W Dz.U. z 2020 r. pod poz. 54 opublikowano rozporządzenie Prezesa Rady Ministrów z 2.1.2020 r. w sprawie warunków i trybu prowadzenia, koordynacji i wdrażania systemu wczesnego ostrzegania o zagrożeniach występujących w sieci Internet.
Rozporządzenie wykonuje przepisy ustawy z 24.5.2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (t.j. Dz.U. z 2020 r. poz. 27; dalej: ABWU) dotyczące systemu wczesnego ostrzegania o zagrożeniach występujących z Internecie.
Z art. 32aa ust. 1 ABWU wynika, że w niektórych podmiotach ABW wdraża system wczesnego ostrzegania o zagrożeniach występujących w sieci Internet (system wczesnego ostrzegania), prowadzi go i koordynuje jego funkcjonowanie. Ma to miejsce w celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa:
- systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także
- systemów teleinformatycznych właścicieli, posiadaczy samoistnych i posiadaczy zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej (art. 5b ust. 7 pkt 1 ustawy z 26.4.2007 r. o zarządzaniu kryzysowym, t.j. Dz.U. z 2019 r. poz. 1398), lub
- danych przetwarzanych w tych systemach oraz zapobiegania i wykrywania przestępstw o charakterze terrorystycznym w tym obszarze oraz ścigania ich sprawców.
Rozporządzenie określa warunki i tryb:
- wdrażania systemu wczesnego ostrzegania, w tym czynności niezbędne do uruchomienia systemu ostrzegania w infrastrukturze podmiotu, o którym mowa w art. 32aa ust. 1 ABWU, czyli uczestnika;
- prowadzenia, w tym utrzymania, systemu ostrzegania;
- koordynacji systemu ostrzegania.
W rozporządzeniu określono też wzór porozumienia w sprawie technicznych aspektów uczestnictwa w systemie ostrzegania oraz modelu konfiguracji systemu.
Co do wdrożenia systemu:
- wdrożenie elementów systemu ostrzegania u uczestników następuje zgodnie z rocznym planem wdrożenia, opracowywanym przez Szefa ABW w terminie do 30 września roku poprzedzającego;
- w uzasadnionych przypadkach, na wniosek podmiotu, wdrożenie elementów systemu ostrzegania może zostać przeprowadzone z pominięciem planu (art. 32aa ust. 2 ABWU).
W związku z tym, co do punktu 1, ABW przekazuje informacje uczestnikowi w terminie do 1 grudnia roku poprzedzającego rok, na który został opracowany roczny plan wdrożenia systemu wczesnego ostrzegania, o którym mowa w art. 32aa ust. 2 ABWU.
Natomiast co do punktu 2, ABW przekazuje podmiotowi, który złożył wniosek, informację o sposobie jego rozpatrzenia w terminie 3 miesięcy od dnia złożenia tego wniosku. W przypadku pozytywnego rozpatrzenia wniosku ABW przekazuje uczestnikowi, w postaci elektronicznej, a w przypadku braku możliwości przekazania w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji, informacje o technicznych aspektach uczestnictwa.
Uczestnik, w terminie 14 dni od dnia otrzymania informacji o technicznych aspektach uczestnictwa, przekazuje do ABW, w postaci elektronicznej, a w przypadku braku możliwości przekazania w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji, informację o:
- spełnieniu technicznych aspektów uczestnictwa (w przypadku przekazania takiej informacji ABW uzgadnia z uczestnikiem sposób i termin zawarcia porozumienia, którego wzór określono w załączniku do rozporządzenia) albo
- niespełnianiu technicznych aspektów uczestnictwa na dzień przekazania informacji oraz o terminie, do którego dostosuje użytkowaną infrastrukturę do technicznych aspektów uczestnictwa.
Z rozporządzenia wynika ponadto, że uczestnictwo w systemie wczesnego ostrzegania wymaga:
- niezwłocznego usuwania awarii infrastruktury sieciowej i zasilającej system ostrzegania w celu zachowania pełnej sprawności systemu ostrzegania;
- monitorowania i analizy we własnym zakresie informacji generowanych przez system ostrzegania w celu podjęcia działań naprawczych i zabezpieczających będących w jego zakresie;
- nieprzekazywania innym podmiotom:
- informacji dotyczących systemu ostrzegania,
- całości ani części udostępnionego przez ABW oprogramowania ani platformy sprzętowej,
- informacji o platformie sprzętowej wchodzącej w skład systemu ostrzegania oraz aspektach technicznych związanych z budową i funkcjonowaniem systemu ostrzegania.
W uzasadnionych przypadkach ABW może wyrazić zgodę na przekazanie przez uczestnika innemu podmiotowi informacji dotyczących systemu ostrzegania lub udostępnienie całości lub części oprogramowania albo platformy sprzętowej wchodzącej w skład tego systemu. ABW może wydać zgodę na uzasadniony wniosek uczestnika, przekazany w postaci elektronicznej, a w przypadku braku możliwości przekazania w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji,zawierający:
- pełne dane podmiotu, który miałby otrzymać informacje, oprogramowanie albo platformę sprzętową;
- szczegółowy zakres przekazywanych informacji lub oprogramowania.
Przy czym, ABW, z uwagi na bezpieczeństwo narodowe, może odmówić, bez podania przyczyny, udzielenia zgody na przekazanie przez uczestnika innemu podmiotowi informacji lub udostępnienie oprogramowania.
Ponadto, rozporządzenie reguluje także kwestie związane z:
- wnioskiem nadanie uprawnień (§ 7 rozporządzenia);
- zadania ABW w zakresie wdrażania systemy wczesnego ostrzegania (§ 8 rozporządzenia);
- zasady używania platformy sprzętowej przekazanej uczestnikowi (§ 9 rozporządzenia);
- zakres czynności niezbędnych do przeprowadzenia wdrożenia, w szczególności instalacji niezbędnych urządzeń (§ 10 rozporządzenia);
- zakres czynności podejmowanych przez ABW w ramach prowadzenia systemu ostrzegania, w szczególności w zakresie utrzymania tego systemu (§ 11 rozporządzenia);
- zadania uczestnika w ramach systemu wczesnego ostrzegania (§ 12 rozporządzenia);
- wystąpieniem alarmu kwalifikowanego jako pilny (§ 13 rozporządzenia).