W Sejmie trwają prace nad rządowym projektem ustawy o krajowym systemie cyberbezpieczeństwa. Ma ona wdrożyć do polskiego porządku prawnego Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 ws. środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywę NIS). Przepisy ją implementujące powinny wejść w życie już 10 maja br., zatem Polska ma lekkie opóźnienie.
Celem ustawy, poza wymogiem implementacji dyrektywy, jest ustanowienie krajowego systemu cyberbezpieczeństwa, który ma zapewnić niezakłócone świadczenie usług kluczowych i cyfrowych, oraz osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług.
Ustawa przewiduje funkcjonowanie rozproszonego systemu cyberbezpieczeństwa w postaci funkcjonowania kilku CSIRT (zespołów reagowania na incydenty bezpieczeństwa komputerowego działających na poziomie krajowym). CSIRT MON ma być prowadzony przez ministra obrony narodowej, CSIRT NASK przez Naukową i Akademicką Sieć Komputerową oraz CSIRT GOV przez szefa Agencji Bezpieczeństwa Wewnętrznego.
Zgodnie z wymogami NIS w projekcie ustawy wskazano tzw. organy właściwe do spraw cyberbezpieczeństwa. Będą nimi ministrowie odpowiadający za poszczególne sektory i podsektory gospodarki objęte dyrektywą – łącznie siedmiu ministrów oraz Komisja Nadzoru Finansowego. W mojej ocenie takie silosowe rozwiązanie nie jest prawidłowe. Ministrowie odpowiedzialni za poszczególne sektory powinni być włączeni w procesy budowy i zapewniania cyberbezpieczeństwa, jednak podejście do tego problemu powinno być kompleksowe. Bardziej racjonalne byłoby wyznaczenie jednego organu właściwego – tj. prezesa Rady Ministrów. W ostateczności można by wskazać trzy organy właściwe, koordynowane przez prezesa Rady Ministrów – ministra obrony narodowej, ministra cyfryzacji i ministra spraw wewnętrznych i administracji.
Organy właściwe będą decydować, którzy z przedsiębiorców otrzymają status tzw. operatorów usług kluczowych. Ustawa nakłada na nich szczególne obowiązki prawidłowo wskazane w przepisach. Dziwi jednak, że lista operatorów usług kluczowych nie będzie jawna. Trudno znaleźć dla tego uzasadnienie. Listę takich podmiotów łatwo określić, mało tego, projektodawcy sami podają w OSR podstawową listę przedsiębiorców, których zaliczają do grupy operatorów usług kluczowych. Cyberprzestępcy, którzy będą chcieli zdestabilizować kluczowe systemy teleinformatyczne, będą dobrze wiedzieć, co ma być celem ich ataku. Dlaczego zatem obywatele nie mogą znać listy operatorów usług kluczowych?
Operatorzy usług kluczowych to najważniejsze przedsiębiorstwa z sektora energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i infrastruktury cyfrowej. Przedsiębiorcy ci będą zobowiązani do wdrożenia systemów zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. Obejmie to zarówno działania techniczne, jak i organizacyjne. Ustawa nie narzuca tu żadnych standardów. To przedsiębiorca ma decydować, na podstawie przeprowadzonej przez siebie analizy ryzyka, jakie środki bezpieczeństwa wdrożyć. Przedsiębiorcy usług kluczowych będą obowiązani informować o incydentach właściwych CSIRT i współpracy z nimi w zakresie zarządzania incydentami. Dodatkowym obowiązkiem będzie przeprowadzanie co dwa lata audytu bezpieczeństwa systemu informacyjnego. Audyty te będą prowadzone przez odpowiednio akredytowane jednostki lub zespoły doświadczonych audytorów. Koszty audytu ponosić będzie operator usługi kluczowej.
Mniejszy zakres obowiązków dotyczyć ma dostawców usług cyfrowych, tj. dostarczycieli internetowych platform handlowych, usług przetwarzania w chmurze i wyszukiwarek internetowych. Ale najliczniejszą grupą podmiotów objętych nowymi obowiązkami ustawowymi będą podmioty publiczne, w tym jednostki sektora finansów publicznych, instytuty badawcze; NBP, BGK, Urząd Dozoru Technicznego; Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej i spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej. Podmioty te będą musiały m.in. wyznaczyć osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, zapewnić zarządzanie incydentem; zgłaszać incydenty cyberbezpieczeństwa do właściwego CSIRT; zapewniać obsługę incydentów oraz edukować w zakresie cyberbezpieczeństwa.
Żadne przepisy nie będą skuteczne bez poważnych sankcji. Z punktu widzenia interesów państwa, jego obywateli i przedsiębiorców bezpieczeństwo w podstawowym wymiarze (a takim jest dziś cyberbezpieczeństwo) to wartość zasługująca na najwyższą ochronę. Tymczasem kary finansowe grożące za nieprzestrzeganie ustawy określono na nieadekwatnie niskim poziomie, szczególnie te grożące za nieprzestrzeganie przepisów RODO, ustawy – Prawo telekomunikacyjne czy o ochronie konsumenta i konkurencji. Najwyższa kara przewidziana ustawą to do 1 mln zł. Grozi ona za uporczywe naruszanie przepisów ustawy powodujące bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi lub zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych.
Kara ta jest wręcz śmiesznie niska, jeżeli uświadomimy sobie dwa fakty. Po pierwsze kara ta może być nałożona na największych w kraju przedsiębiorców o miliardowych obrotach.
Po drugie – nieprzestrzeganie przepisów ustawy przez tych przedsiębiorców może prowadzić do całkowitego i długotrwałego paraliżu systemów energetycznych, transportowych, finansowych, a nawet zdrowotnych.
Autor jest radcą prawnym w kancelarii Domański, Zakrzewski, Palinka