Syndrom bezpieczeństwa papierowego, czyli pójście po linii najmniejszego oporu. Syndrom małpki: Lepiej nie wiedzieć, nie zgłaszać, nie robić. Syndrom KRI, czyli „pożyjemy, zobaczymy, a może im przejdzie”. Syndrom zmęczenia po RODO – tyle zrobiliśmy i w sumie czy warto było? Te zagadnienia były podczas „KSC Forum 2019” tematem dyskusji w grupie roboczej „Zagrożenia dotyczące spłycenia wdrożenia ustawy”. Przedstawiamy wypracowane przez jej uczestników wnioski.

Spotkanie grupy roboczej rozpoczęliśmy od przeformułowania tematu. Użyte w nim słowo „spłycenie” niesie negatywny wydźwięk kojarzący się z celowymi działaniami. Dlatego grupa zaproponowała, aby ostateczna postać dyskusji była zawarta w temacie „Zagrożenia wynikające z uproszczenia wdrożenia ustawy o krajowym systemie cyberbezpieczeństwa”.

Terminologia

W oryginalnym tytule i tekście dyrektywy NIS występuje termin „information systems”. Natomiast w ustawodawstwie polskim posłużono się określeniem „system informatyczny”, co należy uznać za wadliwe formalnie i błędnie skupiające uwagę na systemach IT, zamiast na ochronie informacji, co było zamierzeniem autorów NIS. Niewłaściwa interpretacja może być przyczyną uproszczeń we wdrożeniu ustawy, gdyż wskazuje na systemy IT, a nie na informacje, które powinny być chronione. Podobnych przykładów niewłaściwego tłumaczenia bądź interpretacji można zauważyć więcej.

Postulujemy skorygowanie oficjalnego przekładu tej dyrektywy na język polski i zastąpienie określenia „system informatyczny” określeniem „system informacyjny”, a także przegląd innych, użytych w ustawie terminów.

Forum współpracy

Ustawa wyznacza wiele organów właściwych, które wskazują m.in. operatorów usług kluczowych. Wdrożenie ustawy narzuca konieczność spełnienia określonych wymagań, które są wspólne dla każdego operatora. Z tym zadaniem wiążą się określone ryzyka i problemy, które operatorzy muszą sami rozstrzygać, co może skutkować uproszczeniem wdrożenia bądź niewłaściwym realizowaniem zadań w przyszłości. Zauważyliśmy, że bardzo pomocne byłoby powołanie forum współpracy – zarówno między operatorami danego sektora, jak i między organami właściwymi. Znacznie zaoszczędziłoby to koszty wdrożenia, a przede wszystkim pozwoliło wypracować jednolite stanowisko odnośnie do rozwiązania określonych problemów i wyzwań.

Postulujemy powołanie forum lub innej, podobnej struktury, gdzie organy właściwe mogłyby prezentować problemy swego sektora, aby wspomóc wdrażanie ustawy, a potem wypełniać jej zapisy i rozporządzenia z nią powiązane. Analogicznie wskazane jest, aby organ właściwy pomógł wymieniać doświadczenia pomiędzy operatorami usług kluczowych.

Pewność prawa

Mimo obowiązywania ustawy o krajowym systemie cyberbezpieczeństwa nie wszystkie podmioty otrzymały jeszcze decyzję o uznaniu za operatora usługi kluczowej, inne taką decyzję otrzymały już wcześniej. Ustawa i rozporządzenia obligują do podjęcia określonych zadań. Jednocześnie prowadzone są zmiany rozporządzeń, mówi się o zmianie ustawy, co wprowadza niepewność wśród tych, którzy już się podjęli wdrożenia. Jeśli nowe wydania aktów prawnych wprowadzą znaczące zmiany w już wdrożonych rozwiązaniach, wiele podmiotów znajdzie się w sytuacji braku stabilności działania.

Postulujemy powstrzymanie wdrażania nowych regulacji do czasu, aż wszyscy operatorzy otrzymają decyzje i tym samym dostosują się do tych samych standardów, bądź powstrzymanie audytów i wyciągania konsekwencji prawnych do czasu wdrożenia ostatecznej postaci ustawy i rozporządzeń, aby wszyscy operatorzy mieli wystarczająco dużo czasu na przystosowanie się do nowych warunków.

Harmonogram

Zarówno ustawa, jak i rozporządzenia z nią powiązane ustalają ścisły harmonogram działań dla niektórych zadań. Różny jest poziom dojrzałości organizacji objętych ustawą. Niektóre z nich nie wdrożyły wcześniej systemu zarządzania bezpieczeństwem informacji. Ustawa funkcjonuje w pewnych cyklach, które wieńczone są audytami. Pierwszy audyt musi zostać zrealizowany w ciągu roku od wydania decyzji o ustanowieniu operatora usługi kluczowej. Samo wdrożenie systemu zarządzania bezpieczeństwem informacji w zależności od wielkości organizacji i liczby realizowanych procesów biznesowych może zajmować od kilku do kilkunastu miesięcy. Nie jest zatem możliwe w tak krótkim czasie prawidłowe wypełnienie zobowiązania nakładanego przez ustawę. I tym samym potwierdza się teza postawiona w temacie: uproszczenie wdrożenia. 

Należy także wziąć pod uwagę, że podmioty publiczne zobowiązane są prawem zamówień publicznych, które samo w sobie nakłada określone terminy procedur przetargowych, a właściwe podejście do wdrożenia wymaga przygotowania dobrej jakości opisu przedmiotu zamówienia. W przypadku pośpiechu dokumentacja zostanie opracowana pobieżnie, a tym samym nie otrzymamy tego, co powinniśmy.

Postulujemy skonsultowanie poszczególnych zdań pod względem ich złożoności, pracochłonności, a także uwzględnienia specyfiki budżetu – gdzie wydatki trzeba zaplanować z wielomiesięcznym wyprzedzeniem. Dotyczy to szczególnie wdrożenia SZBI, uruchomienia SOC itp.

Swoboda biznesowa

Artykuł 14 ust. 4 ustawy o KSC stanowi, że minister właściwy do spraw informatyzacji określi w drodze rozporządzenia warunki organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo operatorów usług kluczowych. Mają one uwzględniać polskie normy oraz konieczność zapewnienia bezpieczeństwa informacji przetwarzanych w tych strukturach albo podmiotach.

Upoważnienie to jest oczywiście zgodnie z zasadami prawodawstwa, ale znacznie ogranicza swobodę decyzyjną podmiotów co do rozwiązań techniczno-organizacyjnych. Dyskusje nad rozporządzeniem były bardzo burzliwe i, zdaniem grupy, wiele rozwiązań zostało narzuconych bez znajomości tematu. Punktem wyjścia powinna być analiza ryzyka, na podstawie której poszczególne podmioty samodzielnie zadecydują o tym, jakie rozwiązania techniczne wdrożyć. Organizacje powinny być rozliczane za efekty, a nie za użyte środki techniczne – te powinny być adekwatne do oszacowanego ryzyka.

Postulujemy pozostawienie większej swobody operatorom usług kluczowych w wyborze zabezpieczeń fizycznych, bez tworzenia szczegółowych rozporządzeń. 

Opracował: Eryk Trybulski, moderator grupy roboczej „Zagrożenia wynikające z uproszczenia wdrożenia ustawy o krajowym systemie cyberbezpieczeństwa”.