Każdy operator usług kluczowych będzie musiał samodzielnie decydować o doborze środków i sposobów zapewnienia cyberbezpieczeństwa adekwatnych do zdiagnozowanej przez siebie sytuacji. W ustawie o krajowym systemie cyberbezpieczeństwa znajdzie się tylko wykaz podstawowych obowiązków. Jednym z nich będzie obowiązek zgłaszania poważnych incydentów do wskazanych CSIRT-ów – mówi Krzysztof Silicki, były podsekretarz stanu w Ministerstwie Cyfryzacji, odpowiedzialny za przygotowanie projektu ustawy o krajowym systemie cyberbezpieczeństwa (KSC).

Jakie przesłanki zadecydowały o podjęciu prac nad projektem ustawy o krajowym systemie cyberbezpieczeństwa?

Ustawa o krajowym systemie cyberbezpieczeństwa wynika z potrzeby ustanowienia ram prawnych dla funkcjonowania najważniejszych podmiotów odpowiedzialnych za bezpieczeństwo cyberprzestrzeni i jest elementem wdrażania unijnej dyrektywy NIS (Directive concerning measures for high common level of security of Network and Information Systems) z 2016 roku. Dążymy do tego, aby weszła w życie w maju 2018 roku.

Tak jak RODO…

Tak, z tym że RODO jest rozporządzeniem i zacznie obowiązywać w całej UE niejako bez względu na procesy dostosowywania przepisów krajowych. Dyrektywę trzeba natomiast zaimplementować, czyli dostosować do miejscowych uwarunkowań. Temu właśnie ma służyć ustawa o KSC. To ważne przedsięwzięcie, bo tak kompleksowego potraktowania problemu cyberbezpieczeństwa na poziomie kraju u nas jeszcze nie było. Musieliśmy stworzyć całą architekturę systemu – bazując na już istniejących rozwiązaniach, takich jak zespoły reagowania (CSIRT), ale też powołując szereg nowych.

Jej elementy już jednak istnieją w różnych miejscach i we wcześniejszych regulacjach. Czy zostaną uwzględnione w przygotowywanej ustawie?

Na proponowane w projekcie ustawy rozwiązania musieli się zgodzić różni interesariusze, bo cyberbezpieczeństwo jest zagadnieniem przekrojowym, dotyczącym wielu obszarów funkcjonowania państwa. Obejmuje zagadnienia bezpieczeństwa gospodarczego państwa i ochrony społeczeństwa, ale styka się z obszarem działania w sytuacjach kryzysowych, walki z cybeprzestępczością, bezpieczeństwem narodowym czy też z zagadnieniami cyberobrony.

Część spraw jest już uregulowana. Mamy m.in. ustawę antyterrorystyczną, w której jest mowa o zagrożeniach cyberprzestępstwami o takim charakterze. Mamy prawo telekomunikacyjne, które zawiera wskazania odnośnie do integralności i bezpieczeństwa systemów telekomunikacyjnych. Na poziomie unijnym jest rozporządzenie eIDAS w sprawie usług zaufania w odniesieniu do transakcji elektronicznych i odpowiednia ustawa w prawie polskim. Od lat funkcjonują też przepisy odnośnie do ochrony danych osobowych czy też ochrony informacji niejawnych. Jest ustawa o zarządzaniu kryzysowym. Mamy ustawy o stanach nadzwyczajnych, które obejmują zagrożenia w cyberprzestrzeni, oraz ustawy określające działanie policji czy służb specjalnych odgrywających szczególną rolę w odniesieniu do kwestii cyber. Są też przykłady krajowych uregulowań sektorowych, w których zagadnienia bezpieczeństwa teleinformatycznego mają swoje ważne miejsce.

Co nowego wprowadza zatem NIS?

W Unii Europejskiej pojawiło się przekonanie, że w sferze tak zwanych usług kluczowych warto wprowadzić wspólne, jednolite podejście do kwestii cyberbezpieczeństwa. Wprowadzeniu uzgodnionych zasad w życie we wszystkich krajach członkowskich ma służyć właśnie dyrektywa NIS.

