Ustawa o krajowym systemie cyberbezpieczeństwa - co oznacza dla energetyki?
04.09.2018r. 09:55
Ireneusz Piecuch, partner i radca prawny, lider praktyki telekomunikacyjnej kancelarii CMS w regionie Europy Środkowo-Wschodniej
Piotr Ciołkowski, partner i radca prawny, lider praktyki regulacyjnej w zespole energetycznym kancelarii CMS

28 sierpnia weszła w życie ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa ("Ustawa"). Ustawa definiuje organizacje krajowego systemu cyberbezpieczeństwa, zadania i obowiązki podmiotów wchodzących w skład tego systemu, sposób sprawowania nadzoru i kontroli w zakresie jej stosowania oraz zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Regulacje Ustawy są także ważne z punktu widzenia podmiotów działających w sektorze energetycznym.
Ustawa ma za zadanie implementować postanowienia Dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii ("Dyrektywa NIS"), która została uchwalona 6 lipca 2016 roku. Podsumowując główne założenia Dyrektywy NIS należy przede wszystkim wskazać, że znalazły się w niej przepisy zobowiązujące państwa członkowskie do przyjęcia krajowych strategii w zakresie bezpieczeństwa sieci i systemów informatycznych, jak również przepisy zobowiązujące do wyznaczenia organów odpowiedzialnych za realizację celów w zakresie cyberbezpieczeństwa. Dyrektywa NIS określiła ponadto wymogi dotyczące bezpieczeństwa oraz zgłaszania incydentów, czyli zdarzeń mających niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych. Została także utworzona tzw. grupa współpracy składająca się z przedstawicieli państw członkowskich, komisji oraz Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji ENISA oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego (tzw. CSIRT-y). Choć implementacji Dyrektywy NIS do porządku krajowego należało dokonać do dnia 9 maja 2018 roku, w Polsce transponowano ją z małym poślizgiem - proces ten zakończył się podpisaniem przez Prezydenta Ustawy dnia 5 lipca 2018 roku.
Z punktu widzenia energetyki najważniejsze znaczenie mają regulacje dotyczące podmiotów, jakimi są operatorzy usług kluczowych. W świetle Ustawy operatorem usługi kluczowej, czyli usługi mającej podstawowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej są w szczególności przedsiębiorstwa z sektora energii, ciepła, ropy naftowej i gazu, posiadające koncesję na wykonywanie działalności gospodarczej w zakresie wytwarzania (bądź wydobycia), przesyłania, dystrybucji, obrotu lub magazynowania odpowiednio kopalin, energii elektrycznej, ciepła, ropy naftowej lub gazu. Organy właściwe do spraw cyberbezpieczeństwa mają czas do 9 listopada 2018 roku, żeby wydać stosowne decyzje o uznaniu danego przedsiębiorstwa za operatora usługi kluczowej, a następnie powiadomić o tym Ministra Cyfryzacji, który prowadzi wykaz takich podmiotów. Podkreślenia wymaga, że decyzja ta będzie podlegać natychmiastowemu wykonaniu, niezależnie od ewentualnej drogi odwoławczej. W związku z tym, że implementacja Dyrektywy NIS ma służyć także zbudowaniu ogólnoeuropejskiego systemu zapewniającego bezpieczeństwo krajów członkowskich w cyberprzestrzeni, w przypadku podmiotów świadczących usługę kluczową także w innych państwach UE, Minister Cyfryzacji będzie prowadził także odpowiednie konsultacje międzynarodowe.
Konieczność dostosowania organizacji wewnętrznej operatora usługi kluczowej oraz procesów obowiązujących w jego przedsiębiorstwie do wymogów Ustawy może oznaczać dla niektórych podmiotów, które zostaną uznane za takich operatorów, dodatkowe koszty, a nawet dodatkowe inwestycje. Każdy operator usługi kluczowej ma obowiązek wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. W ramach takiego systemu, operatorzy zobowiązani będą między innymi do prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem. System taki winien zostać wdrożony w terminie trzech miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. W przypadku uchybienia temu obowiązkowi, Ustawa przewiduje możliwość nałożenia kary w wysokości 150 tysięcy złotych, a jeżeli uchybienie takie miałoby cechy uporczywości i spełnione zostałyby jeszcze dodatkowe warunki, kara może wzrosnąć nawet do 1 miliona złotych.
Kolejnym obowiązkiem operatora usługi kluczowej, na którego realizację ma 6 miesięcy, jest konieczność wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy. I w tym przypadku uchybienie obowiązkowi jest zagrożone karą - tu w wysokości 100 tysięcy złotych. Ustawa wymienia szereg cech, którymi system zarządzania bezpieczeństwem musi się charakteryzować. Wdrożone środki techniczne i organizacyjne muszą bowiem zapewniać utrzymanie i bezpieczną eksploatację systemu, bezpieczeństwo fizyczne i środowiskowe, bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej, a także wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej, poufność, integralność, dostępność i autentyczność informacji oraz monitorowanie systemu w trybie ciągłym.
Ustawa przewiduje także inne obowiązki dla operatora usługi kluczowej. Należą do nich m.in. wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z innymi podmiotami krajowego systemu cyberbezpieczeństwa, utrzymywanie stosownej dokumentacji oraz powołanie wewnętrznej struktury organizacyjnej odpowiedzialnej za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z tego zakresu (podmioty takie także wchodzą w skład krajowego systemu cyberbezpieczeństwa). Ponadto, operator usługi kluczowej ma także obowiązek przeprowadzenia przynajmniej raz na dwa lata audytu bezpieczeństwa przez podmiot lub audytorów do tego upoważnionych. Pierwszy taki audyt powinien się odbyć w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Zasada ta nie będzie miała zastosowania u operatorów, u których osoby spełniające warunki zdefiniowane w Ustawie dla audytorów, przeprowadziły w danym roku audyt wewnętrzny w zakresie bezpieczeństwa informacji na podstawie ustawy z 17 lutego 2015 roku o informatyzacji podmiotów realizujących zadania publiczne. W końcu, dostawcy usług kluczowych zobowiązani są także do obsługi incydentów, ich klasyfikacji oraz zgłaszania ich do właściwego CSIRT. Dotyczy to incydentów poważnych, czyli takich które powodują lub mogą powodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej.
Niewątpliwie samo uchwalenie Ustawy jest olbrzymim krokiem naprzód, ponieważ daje szanse na systematyczne i kompleksowe zaadresowanie problemu stanowiącego jedno z głównych wyzwań cyfryzacji życia prywatnego i publicznego. Cyberprzestępczość to nie tylko intratny biznes. Wykorzystywanie złośliwego oprogramowania służyć może także m.in. jako narzędzie wspomagające lub zastępujące działania militarne czy narzędzie do szpiegostwa przemysłowego. Cyberzagrożenia to globalne wyzwanie cywilizacyjne - stąd implementacja Dyrektywy NIS jest kluczowa dla systemu ochrony polskich obywateli, jednostek administracji państwowych i samorządowych, a także przedsiębiorstw w tym przedsiębiorstw energetycznych.
CMS