Od 7.1.2020 r. obowiązują przepisy wykonawcze określające m.in. warunki organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa. Nakładają one na te podmioty obowiązki m.in. dostosowania pomieszczeń do określonych wymogów do 7.7.2020 r.

Z art. 14 ustawy z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560 ze zm.; dalej: CyberbezpU) wynika, że operator usługi kluczowej w celu realizacji niektórych zadań:

1) powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo (WSC) lub

2) zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

 

Ważne   Usługa kluczowa to usługa, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienionej w wykazie usług kluczowych. Usługi kluczowe obejmują wskazane sektory gospodarki: energię, transport, bankowość i infrastrukturę rynków finansowych, ochronę zdrowia, zaopatrzenie w wodę i jej dystrybucję, a także infrastrukturę cyfrową. Natomiast operatorem usługi kluczowej jest podmiot wymieniony w załączniku nr 1 do CyberbezpU, działający w ramach poszczególnych sektorów, tj. m.in. przedsiębiorstwa energetyczne, przedsiębiorstwa transportowe i przewoźnicy, podmioty lecznicze i przedsiębiorstwa farmaceutyczne, banki krajowe i instytucje kredytowe, przedsiębiorstwo wodno-kanalizacyjne itd.

Powołania WSC lub zawarcia umowy z podmiotem wymaga realizacja zadań z zakresu:

1) wdrożenia przez operatora usługi kluczowej systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniający funkcje wymienione w art. 8 CyberbezpU (np. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, zbieranie informacji o zagrożeniach, zarządzanie incydentami itd.);

2) obowiązków operatora usługi kluczowej w zakresie wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej, a także przekazywania właściwemu organowi danych obejmujących informację określającą, w których państwach członkowskich Unii Europejskiej podmiot został uznany za operatora usługi kluczowej oraz datę zakończenia świadczenia usługi kluczowej nie później niż w terminie 3 miesięcy od zmiany tych danych;

3) obowiązków operatora usługi kluczowej określonych w art. 10 ust. 1–3 CyberbezpU, który w tym zakresie:

• opracowuje, stosuje i aktualizuje dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,

• ma obowiązek ustanowić nadzór nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, a także

• przechowuje dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej przez co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi kluczowej;

4) obowiązków operatora usługi kluczowej wymienionych w art. 11 ust. 1–3 CyberbezpU, czyli w zakresie m.in. obsługi incydentu, klasyfikacji incydentów, zgłaszania incydentu poważnego, współpracy z sektorowym zespołem cyberbezpieczeństwa itd.;

5) zgłoszenia incydentu poważnego zawierającego dane wymienione w art. 12 CyberbezpU;

6) informacji przekazywanych do właściwego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) w zakresie wymienionym w art. 13 ­CyberbezpU.

 

Ważne Właściwe organy do spraw cyberbezpieczeństwa wymieniono w art. 41 CyberbezpU. W zależności od sektora gospodarki obejmującego usługi kluczowe, organem właściwym jest minister kierujący daną gałęzią gospodarki, czyli minister energii, minister transportu, minister gospodarki morskiej, minister zdrowia, minister obrony narodowej, minister informatyzacji, a także Komisja Nadzoru Finansowego dla sektora bankowego i infrastruktury rynków finansowych.

Wymogi stawiane WSC oraz przekazywanie informacji o podmiocie

Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa mają obowiązek:

1) spełniać warunki organizacyjne i techniczne pozwalające na zapewnienie cyberbezpieczeństwa obsługiwanemu operatorowi usługi kluczowej;

2) dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi;

3) stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów.

Natomiast w razie zawarcia umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, operator usługi kluczowej informuje właściwy organ i właściwy CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowy zespół cyberbezpieczeństwa o podmiocie, z którym zawarto umowę o świadczenie usług z zakresu cyberbezpieczeństwa, danych kontaktowych tego podmiotu, zakresie świadczonej usługi oraz o rozwiązaniu umowy w terminie 14 dni od dnia zawarcia lub rozwiązania umowy.