Czy usługi kluczowe są tożsame z infrastrukturą krytyczną? Bo mamy już ustawę o zarządzaniu kryzysowym, na której podstawie tworzone są programy ochrony infrastruktury krytycznej.

To są zbieżne obszary i się na siebie nakładają. Operatorzy usług kluczowych to w większości te same podmioty co w infrastrukturze krytycznej. NIS wprowadza jednak podejście usługowe, w którym jest mowa o zachowaniu ciągłości działania konkretnych usług w zdefiniowanych sektorach. Natomiast w odniesieniu do infrastruktury krytycznej stosowane jest obecnie podejście obiektowe, choć to będzie się zmieniało, właśnie w kierunku uwzględnienia tego aspektu usługowego.

Usługi kluczowe to usługi o szczególnym znaczeniu dla zapewnienia stabilności funkcjonowania państwa i społeczeństwa. Związane są na przykład z dostawami prądu, wody, gazu, z opieką medyczną, finansami czy infrastrukturą cyfrową. Ich działanie zależne jest dzisiaj od systemów teleinformatycznych. W ustawie chodzi jednak tylko o systemy rzeczywiście mające wpływ na wykonywanie kluczowych usług. Jeśli jakiś system, np. back-office’owy, nie służy do zapewnienia zdolności nieprzerwanego świadczenia usług uznanych za kluczowe, to teoretycznie nie będzie podlegał ustawie. Jednak w praktyce operatorzy będą musieli zapewnić kompletny system zarządzania bezpieczeństwem systemów informacyjnych, aby uwzględnić ryzyko przenoszenia się zagrożeń pomiędzy różnymi systemami.

Cyberbezpieczeństwo jest z pewnością elementem ochrony infrastruktury krytycznej. Są więc wspólne miejsca między usługami kluczowymi a infrastrukturą krytyczną. Rządowe Centrum Bezpieczeństwa, które zajmuje się ochroną infrastruktury krytycznej, też już zresztą rozpoczęło prace nad uwzględnieniem podejścia usługowego. Z czasem się to wszystko zsynchronizuje.

Kogo konkretnie obejmie ustawa o krajowym systemie cyberbezpieczeństwa?

Przepisom ustawy będą podlegać operatorzy usług kluczowych oraz dostawcy usług cyfrowych.

Zostanie stworzony wykaz usług kluczowych w poszczególnych sektorach i podsektorach. Na jego podstawie właściwe ministerstwa (organy właściwe) zidentyfikują i wskażą operatorów poszczególnych usług. Wymogom ustawy będą podlegać ci, którzy spełnią określone kryteria. Jednym z nich może być liczba użytkowników, dla których świadczona jest usługa.

Z kolei do dostawców usług cyfrowych zostały zaliczone podmioty, które prowadzą elektroniczne platformy zakupowe, usługi chmurowe i wyszukiwarki. Dla tej grupy będą obowiązywały reguły zharmonizowane, obowiązujące w całej Unii Europejskiej, ponieważ usługi takie są elementem jednolitego rynku cyfrowego. Spod przepisów ustawy będą jednak z definicji wyłączone podmioty należące do sektora mikro- i małych przedsiębiorstw.

Jakie obowiązki będą miały do spełnienia podmioty podlegające ustawie?

Podstawowe znaczenie dla postępowania operatora usług kluczowych będzie miała analiza ryzyka. Będzie ją musiał przeprowadzić każdy operator. Wyniki analizy będą podstawą do podejmowania decyzji o wyborze konkretnych rozwiązań z zakresu cyberochrony. Każdy operator usług kluczowych będzie dobierał własne środki i sposoby zapewnienia cyberbezpieczeństwa, adekwatne do zdiagnozowanej przez siebie sytuacji.

Przykładowo, szpital będzie musiał oszacować, na ile dostęp do internetu jest newralgiczny dla jego działalności. Czy na przykład prowadzone są telekonsultacje, aparatura medyczna jest serwisowana zdalnie, personel używa w pracy urządzeń mobilnych albo całe zaopatrzenie zamawiane jest przez internet, czy też wykorzystywanie internetu jest ograniczone do zwykłej komunikacji e-mailowej i korzystania z publicznie dostępnych informacji. W zależności od uzyskanych odpowiedzi trzeba będzie podjąć środki zabezpieczające.

