Współcześnie większość aspektów życia społeczeństwa przenosi się do sieci internetowej. Nie tylko my w codziennym życiu aktywnie korzystamy z Internetu. Aktualnie większość zadań administracji państwowej, w tym także zadań odpowiadających za sprawne funkcjonowanie państwa i jego obywateli, odbywa się z wykorzystaniem sieci. Cyberbezpieczeństwo jest więc kluczowym aspektem funkcjonowania nowoczesnego państwa.

Powszechną cyfryzację słusznie postrzegamy przede wszystkim jako efekt postępu cywilizacyjnego. Pamiętajmy jednak, że wraz z rozwojem cyfryzacji wykształciły się nowe – nieznane dotychczas – formy przestępstw. Dokonywane za pomocą sieci cyberprzestępstwa, jak np. cyberterroryzm stanowią realne zagrożenia dla społeczeństwa i są wyzwaniem dla organów każdego państwa. Przypuśćmy, że w wyniku cyberataku stają wszystkie elektrownie. Hakerzy usuwają bazę danych pacjentów w Narodowym Funduszu Zdrowia. Nie wiadomo komu przysługują jakie świadczenia. Wyobraźmy sobie atak na system informatyczny instytucji bankowej. Utracone zostają wszelkie dane o klientach. Nie ma możliwości rejestrowania płatności, nie działają bankomaty a karty płatnicze stają się bezwartościowym kawałkiem plastiku. Cyberbezpieczeństwo ma być w UE zapewnione dzięki wprowadzeniu dyrektywy NIS. W Polsce tworzy ona Krajowy System Cyberbezpieczeństwa. 

Dyrektywa NIS

Powyższe scenariusze jawią się nam bez wątpienia jako apokalipsa. Dlatego też organy Unii Europejskiej nakazały Państwom Członkowskim wdrożenie mechanizmów mających zapobiegać tego typu zdarzeniom (zwanym fachowo „incydentami”). Odbywa się to przede wszystkim poprzez uchwalenie przepisów implementujących europejską dyrektywę NIS. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 uchwalona została dnia 6 lipca 2016 r. Wprowadza ona szczególne środki na rzecz zwiększenia poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium całej Unii Europejskiej. W tym celu w Polsce w dniu 28 sierpnia 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa. Potocznie zwana jest cyberustawą.

Krajowy System Cyberbezpieczeństwa

System ten oparty jest na współdziałaniu odpowiednich podmiotów, do których zaliczamy operatorów usług kluczowych (OUK) czy dostawców usług cyfrowych (DUC), oraz szereg innych podmiotów wskazanych w art. 4 ustawy (np. odpowiednie Zespoły Reagowania na Incydenty Bezpieczeństwa komputerowego działające na poziomie krajowym przy Szefie ABW, Ministrze Obrony Narodowej, które określa się skrótem CSIRT  – ang. Computer Security Incident Response Team).

Rodzaje Usług Kluczowych

Kim są operatorzy usług kluczowych? Zgodnie z cyberustawą to podmioty, które posiadają jednostkę organizacyjną w Polsce i zarazem świadczą tzw. usługę kluczową (czyli usługę mającą kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej) a ponadto świadczenie tej usługi zależy od systemów informacyjnych, zaś incydent mający negatywny wpływ na cyberbezpieczeństwo mógłby zakłócić świadczenie tej usługi (np. doprowadziłby do przerwania ciągłości w jej świadczeniu). Katalog usług kluczowych wskazany jest w Rozporządzeniu Rady Ministrów z dnia 21 września 2018 r. Dokonując pewnej syntezy, chodzi o usługi polegające m.in na:

–  wydobywaniu gazu ziemnego, ropy naftowej, różnych rodzajów węgla, wytwarzaniu energii elektrycznej,

–  pasażerskim i towarowym transporcie lotniczym, kolejowym oraz morskim,

–  usługach bankowych, ochronie zdrowia, czyli udzielaniu świadczeń zdrowotnych przez podmioty lecznicze, produkcji, obrocie i dystrybucji produktów leczniczych,

– zaopatrzeniu w wodę pitną i jej dystrybucji, czyli ujmowaniu, uzdatnianiu i dostarczeniu, odprowadzeniu ścieków,

– infrastrukturze cyfrowej.