 

SŁOWNICZEK  CSIRT GOV to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego;   SIRT MON to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej; CSIRT NASK to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy.

Nowe przepisy dotyczące warunków organizacyjnych i technicznych

Od 7.1.2020 r. obowiązuje rozporządzenie Ministra Cyfryzacji z 4.12.2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz.U. z 2019 r. poz. 2479).

Zwraca ono uwagę na obowiązki dotyczące incydentów określone w:

1) art. 8 pkt 4 i 5 CyberbezpU, czyli zarządzanie incydentami, a także stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

2) art. 11 ust. 1 pkt 1–5 CyberbezpU, czyli zapewnienie obsługi incydentu, zapewnienie dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań, klasyfikowanie incydentu jako poważny na podstawie progów uznawania incydentu za poważny, zgłaszanie incydentu poważnego niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, a także współdziałanie podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;

3) art. 12 CyberbezpU, czyli zgłaszanie incydentu poważnego (dane wymienione w tym przepisie);

4) art. 13 CyberbezpU, zgodnie z którym operator usługi kluczowej może przekazywać do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacje o: innych incydentach, zagrożeniach cyberbezpieczeństwa, dotyczące szacowania ryzyka, podatnościach, a także wykorzystywanych technologiach.

Tabela 1. Warunki organizacyjne, jakie musi spełnić podmiot usługi z zakresu cyberbezpieczeństwa

 

Podmiot świadczący usługi z zakresu cyberbezpieczeństwa ma obowiązek spełnić następujące warunki organizacyjne:

System bezpieczeństwa   chodzi o posiadanie, utrzymywanie i aktualizowanie systemu zarządzania bezpieczeństwem informacji spełniający wymagania Polskiej Normy PN-EN ISO/IEC 27001 w zakresie obejmującym co najmniej świadczone usługi

Obsługa incydentu  chodzi o zapewnienie ciągłości działania usłudze obsługi incydentu oraz wsparcie operatorowi usługi kluczowej z czasem reakcji adekwatnym do charakteru usługi kluczowej

Deklaracja polityki działania  posiadać i udostępniać w języku polskim i angielskim deklarację swojej polityki działania w zakresie określonym dokumentem RFC 2350 publikowanym przez organizację Internet Engineering Task Force (IETF)

W zakresie realizowanych wymienionych wyżej obowiązków dotyczących incydentów dysponować personelem posiadającym umiejętności: 1) identyfikowania zagrożeń w odniesieniu do systemów informacyjnych operatora usługi kluczowej oraz proponowania rozwiązań ograniczających ryzyko wynikające z tych zagrożeń; 2) analizowania oprogramowania szkodliwego i określania jego wpływu na system informacyjny operatora usługi kluczowej; 3) wykrywania przełamania lub ominięcia zabezpieczeń systemu informacyjnego operatora usługi kluczowej, prowadzenia analizy powłamaniowej wraz z określeniem działań niezbędnych do przywrócenia sprawności systemu informacyjnego operatora usługi kluczowej; 4) zabezpieczania informacji potrzebnych do analizy powłamaniowej, pozwalających na określenie wpływu incydentu poważnego na świadczenie usługi kluczowej, w tym informacji dotyczących:  • rodzajów usług kluczowych, na które incydent miał wpływ, • liczby użytkowników usługi kluczowej, na których incydent miał wpływ, • momentu wystąpienia i wykrycia incydentu oraz czasu jego trwania, • zasięgu geograficznego obszaru, którego dotyczy incydent poważny, • wpływu incydentu na świadczenie usługi kluczowej przez innych operatorów usług kluczowych i dostawców usług cyfrowych, • przyczyny zaistnienia incydentu i sposobu jego przebiegu oraz skutków jego oddziaływania na systemy informacyjne lub świadczone usługi kluczowe na potrzeby postępowań prowadzonych przez organy ścigania

Dysponować prawem do wyłącznego korzystania z pomieszczenia lub zespołu pomieszczeń  w przypadku realizacji wymienionych wyżej obowiązków w zakresie incydentów