W ustawie zostanie określony katalog obowiązków podstawowych. Będzie do nich należał m.in. obowiązek zgłaszania poważnych incydentów. Obecnie, poza pewnymi wyjątkami, takiego obowiązku nie ma. Po wejściu w życie ustawy obowiązek ten obejmie wszystkich operatorów usług kluczowych.

Operatorzy telekomunikacyjni mają już obowiązek przesyłania informacji o naruszeniach do regulatora, czyli w naszym przypadku Urzędu Komunikacji Elektronicznej.

Sektor telekomunikacyjny jest już uregulowany, dlatego też dyrektywa NIS go nie obejmuje. Przyjęto bowiem, że skoro są już sektorowe regulacje, które bazują na podejściu podobnym do NIS, to należy je potraktować jako spełniające wymogi bezpieczeństwa.

W projekcie ustawy o KSC sektor telekomunikacyjny zostanie włączony do systemu poprzez swego regulatora. Nie będzie jednak specjalnych jednostkowych regulacji pod adresem telekomów.

A jeśli w innych sektorach pojawią się podobne regulacje?

Ustawa nie zamyka drogi do sektorowego, branżowego regulowania kwestii cyberbezpieczeństwa. Poszczególne sektory mogą mieć specyficzne przepisy. Najważniejsze, żeby zapewniały możliwość przekazywania na ustalonych zasadach informacji do krajowego systemu, jak również mogły z niego pobierać informacje ważne dla siebie.

W dyrektywie NIS nie ujęto administracji publicznej. W Polsce zdecydowano jednak, że ustawa obejmie i administrację. Z drugiej strony, są już pewne rozwiązania i regulacje, na przykład ustawa o informatyzacji i rozporządzenie KRI, w których zagadnienie bezpieczeństwa teleinformatycznego jest opisane. Nie tworzymy więc nowych przepisów, ale wprowadzamy obowiązek raportowania incydentów przez administrację do konkretnego CSIRT-u poziomu krajowego (CERT.GOV.PL)

W jaki sposób będzie skonstruowany krajowy system cyberbezpieczeństwa? Na czym będzie się opierało jego działanie?

Podstawą będą mechanizmy współpracy i wymiany informacji. Zostaną wypracowane mechanizmy ostrzeżeń, analiz ryzyka, koordynacji działań, ale też i edukacji. Każdy musi mieć zapewniony dostęp do informacji potrzebnej do podejmowania stosownych działań.

Na poziomie krajowym będą działały trzy CSIRT-y: w MON, w ABW i w NASK. Każdy z operatorów usługi kluczowej będzie zgłaszał incydenty do jednego, przydzielonego mu CSIRT-u. Gdyby się ewentualnie pomylił, to CSIRT-y już same przekażą informację do właściwego.

Dodatkowo każdy organ właściwy, czyli minister odpowiedzialny za dany sektor, będzie mógł powołać sektorowy zespół cyberbezpieczeństwa, który stanie się wtedy automatycznie częścią krajowego systemu.

Będzie też działał krajowy zespół ds. incydentów krytycznych (ZIK), do którego trafiać będą informacje o incydentach zakwalifikowanych przez CSIRTy jako te najpoważniejsze. Zaliczane do nich będą takie, które mogą skutkować znaczną szkodą dla bezpieczeństwa państwa, porządku publicznego, interesów międzynarodowych czy gospodarczych, zagrażać działaniom instytucji publicznych, prawom i wolnościom obywatelskim lub życiu i zdrowiu ludzi.

W sytuacjach szczególnych ZIK będzie mógł poprzez Rządowe Centrum Bezpieczeństwa eskalować najgroźniejsze incydenty na poziom zarządzania kryzysowego. Będzie też można ustalić, który z CSIRT-ów powinien w dalszym postępowaniu koordynować dany incydent krytyczny. Przykładowo, gdyby pojawiło się podejrzenie, że mamy do czynienia z elementem wojny hybrydowej, mogłaby zapaść decyzja, że koordynacja incydentu powinna zostać przekazana do CSIRT-u w MON.

