Jak wykazałem w tekście dotyczącym inwentaryzacji zasobów IT (https://wladcysieci.pl/2026/02/13/inwentaryzacja-zasobow-it-w-swietle-nowelizacji-ustawy-o-ksc/) w świetle nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, prawidłowo przeprowadzona ewidencja zasobów, procesów i usług stanowi punkt wyjścia budowania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
Niemniej same zestawienia zasobów (m.in. aktywów IT) oraz usług i procesów, które są przez nie wspierane, stanowią zaledwie wstęp do budowy SZBI. Kolejnym (naturalnym) krokiem po inwentaryzacji powinno być przypisanie ról i odpowiedzialności za te zasoby. Proces ten należy realizować w powiązaniu z uznanymi standardami, takimi jak normy ISO. W praktyce chodzi o dwie płaszczyzny przypisania odpowiedzialności:
- Właścicielstwa (biznesowego lub technicznego) i odpowiedzialności za dany zasób oraz
- W ramach dostępu na poziomie użytkownika końcowego.
„Właścicielstwo” a odpowiedzialność za ryzyko
Z punktu widzenia zarządzania organizacją, funkcjonowanie SZBI wymusza wyznaczenie podmiotu odpowiedzialnego za weryfikację dostawcy, cykl życia, konfigurację oraz adekwatne zabezpieczenie systemów IT. Z reguły funkcję tę pełnią osoby odpowiedzialne biznesowo za daną usługę lub proces, co implikuje również odpowiedzialność za zasób IT który ją wspiera. Często te obowiązki są dzielone pomiędzy funkcjami biznesowymi i technicznymi. Znowelizowana ustawa o KSC przesądza, że to kierownik podmiotu (kluczowego lub ważnego) przydziela zadania z zakresu cyberbezpieczeństwa w podmiocie i nadzoruje ich wykonanie.
Działanie to stanowi odzwierciedlenie wymagań normy ISO 27001, która w wskazuje, że najwyższe kierownictwo powinno zapewnić przydzielenie (oraz zakomunikowanie) w organizacji ról, odpowiedzialności i uprawnień. Ponadto, w ramach załącznika A do tej normy wymaga się, aby role i odpowiedzialność za bezpieczeństwo informacji zostały jednoznacznie określone i przypisane zgodnie z potrzebami organizacji.
Role techniczne i biznesowe
Należy zauważyć, że zmiana w KSC nie przesądza zasad podziału ról biznesowych i technicznych. Zgodnie z art. 8d pkt 3 znowelizowanej ustawy o KSC, to kierownik podmiotu kluczowego lub ważnego przydziela zadania z zakresu cyberbezpieczeństwa w tym podmiocie i nadzoruje ich wykonanie. Wskazany przepis nie przesądza czy chodzi o role biznesowe czy techniczne. Jest bardzo ogólny i nie wyklucza rozdzielenia lub połączenia tych ról. Punktem odniesienia będzie tu analiza ryzyka. Dodatkowo prawodawca potwierdza możliwość wyodrębnienia (a nawet outsourcingu) ról technicznych, wskazując w art. 14 na dopuszczalność zawarcia umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa. Można z tego wnioskować, że przepisy dostrzegają konieczność włączenia w SZBI także osób z biznesu. Jest to zresztą zgodne z powszechną praktyką w zakresie wdrażania systemów bezpieczeństwa. Sama wiedza techniczna nie jest wystarczająca żeby zrozumieć wpływ incydentu dotyczącego systemu IT na działalność operacyjną – świadczenie usług.
W związku z tym należy przyjąć, że właściciel biznesowy – decydujący o celowości przetwarzania informacji oraz kształcie procesu realizowanego za pomocą danego zasobu – może, lecz nie musi, pełnić funkcji właściciela technicznego (np. administratora IT czy architekta bezpieczeństwa).
Właściciel biznesowy a właściciel ryzyka
W tym miejscu należy dokonać kolejnego rozróżnienia pojęciowego. Jak wskazano powyżej punktem wyjścia przypisywania odpowiedzialności w organizacji jest rola właściciela biznesowego, decydującego o celowości, finansowaniu i cyklu życia zasobu wspierającego dany proces / usług.
Z kolei odrębnym pojęciem jest właściciel ryzyka zdefiniowany w normie ISO 27005 jako osoba lub podmiot posiadający odpowiedzialność i uprawnienia do zarządzania danym ryzykiem. Wskazane role często kumulują się w rękach jednej osoby. Norma ISO 27005 wskazuje, że właścicielami ryzyka mogą być między innymi najwyższe kierownictwo, komitet ds. bezpieczeństwa, właściciele procesów, właściciele funkcji, menedżerowie działów oraz właściciele aktywów. Oznacza to, że właściciel biznesowy zasobu może być jednocześnie właścicielem ryzyka.
Właściciel biznesowy a osoba odpowiedzialna za SZBI
Należy zauważyć, że w toku operacjonalizacji obowiązków wynikających z nowelizacji wyłania się problem na styku prawa cyberbezpieczeństwa, prawa pracy oraz ochrony danych osobowych. Dotyczy on bezpośrednio zakresu podmiotowego obowiązku weryfikacji personelu.
Zgodnie z art. 8f ust. 1 (w nowej wersji KSC), przed rozpoczęciem realizacji zadań osoba, która ma te zadania realizować, przedstawia podmiotowi informację z Krajowego Rejestru Karnego stwierdzającą niekaralność za przestępstwa przeciwko ochronie informacji. Przepis ten odsyła do zamkniętego katalogu zadań, tj. do obowiązków, o których mowa w art. 8 (ustanowienie i wdrożenie systemu zarządzania bezpieczeństwem informacji) oraz art. 11 (obsługa i zgłaszanie incydentów). W tym kontekście pojawia się pytanie czy każdy właściciel biznesowy aktywu, definiujący cele biznesowe danego zasobu, podlega ustawowemu rygorowi weryfikacji w KRK?