Przeprowadzić analizę ryzyka mającą na celu dobór adekwatnych środków bezpieczeństwa fizycznego i technicznego pomieszczenia lub zespołu pomieszczeń, w których świadczone są usługi z zakresu cyberbezpieczeństwa, w której uwzględnia się wszystkie istotne czynniki mogące mieć wpływ na bezpieczeństwo, w szczególności:  1) rodzaje informacji przetwarzanych w systemach teleinformatycznych; 2) otoczenie i konstrukcję budynków, w których będą świadczone usługi z zakresu cyberbezpieczeństwa; 3) liczbę osób mających lub mogących mieć dostęp do pomieszczenia lub zespołu pomieszczeń, a także posiadane przez nie uprawnienia oraz uzasadnioną potrzebę dostępu do pomieszczenia lub zespołu pomieszczeń; 4) szacowane zagrożenie sabotażem, zamachem terrorystycznym, kradzieżą lub inną działalnością przestępczą

Istotne są też w tym przypadku warunki techniczne, które trzeba spełnić. Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo mają obowiązek spełniać dwie grupy warunków technicznych.

Po pierwsze, dysponować sprzętem komputerowym oraz wyspecjalizowanymi narzędziami informatycznymi umożliwiającymi:

1) rejestrowanie zgłoszeń incydentów;

2) analizę kodu oprogramowania uznanego za szkodliwe;

3) badanie odporności systemów informacyjnych na przełamanie lub ominięcie zabezpieczeń;

4) zabezpieczanie informacji potrzebnych do analizy powłamaniowej pozwalające na określenie wpływu incydentu poważnego na świadczenie usługi kluczowej, w tym informacji dotyczących:

• rodzajów usług kluczowych, na które incydent miał wpływ,

• liczby użytkowników usługi kluczowej, na których incydent miał wpływ,

• momentu wystąpienia i wykrycia incydentu oraz czasu jego trwania,

• zasięgu geograficznego obszaru, którego dotyczy incydent poważny,

• wpływu incydentu na świadczenie usługi kluczowej przez innych operatorów usług kluczowych i dostawców usług cyfrowych,

• przyczyny zaistnienia incydentu i sposób jego przebiegu oraz skutków jego oddziaływania na systemy informacyjne lub świadczone usługi kluczowe na potrzeby postępowań prowadzonych przez organy ścigania.

Po drugie, dysponować redundantnymi środkami łączności umożliwiającymi prawidłową i bezpieczną wymianę informacji z podmiotami, dla których świadczą usługi oraz właściwym Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego działającym na poziomie krajowym.

Tabela 2. Wymagane zabezpieczenia pomieszczeń lub zespołu pomieszczeń

 

Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo, które wykonują czynności związane z realizacją wymienionych ­wyżej obowiązków w zakresie incydentów mają obowiązek stosować następujące zabezpieczenia pomieszczenia lub zespołu pomieszczeń adekwatne do przeprowadzonego szacowania ryzyka, w tym co najmniej:

ściany i stropy pomieszczenia lub zespołu pomieszczeń, w których będą świadczone usługi z zakresu cyberbezpieczeństwa, powinny mieć klasę odporności ogniowej co najmniej EI 60, określoną w Polskiej Normie PN-EN 13501, a budynek, w którym będą świadczone usługi z zakresu cyberbezpieczeństwa, powinien mieć klasę odporności pożarowej nie niższą niż klasa B

drzwi do pomieszczenia lub zespołu pomieszczeń spełniające co najmniej wymagania klasy 2 określone w Polskiej Normie PN-EN 1627, wyposażone w zamek spełniający co najmniej wymagania klasy 4 określone w Polskiej Normie PN-EN 12209, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich rodziłby nieakceptowane ryzyko nieuprawnionego wejścia do pomieszczenia lub zespołu pomieszczeń

konstrukcję pomieszczenia lub zespołu pomieszczeń zapewniającą odporność na próbę nieuprawnionego dostępu