Jest też propozycja powołania kolegium ds. cyberbezpieczeństwa na wzór kolegium ds. służb specjalnych. Pomysł ten zyskał przychylność najważniejszych resortów. Będzie poddany pod dyskusję w trakcie dalszych prac nad projektem ustawy. Podobna sytuacja dotyczy inicjatywy ze strony KPRM – powołania pełnomocnika rządu ds. cyberbezpieczeństwa.

A do kogo będą raportować dostawcy usług elektronicznych?

Ta grupa przedsiębiorstw została w Unii Europejskiej potraktowana w sposób zharmonizowany. Niezależnie od tego, gdzie prowadzą działalność i są zarejestrowani, mają takie same obowiązki. W naszym kraju w większości przypadków będą zgłaszać incydenty do CSIRT-u w NASK.

Dostawcy usług cyfrowych będą jednak mieli mniejsze, lżejsze obowiązki niż operatorzy usług kluczowych. Przepisy ustawy będą miały w ich przypadku zastosowanie ex post. Przedsiębiorcy z tej grupy będą mieli obowiązek analizy ryzyka, wdrażania wymagań, raportowania, ale nie będą podlegać kontroli, dopóki nic się nie wydarzy. Ministerstwo Cyfryzacji, jako organ właściwy, będzie mogło w odniesieniu do dostawców usług cyfrowych zadziałać kontrolnie dopiero po ewentualnym incydencie.

Przedsiębiorcy będą musieli zgłaszać ataki w ciągu 24 godzin. Czy ustawodawca określi zasady, według jakich ma być prowadzony monitoring zagrożeń i system reagowania w firmach?

Każdy będzie musiał zapewnić stały, skuteczny monitoring we własnym zakresie. Jak to zrobi, to już zależy od jego rozpoznania sytuacji i podjętej decyzji. Może powołać centrum operacyjne u siebie albo skorzystać z usług bezpieczeństwa oferowanych w tym zakresie przez inne podmioty na rynku, na przykład w modelu zdalnym. Można też działać w systemie mieszanym, część rzeczy robić samemu, a część usług wynająć. Jeśli przykładowo firma nie ma monitorowania bezpieczeństwa w godzinach nocnych, to będzie mogła je zlecić, a resztą zająć się sama.

Operator bierze jednak na siebie pełną odpowiedzialność za skutki umowy z wybranym usługodawcą. Po jego stronie leży sprawdzenie wiarygodności dostawcy usług i zapewnienie gwarancji skutecznego działania, na przykład w postaci odpowiedniego SLA.

Wymóg raportowania nie znaczy jednak, że w ciągu maksymalnie 24 godzin trzeba będzie dysponować kompletem informacji, aby zgłosić incydent. Nie wszystko od razu przecież może być wiadome. Trzeba zgłosić incydent na bazie tych danych, które mamy. Sam fakt ataku, skutki, wynik wstępnych analiz. Dalsze analizy i rozwój sytuacji mogą powodować konieczność przekazania uzupełnionej informacji na temat incydentu. Najważniejszy jest szybki przepływ informacji o zaistniałym incydencie. Żeby było wiadomo, jak zareagować, i aby można było ostrzec innych.

Jak już było powiedziane, organy właściwe będą mogły także tworzyć sektorowe zespoły cyberbezpieczeństwa. To zresztą nie jedyny sposób na inicjatywy sektorowe. CERTy, czy wspólne centra cyberbezpieczeństwa, mogą powoływać organizacje działające w danej branży, na przykład związki, zrzeszenia przedsiębiorstw, które uznają, że łatwiej będzie korzystać ze wspólnego wsparcia.

Z perspektywy systemu krajowego inicjatywy sektorowe z pewnością ułatwiałyby uwzględnienie specyfiki i koordynację działań w danej branży. Byłyby grupowymi partnerami dla centrów krajowych. Tworzenie ich nie będzie jednak obowiązkowe. Zadecyduje specyfika poszczególnych sektorów bądź podsektorów lub uwarunkowania rynkowe. W Urzędzie Lotnictwa Cywilnego rozważany jest na przykład pomysł powołania krajowego CERT-u lotniczego. Inicjatywa stworzenia CERT-u sektorowego pojawiła się także wśród przedsiębiorstw z branży energetycznej czy sektora bankowego.

