniem incydentami. Większość pytań dotyczy takich aspektów jak np. w jaki sposób wyznaczyć osobę do kontaktu z odpowiednim podmiotem, w jaki sposób dokonać zgłoszenia wyznaczonej osoby i w końcu gdzie i jak zgłaszać incydenty oraz które incydenty należy obowiązkowo zgłaszać. Chcąc rozwiać wątpliwości w poniższym artykule przedstawiamy odpowiedzi na te i inne pytania nurtujące Polskie Gminy.
Czy Gmina musi zgłaszać incydenty ?

Tak, zgodnie z ustawą o KSC, podmioty publiczne są zobligowane do zgłaszania incydentów.
Gdzie zgłaszać incydenty ?

Gminy dokonują zgłaszania incydentów do właściwego zespołu reagowania na incydenty cyberbezpieczeństwa tj. CSIRT NASK.
Jakie incydenty musi zgłaszać gmina ?

Gmina ma obowiązek zgłaszania incydentów w podmiocie publicznym który może powodować lub spowodował przerwanie realizacji zadania publicznego lub obniżenie jego jakości. Gmina nie ma obowiązku zgłaszania wszystkich incydentów tylko tych wymienionych wyżej lub o charakterze krytycznym i poważanym. Jednak rekomendowane jest zgłaszanie wszystkich występujących incydentów z dwóch podstawowych powodów:
– Wsparcie zapobiegania analogicznych sytuacji w przyszłości oraz w innych jednostkach.
– Braku możliwości złego zakwalifikowania incydentu, a co za tym idzie nie spełnienia obowiązku wynikającego z ustawy o KSC.
Ile czasu ma Gmina na zgłoszenie incydentu ?

Zgłoszenie incydentu powinno odbyć się możliwie szybko, ponieważ jak w każdym przestępstwie również cyfrowym czas reakcji wpływa na skuteczność zniwelowania skutków ataku oraz zwiększa możliwości złapania cyberprzestępców. Maksymalny czas jaki podmiot ma na zgłoszenie incydentu to 24h od momentu jego wykrycia.

„ Art. 22. 1. Podmiot publiczny, o którym mowa w art. 4 pkt 7–15, realizujący zadanie publiczne zależne od systemu informacyjnego: (…) 2) zgłasza incydent w podmiocie publicznym niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV”.
W jaki sposób wyznaczyć osobę do kontaktu z CSIRT ?

Przede wszystkim Gmina powinna zastanowić się dla jakich podmiotów chce wyznaczyć osoby kontaktowe. Gmina ma obowiązek wyznaczenia osoby kontaktowej z CSIRT NASK.

„ Art. 21. 1. Podmiot publiczny, o którym mowa w art. 4 pkt 7–15, realizujący zadanie publiczne zależne od systemu informacyjnego jest obowiązany do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.” Jednak oprócz tego Gmina ma możliwość wyznaczenia osoby kontaktowej również dla jednostek podległych lub przez nią nadzorowanych, a także dla jednostek organizacyjnych w zakresie zadań publicznych od systemów informatycznych realizowanych przez jednostki.

„ Art. 21. (…) 2. Organ administracji publicznej może wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jednostki jemu podległe lub przez niego nadzorowane.

3. Jednostka samorządu terytorialnego może wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jej jednostki organizacyjne.” Ustawa nie przewiduje jaka osoba powinna zostać wyznaczona do kontaktu, jednak według rekomendacji powinna być to osoba:

dyspozycyjna – tak aby w przypadku incydentu lub zagrożenia można było z nią sprawnie i szybko nawiązać kontakt. Zwłaszcza po godzinach pracy instytucji;
decyzyjna – tak aby w razie potrzeby mogła podjąć decyzję o przekazaniu/udostępnieniu informacji niezbędnych do obsługi incydentu oraz podjąć działania rekomendowane przez CSIRT poziomu krajowego lub wydać konkretne polecenia w organizacji;
technicznym zrozumieniu tematu – tak aby mieć łatwość komunikacji z CSIRT poziomu krajowego. Nie oznacza to jednak że musi być osobą techniczną;
o silnie rozwiniętej sieci kontaktów wewnętrznych w organizacji.
Czy konieczne jest wdrożenie procedur lub polityki związanej z incydentami ?

