W Dz.U. z 2020 r. pod poz. 54 opublikowano rozporządzenie Prezesa Rady Ministrów z 2.1.2020 r. w sprawie warunków i trybu prowadzenia, koordynacji i wdrażania systemu wczesnego ostrzegania o zagrożeniach występujących w sieci Internet.
Rozporządzenie wykonuje przepisy ustawy z 24.5.2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (t.j. Dz.U. z 2020 r. poz. 27; dalej: ABWU) dotyczące systemu wczesnego ostrzegania o zagrożeniach występujących z Internecie.
Z art. 32aa ust. 1 ABWU wynika, że w niektórych podmiotach ABW wdraża system wczesnego ostrzegania o zagrożeniach występujących w sieci Internet (system wczesnego ostrzegania), prowadzi go i koordynuje jego funkcjonowanie. Ma to miejsce w celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa:

  • systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także
  • systemów teleinformatycznych właścicieli, posiadaczy samoistnych i posiadaczy zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej (art. 5b ust. 7 pkt 1 ustawy z 26.4.2007 r. o zarządzaniu kryzysowym, t.j. Dz.U. z 2019 r. poz. 1398), lub
  • danych przetwarzanych w tych systemach oraz zapobiegania i wykrywania przestępstw o charakterze terrorystycznym w tym obszarze oraz ścigania ich sprawców.

Rozporządzenie określa warunki i tryb:

  • wdrażania systemu wczesnego ostrzegania, w tym czynności niezbędne do uruchomienia systemu ostrzegania w infrastrukturze podmiotu, o którym mowa w art. 32aa ust. 1 ABWU, czyli uczestnika;
  • prowadzenia, w tym utrzymania, systemu ostrzegania;
  • koordynacji systemu ostrzegania.

W rozporządzeniu określono też wzór porozumienia w sprawie technicznych aspektów uczestnictwa w systemie ostrzegania oraz modelu konfiguracji systemu.

Co do wdrożenia systemu:

  1. wdrożenie elementów systemu ostrzegania u uczestników następuje zgodnie z rocznym planem wdrożenia, opracowywanym przez Szefa ABW w terminie do 30 września roku poprzedzającego;
  2. w uzasadnionych przypadkach, na wniosek podmiotu, wdrożenie elementów systemu ostrzegania może zostać przeprowadzone z pominięciem planu (art. 32aa ust. 2 ABWU).

W związku z tym, co do punktu 1, ABW przekazuje informacje uczestnikowi w terminie do 1 grudnia roku poprzedzającego rok, na który został opracowany roczny plan wdrożenia systemu wczesnego ostrzegania, o którym mowa w art. 32aa ust. 2 ABWU.
Natomiast co do punktu 2, ABW przekazuje podmiotowi, który złożył wniosek, informację o sposobie jego rozpatrzenia w terminie 3 miesięcy od dnia złożenia tego wniosku. W przypadku pozytywnego rozpatrzenia wniosku ABW przekazuje uczestnikowi, w postaci elektronicznej, a w przypadku braku możliwości przekazania w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji, informacje o technicznych aspektach uczestnictwa.

Ważne

Uczestnik, w terminie 14 dni od dnia otrzymania informacji o technicznych aspektach uczestnictwa, przekazuje do ABW, w postaci elektronicznej, a w przypadku braku możliwości przekazania w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji, informację o:

  • spełnieniu technicznych aspektów uczestnictwa (w przypadku przekazania takiej informacji ABW uzgadnia z uczestnikiem sposób i termin zawarcia porozumienia, którego wzór określono w załączniku do rozporządzenia) albo
  • niespełnianiu technicznych aspektów uczestnictwa na dzień przekazania informacji oraz o terminie, do którego dostosuje użytkowaną infrastrukturę do technicznych aspektów uczestnictwa.

Z rozporządzenia wynika ponadto, że uczestnictwo w systemie wczesnego ostrzegania wymaga:

  1. niezwłocznego usuwania awarii infrastruktury sieciowej i zasilającej system ostrzegania w celu zachowania pełnej sprawności systemu ostrzegania;
  2. monitorowania i analizy we własnym zakresie informacji generowanych przez system ostrzegania w celu podjęcia działań naprawczych i zabezpieczających będących w jego zakresie;
  3. nieprzekazywania innym podmiotom:
  4. informacji dotyczących systemu ostrzegania,
  5. całości ani części udostępnionego przez ABW oprogramowania ani platformy sprzętowej,
  6. informacji o platformie sprzętowej wchodzącej w skład systemu ostrzegania oraz aspektach technicznych związanych z budową i funkcjonowaniem systemu ostrzegania.

W uzasadnionych przypadkach ABW może wyrazić zgodę na przekazanie przez uczestnika innemu podmiotowi informacji dotyczących systemu ostrzegania lub udostępnienie całości lub części oprogramowania albo platformy sprzętowej wchodzącej w skład tego systemu. ABW może wydać zgodę na uzasadniony wniosek uczestnika, przekazany w postaci elektronicznej, a w przypadku braku możliwości przekazania w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji,zawierający:

  • pełne dane podmiotu, który miałby otrzymać informacje, oprogramowanie albo platformę sprzętową;
  • szczegółowy zakres przekazywanych informacji lub oprogramowania. 

Przy czym, ABW, z uwagi na bezpieczeństwo narodowe, może odmówić, bez podania przyczyny, udzielenia zgody na przekazanie przez uczestnika innemu podmiotowi informacji lub udostępnienie oprogramowania.

Ponadto, rozporządzenie reguluje także kwestie związane z:

  • wnioskiem nadanie uprawnień (§ 7 rozporządzenia);
  • zadania ABW w zakresie wdrażania systemy wczesnego ostrzegania (§ 8 rozporządzenia);
  • zasady używania platformy sprzętowej przekazanej uczestnikowi (§ 9 rozporządzenia);
  • zakres czynności niezbędnych do przeprowadzenia wdrożenia, w szczególności instalacji niezbędnych urządzeń (§ 10 rozporządzenia);
  • zakres czynności podejmowanych przez ABW w ramach prowadzenia systemu ostrzegania, w szczególności w zakresie utrzymania tego systemu (§ 11 rozporządzenia);
  • zadania uczestnika w ramach systemu wczesnego ostrzegania (§ 12 rozporządzenia);
  • wystąpieniem alarmu kwalifikowanego jako pilny (§ 13 rozporządzenia).