Jak duże zmiany czekają te firmy, które już z powodów biznesowych, czy też z racji obowiązywania innych regulacji wdrożyły u siebie wcześniej rozwiązania z zakresu cyberbezpieczeństwa?

Ci, którzy mają już wdrożone mechanizmy cyberbezpieczeństwa, nie będą musieli wiele zmieniać. Mogą wykorzystać działające u nich rozwiązania. W większości operatorzy usług kluczowych już posiadają odpowiednie mechanizmy bezpieczeństwa – polityki, środki techniczne, audyty. Ci, którzy poważnie traktują swój biznes, już od jakiegoś czasu robią analizę ryzyka biznesowego uwzględniającą również kwestie cyberbezpieczeństwa. Mają więc swoje sprawdzone sposoby, jak sobie radzić.

Jeżeli jakiś podmiot ma polityki bezpieczeństwa wynikające z innych ustaw, to też nie ma powodu, żeby je zmieniał. Stosowanie się do istniejących regulacji w zakresie cyberbezpieczeństwa wystarczy do uznania zgodności z ustawą. Nie chcemy wprowadzać nowych przepisów tam, gdzie one już istnieją. Idziemy raczej w kierunku uznania za wystarczające do zapewnienia zgodności z ustawą w momencie stosowania się do już obowiązujących regulacji.

Pewnym novum jednak, jak wspomniano, będzie tak szeroki obowiązek zgłaszania poważnych czy istotnych incydentów do właściwego CSIRT-u poziomu krajowego.

Czy przewidziane są jakieś formy wsparcia dla tych, którzy będą mieli obowiązek przystosowania się do wymogów ustawy o cyberbezpieczeństwie? Czy planowane są chociażby oficjalne rekomendacje lub wytyczne?

Pomocne dla wszystkich będą zapewne akty wykonawcze do ustawy. Zostaną w nich zdefiniowane bardziej szczegółowo pewne kryteria czy wskaźniki powodujące konieczność podjęcia określonych działań. Przykładowo, zostaną określone kryteria obowiązkowego zgłaszania incydentów zakwalifikowanych jako poważne.

A czy będą też wskazane technologie, na które powinni zwrócić szczególną uwagę operatorzy usług kluczowych ze względu na wymogi cyberbezpieczeństwa?

Ustawa nie definiuje a priori, o jakie technologie chodzi. W odniesieniu do przemysłu zakłada, że chodzi zarówno o IT, jak i OT. Technologie cały czas się rozwijają, zmieniają, powstają nowe. Nie sposób wszystkiego przewidzieć. Za dwa czy trzy lata cyberataki mogą mieć zupełnie inny charakter niż obecnie. Trzeba cały czas śledzić kierunki rozwoju technologii i adekwatnie do sytuacji dobierać skuteczne metody cyberochrony.

Dobrze by było, gdyby w ślad za rozwojem technologii pojawiały się wytyczne sektorowe. To już jednak rola właściwych ministerstw lub organów państwa. Do ustalenia jest też kwestia, czy takie wytyczne miałyby charakter obligatoryjny czy tylko kierunkowy. Chodzi o stworzenie mechanizmów, które pozwalałyby przedsiębiorcy uzyskać wyjaśnienia w sprawie nowych technologii, jakie pojawią się w obszarze jego działalności. To jednak nie będzie go zwalniało z obowiązku samodzielnej analizy ryzyka.

W Unii Europejskiej myśli się obecnie o certyfikowaniu wyrobów i usług dla cyberbezpieczeństwa. Jak to w praktyce miałoby wyglądać, jeszcze nie wiadomo. Trwają dyskusje nad szczegółami proponowanego systemu. Jego celem ma być dostarczanie na pewnym poziomie gwarancji, że określone rozwiązania są bezpieczne dla wybranych, ściśle określonych zastosowań. Chcemy też w tym procesie budowania europejskiego systemu certyfikacji brać udział.