Tak, obowiązkiem każdej Gminy jest posiadanie polityki zarządzania incydentami w której zawarte będą procedury zgłaszania incydentów przez gminę, ale również zgłaszania incydentów przez pracowników. Polityka powinna zawierać również zapisy związane z rejestrem incydentów oraz ich obsługą. Dzięki udokumentowaniu i wdrożeniu polityki zarządzania incydentami procesy z tego zakresu w gminie stają się usprawnione i uporządkowane, co wpływa na podniesienie poziomu jej bezpieczeństwa oraz wywiązywania się w rzetelny sposób z obowiązków nakładanych na podmiot.
Kiedy i gdzie zgłosić osobę do kontaktu z CSIRT NASK ?

Gmina ma obowiązek zgłoszenia osoby kontaktowej w ciągu 14 dni od jej wyznaczenia lub zmiany.

„ Art. 22. 1. Podmiot publiczny, o którym mowa w art. 4 pkt 7–15, realizujący zadanie publiczne zależne od systemu informacyjnego:

(…) 5) przekazuje do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV dane osoby, o której mowa w art. 21, obejmujące imię i nazwisko, numer telefonu oraz adres poczty elektronicznej, w terminie 14 dni od dnia jej wyznaczenia, a także informacje o zmianie tych danych w terminie 14 dni od dnia ich zmiany. „ Gmina zgłasza osobę do CSIRT NASK przez stronę:
https://incydent.cert.pl/osoba-kontaktowa#!/lang=pl,entityType=publicInstitution

Zgłoszenie osoby kontaktowej dokonuje się drogą elektroniczną w 3 krokach : wypełnić poniższy formularz
wygenerowane pismo opatrzyć podpisem, elektronicznym lub tradycyjnym kierownika instytucji,
przesłać pismo na skrzynkę ePUAP (Naukowa i Akademicka Sieć Komputerowa PIB; adres skrzynki: /NASK-Instytut/Skrytka ESP, w tytule proszę wpisać „Zgłoszenie osoby kontaktowej do CSIRT NASK”) lub na adres NASK-PIB wskazany w dokumencie (w przypadku operatora usługi kluczowej załączając skan decyzji administracyjnej uznającej podmiot za operatora usługi kluczowej).
Co powinno znaleźć się w zgłoszeniu incydentu ?

Według ustawy zgłoszenie incydentu powinno zawierać:
„ Art. 23. 1. Zgłoszenie, o którym mowa w art. 22 ust. 1 pkt 2, zawiera:
1) dane podmiotu zgłaszającego, w tym nazwę podmiotu, numer we właściwym rejestrze, siedzibę i adres;
2) imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby składającej zgłoszenie;
3) imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji;
4) opis wpływu incydentu w podmiocie publicznym na realizowane zadanie publiczne, w tym:
a) wskazanie zadania publicznego, na które incydent miał wpływ,
b) liczbę osób, na które incydent miał wpływ,
c) moment wystąpienia i wykrycia incydentu oraz czas jego trwania,
d) zasięg geograficzny obszaru, którego dotyczy incydent,
e) przyczynę zaistnienia incydentu i sposób jego przebiegu oraz skutki jego oddziaływania na systemy informacyjne podmiotu publicznego;
5) informacje o przyczynie i źródle incydentu;
6) informacje o podjętych działaniach zapobiegawczych;
7) informacje o podjętych działaniach naprawczych;
8) inne istotne informacje.”

Wiadome jest, że często przy wykryciu incydentu nie jesteśmy w stanie podać wszystkich informacji bo ich nie znamy w związku z tym należy podać wszystkie nam znane informacje, z następnie na bieżąco uzupełniać dane. „ Art. 23. 1. Zgłoszenie, o którym mowa w art. 22 ust. 1 pkt 2, zawiera:
(…) 2. Podmiot publiczny, o którym mowa w art. 4 pkt 7–15, przekazuje informacje znane mu w chwili dokonywania zgłoszenia, które uzupełnia w trakcie obsługi incydentu w podmiocie publicznym.”
Gdzie i jak zgłosić incydent ?
Zgłaszanie incydentów – poradnik dla JST – kliknij tutaj
CERT Polska jest jednym z trzech organów odpowiedzialnych za reagowanie na tego typu incydenty i do niego należy przesłać zgłoszenie. Wszystko odbywa się on-line – zgłoszenie należy wysłać za pośrednictwem formularza – kliknij tutaj na adres mailowy: [email protected].
Źródło:
1. Ustawa z dnia 5 lipca 2018r. o krajowym systemie cyberbezpieczeństwa
2. https://incydent.cert.pl/osoba-kontaktowa/rekomendacje
3. https://incydent.cert.pl/osoba-kontaktowa#!/lang=pl,entityType=publicInstitution