okna spełniające co najmniej wymagania klasy 2 określone w Polskiej Normie PN-EN 1627, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich niesie nieakceptowalne ryzyko nieuprawnionego wejścia do pomieszczenia lub zespołu pomieszczeń

szafy o podwyższonej odporności ogniowej, zabezpieczające przed próbami włamań oraz pożarami, odpowiednio do wartości danych oraz ewentualnych innych zagrożeń, na podstawie przeprowadzonego szacowanego ryzyka, służące do przechowywania dokumentacji papierowej oraz informatycznych nośników danych mających istotne znaczenie dla prowadzonej działalności

system kontroli dostępu obejmujący wszystkie wejścia i wyjścia kontrolowanego obszaru, w którym co najmniej rozpoznanie osoby uprawnionej następuje w wyniku odczytu identyfikatora lub odczytu cech biometrycznych, oraz rejestrujący zdarzenia

stały nadzór osoby uprawnionej nad osobami niewykonującymi czynności związanych z realizacją wymienionych wyżej obowiązków dotyczących incydentów przebywającymi w pomieszczeniu lub zespole pomieszczeń, w których wykonywane są te czynności

system sygnalizacji napadu i włamania spełniający co najmniej wymagania systemu stopnia 2 określone w Polskiej Normie PN-EN 50131-1, stale monitorowany przez personel bezpieczeństwa oraz wyposażony w rezerwowe źródło zasilania i obejmujący ochroną wejścia i wyjścia kontrolowanego obszaru oraz sygnalizujący co najmniej: • otwarcie drzwi, okien i innych zamknięć chronionego obszaru, • poruszanie się w chronionym obszarze, • stan systemu, w tym generujący ostrzeżenia i alarmy

system sygnalizacji pożarowej obejmujący urządzenia sygnalizacyjno-alarmowe, służące do samoczynnego wykrywania i przekazywania informacji o pożarze, a także urządzenia odbiorcze alarmów pożarowych i urządzenia odbiorcze sygnałów uszkodzeniowych, przy czym obiekty wyposażone w stałe urządzenia gaśnicze i objęte całodobowym nadzorem co najmniej jednej osoby nie muszą być wyposażone w system sygnalizacji pożarowej

Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo realizujące inne niż wymienione wyżej obowiązki dotyczące incydentów, mają obowiązek wprowadzić zabezpieczenia adekwatne do przetwarzanych informacji na podstawie przeprowadzonego badania szacowanego ryzyka, a także z wykorzystaniem dobrych praktyk, mając na celu skuteczne:

1) monitorowanie i wykrywanie incydentów bezpieczeństwa informacji;

2) reagowanie na incydenty bezpieczeństwa;

3) zapobieganie incydentom bezpieczeństwa informacji;

4) zarządzanie jakością zabezpieczeń systemów, informacji i powierzonych aktywów;

5) aktualizowanie ryzyk w przypadku zmiany struktury organizacyjnej, procesów i technologii, które mogą wpływać na reakcję na incydent.

Ponadto w przypadku wykonywania czynności związanych z realizacją wymienionych wyżej obowiązków dotyczących incydentów poza pomieszczeniami wyposażonymi w opisane wyżej zabezpieczenia, podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo zapewniają bezpieczny zdalny dostęp do systemu obsługującego usługi z zakresu cyberbezpieczeństwa, przez co najmniej:

1) ustalenie zasad dostępu do systemu;

2) stosowanie środków zapewniających bezpieczne przetwarzanie danych i komunikację;

3) minimalizację przechowywanych danych poza bezpiecznym środowiskiem.

Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo mają obowiązek dostosowania pomieszczenia lub zespołu pomieszczeń do wymogów określonych w przepisach rozporządzenia w terminie 6 miesięcy od dnia wejścia w życie rozporządzenia, czyli do 7.7.2020 r.

Sławomir Liżewski - specjalista w zakresie prawa administracyjnego i prawa gospodarczego

Podstawa prawna

• art. 14 ustawy z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560 ze zm.)
• rozporządzenie Ministra Cyfryzacji z 4.12.2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz.U. z 2019 r. poz. 2479)