28 sierpnia 2020 r. mijają dwa lata od wejścia w życie Ustawy o Krajowym Systemie Cyberbezpieczeństwa (dalej UoKSC).
Z odpowiedzi udzielonej naszej firmie przez Departament Cyberbezpieczeństwa Ministerstwa Cyfryzacji wynika, iż do dnia 4 sierpnia 2020 r. zostało wyznaczonych 163 operatorów usług kluczowych, w tym w poszczególnych sektorach:
- sektor energii – 72,
- sektor zdrowia – 30,
- sektor transportu – 28,
- bankowość i infrastruktura rynków finansowych – 20,
- infrastruktura cyfrowa – 9
- zaopatrzenie w wodę – 4.
Jednocześnie do dnia 4 sierpnia 2020 r. zostało zidentyfikowanych ok. 40 dostawców usług cyfrowych, głównie dostawców usług chmurowych.
Poniżej zamieszczamy zbiór najważniejszych informacji o UoKSC:
Przepis ten wynika z potrzeby dostosowania prawa krajowego do tzw. dyrektywy NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii), której powstanie i wdrożenie w życie wynikało z potrzeby ujednolicenia podejścia do tematu cyberbezpieczeństwa we wszystkich krajach członkowskich oraz zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na terenie Unii Europejskiej. Narzuca ona szereg obowiązków na organizacje (zarówno sektora finansów publicznych, jak i prywatnego), które mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej państwa. Wykaz usług kluczowych został opublikowany w Rozporządzeniu Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. I tak usługi kluczowe wymienione w rozporządzeniu podzielone zostały na następujące sektory gospodarki:
- transportowy
- bankowy
- energetyczny
- ochrony zdrowia
- uzdatniania, zaopatrzenia i dystrybucji wody oraz odprowadzania ścieków;
- infrastruktury cyfrowa (DNS, IXP i TLD).
Zgodnie z UoKSC, operatorem jest podmiot, który spełnia wszystkie poniższe wymagania:
- został wskazany (jako rodzaj podmiotu) w załączniku do ustawy;
- świadczy usługę kluczową określoną w ww rozporządzeniu;
- świadczenie tej usługi zależy od systemów informacyjnych;
- usługa jest świadczona powyżej określonego progu istotności – najczęściej jest to wielkość produkcji, zasięg geograficzny świadczenia usługi lub liczba odbiorców.
Procedura zakwalifikowania podmiotu jako operatora usługi kluczowej wygląda następująco: Organ Właściwy dla danego sektora gospodarki (odpowiedni minister, a w przypadku sektora bankowego – Komisja Nadzoru Finansowego) bada rynek w celu identyfikacji potencjalnych Operatorów Usług Kluczowych. Następnie rozpoczyna się postępowanie administracyjne – zbierane są informacje o danym podmiocie, na podstawie których dokonywana jest weryfikacja czy spełnia on wymogi rozporządzenia. Jeśli tak, podmiot decyzją administracyjną wskazywany jest jako Operator Usługi Kluczowej. Od tego momentu musi wypełnić szereg obowiązków w wyznaczonych terminach, takich jak m.in.:
- przeprowadzić proces szacowania ryzyka dla swoich usług kluczowych,
- wdrożyć proces zarządzania incydentami bezpieczeństwa, obejmujący m.in. zgłaszanie poważnych incydentów do krajowego zespołu CSIRT w czasie do 24 godzin od momentu wykrycia,
- powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem,
- wyznaczyć osobę kontaktową z właściwym CSIRT i organem właściwym do spraw cyberbezpieczeństwa,
- wdrożyć program edukacji użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa.
- wdrożyć odpowiednie zabezpieczenia techniczne i organizacyjne, adekwatne do oszacowanego ryzyka,
- uruchomić proces zarządzania podatnościami i zbierania informacji o zagrożeniach,
- opracować i wdrożyć dokumentację cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.
Po zakończeniu powyższych działań można uznać wdrożenie wymagań UoKSC za kompletne. Aby potwierdzić aktualność i adekwatność wdrożonych rozwiązań, po 12 miesiącach od momentu otrzymania decyzji administracyjnej uznającej dany podmiot za operatora usługi kluczowej należy przeprowadzić zewnętrzny audyt bezpieczeństwa. Raport z takiego przeglądu należy przesłać do Organu Właściwego. Kolejne takie audyty mają być realizowane co dwa lata.
Co istotne, organizacje, które przeprowadziły audyt bezpieczeństwa wynikający z Krajowych Ram Interoperacyjności, mają „problem” audytu cyberbezpieczeństwa z głowy na 2 lata – o czym mówi art. 15. ust. 6 UoKSC.
Za niewykonanie obowiązków wynikających z UoKSC przewidziane zostało zastosowanie kar finansowych, które wymienione zostały w rozdziale 14 UoKSC.
Zgodnie z dyrektywą NIS, pierwsi operatorzy zostali wskazani do 9 listopada 2018 r. Ministerstwo Cyfryzacji w 2018 r. jeszcze przed wejściem w życie UoKSC szacowało ilość wyznaczonych wkrótce operatorów na ponad 300.
Proces identyfikacji nowych Operatorów Usług Kluczowych oraz Dostawców Usług Cyfrowych trwa nadal, co jednoznacznie wiąże się ze stałym wzrostem ich ilości.
Autor: Tomasz Cieślik