W dniu 28 sierpnia 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa implementująca europejską dyrektywę NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r.) wprowadzająca szczególne środki na rzecz zwiększenia poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium całej Unii Europejskiej.

Dyrektywa NIS weszła w życie w państwach członkowskich Unii Europejskiej w sierpniu 2016 roku. To pierwszy akt prawny w Europie regulujący działanie sektora cyberbezpieczeństwa na poziomie krajowym. Głównym celem powstania dyrektywy NIS było wyrównanie poziomu zabezpieczeń sieci i systemów informatycznych w całej Unii Europejskiej oraz wzmocnienie ochrony państw członkowskich przed cyberatakami.

W skład Krajowego Systemu Cyberbezpieczeństwa wchodzą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki. W ustawie mowa jest zatem o: operatorach usług kluczowych (OUK), czyli m.in. największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale; dostawcach usług kluczowych (DUC), czyli m.in. internetowych platformach handlowych; organach właściwych (OW), czyli instytucjach publicznych, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla naszej gospodarki np. dla firm zajmujących się transportem lotniczym organem właściwym jest Minister Infrastruktury; Zespołach Reagowania na Incydenty Bezpieczeństwa Komputerowego utworzone w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON), które będą współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa; sektorowych zespołach cyberbezpieczeństwa, np. taki utworzony przez największe banki w Polsce.
Istotne znaczenie ma wyjaśnienie w tym miejscu kim są dostawcy usług kluczowych i operatorzy usług kluczowych.

Dostawcy usług kluczowych (cyfrowych) to podmioty świadczące usługi cyfrowe, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Przy czym o uznaniu za dostawcę usługi cyfrowej decydować będzie wyłącznie faktyczny charakter prowadzonej działalności i jej rozmiar – ustawa przewiduje bowiem w tym zakresie wyłączenie dla mikro- i małych przedsiębiorców zdefiniowanych w ustawie o swobodzie działalności gospodarczej. Wokół tego tematu już powstaje wiele kontrowersji, chociażby z uwagi na, że wiele korporacji korzysta w swoich strukturach z usług chmurowych np. w centrach usług wspólnych i oni też są traktowani jako dostawcy usług cyfrowych, o czym postaram się napisać szerzej w kolejnych publikacjach dotyczących cyberustawy.
Z kolei status operatora usługi kluczowej będzie zależeć od świadczenia przez przedsiębiorcę usług przypisanych do jednego z sektorów wymienionych w załączniku do ustawy. Cechą wspólną tych sektorów jest ich kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej (art. 2 pkt 16 Ustawy). Za takie sektory, w ślad za dyrektywą NIS, polski ustawodawca uznaje m. in. sektor energetyczny, medyczny transportowy, bankowy czy telekomunikacyjny. O statusie konkretnego przedsiębiorcy, jako operatora usługi kluczowej, decydować będzie decyzja organu właściwego ds. cyberbezpieczeństwa w ramach danego sektora.

Polska ustawa implementująca dyrektywę NIS stanowi, że organy właściwe ds. cyberbezpieczeństwa miały do dnia 9 listopada 2018 r. czas, aby sformować listę podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Był to ostateczny termin przekazania Ministrowi Cyfryzacji przez właściwe organy wniosków o wpisanie zidentyfikowanych operatorów do wykazu operatorów usług kluczowych. Minister Cyfryzacji zaś do 9 listopada 2018 r. miał przekazać Komisji Europejskiej informacje dotyczące wykazu usług kluczowych oraz liczby zidentyfikowanych operatorów, co też uczynił.
Po wpisaniu do rejestru firmy określone tym mianem będą musiały, w przewidzianym przez ustawę czasie, wypełnić szereg obowiązków. Według szacunków Ministra cyfryzacji, decyzją administracyjną zostanie wyznaczonych około 335 operatorów, którzy będą mieli za zadanie sprostać obowiązkom nałożonym przez ustawodawcę, o których mowa poniżej.

Podmiot uznany za operatora usługi kluczowej jest zobowiązany – w terminie trzech miesięcy od otrzymania decyzji organu właściwego – do:
• oszacowania ryzyka dla swoich usług kluczowych,
• ustalenia zasad zarządzania incydentami,
• wyznaczenia osoby właściwej do kontaktów z właściwym CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) i PPK (Pojedynczy Punkt Kontaktowy) przy Ministrze Cyfryzacji,
• przeprowadzenia działań edukacyjnych wobec swoich użytkowników,
• obsługi incydentów we własnych systemach,
• zgłaszania incydentów poważnych oraz usuwania wskazywanych podatności.

Incydent poważny, zgłaszany przez operatora usług kluczowych to incydent związany z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej, a z kolei incydent istotny to incydent mający istotny wpływ na świadczenie usługi cyfrowej. Ustawa o cyberbezpieczeństwie przewiduje również incydenty krytyczne, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów gospodarczych i działania instytucji publicznych.

Po sześciu miesiącach od otrzymania decyzji administracyjnej, operator usługi kluczowej ma obowiązek wdrożyć odpowiednie i adekwatne – do oszacowanego ryzyka – środki techniczne i organizacyjne. Nadto, OUK obowiązany jest zbierać informacje o zagrożeniach oraz stosować środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz przygotować odpowiednią – wymaganą przez ustawę dokumentację.
Po upływie roku od uznania danego podmiotu za operatora usług kluczowych, obowiązany jest on przygotować pierwszy audyt w rozumieniu ustawy o cyberbezpieczeństwie oraz przekazać sprawozdanie z audytu wskazanym w ustawie podmiotom. Audyt należy przeprowadzać raz na dwa lata.

Na dzień dzisiejszy należy zatem uzbroić się w cierpliwość i oczekiwać na decyzję administracyjną dotyczącą zaliczenia danego podmiotu do grona operatorów usług kluczowych, przy czym podmioty z branży medycznej, energetycznej, bankowej, transportowej, energetycznej i informatycznej już powinny podjąć czynności niezbędne do wdrożenia zasad dotyczących cyberbezpieczeństwa nałożonych przez cyberustawę.