Operatorzy Usług Kluczowych

Świadczenie przez podmiot jednej z powyższych usług nie oznacza, że z mocy samego prawa nabywa on status OUK. Przeciwnie, aby uznać usługodawcę za OUK niezbędne jest wydanie decyzji przez organ właściwy do spraw cyberbezpieczeństwa w oparciu o wskazane przez mnie powyżej przesłanki. W zależności od charakteru usługi – będzie to odpowiedni minister: np. ds. energii, ds. transportu, ds. zdrowia, gospodarki morskiej i żeglugi śródlądowej itp. W przypadku banków będzie to z kolei Komisja Nadzoru Finansowego. Zgodnie z przepisem cyberustawy, odpowiednie organy mają czas na wydanie decyzji o nadaniu podmiotom statusu OUK do dnia 9 listopada 2018 r.

Uzyskanie statusu OUK nakłada na podmiot  – pod rygorem nałożenia wysokich kar – szereg istotnych obowiązków związanych z utrzymaniem cyberbezpieczeństwa. Będzie to monitorowanie ryzyka wystąpienia incydentu czy też wdrożenie odpowiednich procedur mających zapobiec incydentom itp. (szerzej na ten temat zob. artykuł adw. P. Stankiewicza, pt. Czy moja firma jest operatorem usług kluczowych? Jakie obowiązki nakłada na przedsiębiorców ustawa o cyberbezpieczeństwie?

Operator Usługi Kluczowej skarży decyzję

Czy operator usługi kluczowej może zakwestionować decyzję i nadaniu mu takiego statusu? Mamy tu do czynienia z sytuacją dość nietypową, gdyż minister odpowiedzialny za cyberbezpieczeństwo danej usługi kluczowej (wydający taką decyzję jako organ I instancji), jest podmiotem usytuowanym na najwyższym szczeblu hierarchii administracji państwowej. Ma to swoje dość istotne konsekwencje prawne. Decyzje ministra są zasadniczo ostateczne. Co należy zatem uczynić? Zagadnienia tego nie reguluje ani dyrektywa NIS, ani cyberustawa. Zgodnie z art. 127 § 3 Kodeksu postępowania administracyjnego  od decyzji wydanej w pierwszej instancji przez ministra nie służy odwołanie. Jednakże strona niezadowolona z decyzji może zwrócić się do ministra z wnioskiem o ponowne rozpatrzenie sprawy. Ma na to czternaście dni od doręczenia jej decyzji (termin zaczyna bieg dnia następnego po dniu doręczenia decyzji). Oznacza to, że sprawy nie rozpozna organ wyższego rzędu, jak ma to miejsce w przypadku klasycznego odwołania. Na żądanie strony ten sam minister jeszcze raz rozważy sprawę.

Odwołanie do Sądu Administracyjnego

Jeśli minister, po ponownym rozpatrzeniu sprawy, podtrzyma swoją decyzję o nadaniu statusu OUK – podmiotowi, który kwestionuje jej zasadność – przysługuje prawo do wniesienia skargi do właściwego Wojewódzkiego Sądu Administracyjnego. Trzeba jednak pamiętać o tym, że aby móc skorzystać z prawa do skargi, należy uprzednio wyczerpać wszystkie możliwości zaskarżenia decyzji. Oznacza to, że przed wniesieniem skargi do sądu trzeba wcześniej żądać od ministra ponownego rozpoznania sprawy.

Czy implementacja dyrektywy NIS w postaci cuberustawy wzmocni cyberbezpieczeństwo w Polsce okaże się w najbliższym czasie. Liczne obowiązki nałożone na operatorów usług kluczowych wiążą się z istotnymi nakładami finansowymi. Decydenci będą musieli uwzględnić te wydatki w kolejnych okresach finansowania.