Jak precyzuje uzasadnienie do projektu ustawy, po otrzymaniu przedmiotowego zaświadczenia kierownik dopuszcza osobę do realizacji zadań związanych z systemem zarządzania bezpieczeństwem informacji oraz zgłaszaniem incydentów. Cel tego rozwiązania opiera się na założeniu, iż osoby, które dopuściły się czynów zabronionych przeciwko ochronie informacji, nie dają należytej rękojmi prawidłowego wykonywania powierzonych im zadań z zakresu cyberbezpieczeństwa. Uzasadnienie projektu wprost dostrzega wagę tej ingerencji w prywatność, podnosząc, że jest to istotne w kontekście przetwarzania danych osobowych, jako że dotyczy to danych o karalności w rozumieniu art. 10 RODO. W tym miejscu należy zadań pytanie czy w takim razie należy weryfikować karalność każdej osoby, która ma jakiekolwiek obowiązki w ramach SZBI? W tym osoby nie-technicznej? Z pozoru wydaje się to nadmiarowe. Sprawa jest jednak nieoczywista i należy liczyć w tym przypadku na stanowisko UODO.
Do czasu zajęcia stanowiska przez organ nadzorczy, podmiotom objętym zmianą w KSC należy zalecać daleko posuniętą ostrożność. Należy badać faktyczną rolę tych podmiotów. Moim zdaniem krytyczne będzie tu przypisanie odpowiedzialności jakie wskazane osoby pełniące funkcje biznesowe ponoszą w toku analizy ryzyka. Argumentem przemawiającym za koniecznością pozyskania informacji z Krajowego Rejestru Karnego od właścicieli biznesowych (jeżeli będą mieć role w zakresie analizy ryzyka) jest literalne brzmienie art. 8 ust. 1 pkt 1 nowej KSC. Przepis ten wprost definiuje, że przeprowadzanie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem jest elementem funkcjonowania SZBI.
Kaskadowanie zadań i zarządzanie uprawnieniami użytkowników
Drugim elementem wdrażania siatki ról i odpowiedzialności jest określenie zasad korzystania z zasobów przez wszystkich użytkowników w organizacji.
Ustawodawca wyznaczył w tym zakresie rygorystyczne zasady. Przykładowo w załączniku nr 4 do ustawy o KSC, wymaga się dopuszczenia do informacji wyłącznie osób posiadających stosowne uprawnienia do systemów informacyjnych, co ma uniemożliwić nieautoryzowany dostęp. Chociaż załącznik nr 4 stanowi zbiór uproszczonych wymagań adresowanych ściśle do podmiotów ważnych będących podmiotami publicznymi, to z perspektywy systemowej należy przyjąć, że będzie miał szersze znaczenie.
Ponadto, cykl życia uprawnień musi mieć charakter dynamiczny, dlatego wymagana jest modyfikacja zakresu praw w przypadku zmiany charakteru wykonywanych zadań oraz bezzwłoczne cofanie uprawnień w sytuacji utraty podstawy dostępu, a także ich zawieszanie w przypadku nie wykonywania obowiązków przez co najmniej jeden miesiąc. Mechanizm ten odpowiada wytycznym normy ISO 27001, nałożonym w obszarze przydzielania, przeglądania, modyfikowania i odbierania praw dostępu.
W tym miejscu należy też podkreślić formalny aspekt dostępu do informacji, w tym w zakresie oświadczeń o zachowaniu poufności. W tym zakresie KSC nie jest tak precyzyjna jak RODO i głównie skupia się na ocenie ryzyka. Moim zdaniem jednak odebranie niezbędnych oświadczeń będzie standardem. Wagę tego formalnego problemu dobrze pokazuje ostatnia decyzja Prezesa UODO w odniesieniu do upoważnień do przetwarzania danych osobowych i kary dla DPD (zob. https://uodo.gov.pl/pl/138/4075). Choć rozstrzygnięcie to nie zapadło na gruncie dyrektywy NIS 2, ukazuje analogiczny problem zarządczy. Jak wskazał Prezes UODO: „administrator nie udzielał pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych […]. W zamyśle spółki, nowym pracownikom upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia […]. Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia. Wobec powyższego, PUODO uznał, że generowanego automatycznie z systemu pliku o niejasnej treści nie można zakwalifikować jako upoważnienia”. Prowadzi to do konkluzji, że w architekturze cyberbezpieczeństwa automatyzacja procesów IT nie zwalnia organizacji z formalnej, personalnej odpowiedzialności za dostęp.
Podsumowanie
Reasumując, następstwem inwentaryzacji zasobów informatycznych musi być wdrożenie siatki ról i odpowiedzialności. Wyznaczenie właścicieli biznesowych, pełniących nierzadko funkcję właścicieli ryzyka, jest warunkiem koniecznym dla skutecznego kaskadowania zadań. Właściwe przypisanie odpowiedzialności w SZBI obejmuje szerokie spektrum działań operacyjnych, takich jak systematyczne monitorowanie podatności technicznych, proaktywne monitorowanie zagrożeń w sieciach, restrykcyjne zarządzanie uprawnieniami (w tym bezwzględne ograniczanie kont uprzywilejowanych), czy weryfikacja łańcucha dostawców.
Zostaw komentarz
Musisz się zalogować lub zarejestrować aby dodać nowy komentarz.