*zgodnie z treścią ustawy przyjętej przez Sejm – uwaga ustawa nie weszła jeszcze w życie
Kwalifikacja podmiotów
Ustawa odchodzi od pojęć operatora usługi kluczowej i dostawcy usługi cyfrowej. Wprowadzono podział na podmioty kluczowe i podmioty ważne. Kwalifikacja opiera się głównie na kryterium wielkości danego podmiotu (średnie i duże przedsiębiorstwa) oraz przynależności do sektora krytycznego (Załącznik nr 1 – podmioty kluczowe) lub wysoce krytycznego (Załącznik nr 2 – podmioty ważne). Istnieją wyjątki niezależne od wielkości, np. dostawcy usług DNS, którzy zawsze będą podmiotami kluczowymi.
Obowiązek samoidentyfikacji i rejestracji
Z pewnymi wyjątkami (np. co do sektora publicznego) ciężar identyfikacji przeniesiono na podmioty. Podobnie jak to ma miejsce na gruncie RODO. Na gruncie obecnie jeszcze obowiązujących przepisów KSC jest inaczej. Identyfikacja co do zasady następuje w drodze decyzji administracyjnej.
Po wejściu nowych przepisów przedsiębiorcy (z pewnymi wyjątkami np. w zakresie usług telekomunikacyjnych) będą musieli samodzielnie ocenić, czy spełniają przesłanki ustawowe. Będą musieli złożyć wniosek o wpis do wykazu prowadzonego przez Ministra Cyfryzacji.
Sektor publiczny
W przypadku podmiotów publicznych nie stosuje się progów wielkości przedsiębiorstwa (mikro, małe, średnie) przy kwalifikacji jako podmiot kluczowy. Podmioty wskazane w załączniku nr 1 do ustawy w sektorze „podmioty publiczne” są uznawane za kluczowe niezależnie od liczby zatrudnionych pracowników. Specyficzna grupa podmiotów publicznych (np. samorządowe jednostki budżetowe, etc.) została zakwalifikowana jako podmioty ważne. Podmioty publiczne będą wpisywane do rejestru Ministra Cyfryzacji z urzędu. W przypadku podmiotów publicznych kwalifikowanych jako ważne istnieć będą pewne specyficzne ograniczenia o czym będzie mowa niżej.
Co jest objęte systemem zarządzania bezpieczeństwa informacji (SZBI)?
Nowe przepisy zmieniają podejście do zakresu ochrony. System zarządzania bezpieczeństwem informacji (SZBI) ma zostać wdrożony w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi, a nie tylko w systemach bezpośrednio świadczących usługę kluczową. Oznacza to objęcie ochroną szerszego spektrum infrastruktury IT podmiotu, w tym systemów wspierających.
Choć struktura obowiązków (analiza ryzyka, polityki bezpieczeństwa) jest w dużej mierze zbieżna z normą ISO 27001, ustawa nie nakłada obowiązku posiadania formalnego certyfikatu. Podmiot musi wykazać zgodność wdrożonych środków z wymogami ustawy, a nie legitymować się certyfikatem, choć normy ISO są wskazywane jako wzorzec.
W kontekście zakresu SZBI wprowadzono zmianę co do rozumienia konsekwencji wystąpienia zagrożeń. Wdrożenie dyrektywy NIS2 wymusza zmianę paradygmatu w podejściu do zarządzania ryzykiem. Nowe przepisy wymagają od podmiotów kluczowych i ważnych, aby w procesie analizy ryzyka wykraczały poza perspektywę operacyjną samej organizacji. Uzasadnienie ustawy podkreśla, że podmioty gospodarcze „nie działają w próżni”, a ich odporność ma bezpośredni wpływ na funkcjonowanie innych sektorów, gospodarki oraz całego społeczeństwa. Dlatego ocena ryzyka musi uwzględniać szerszy katalog dóbr i wartości. Dlatego uzasadnienie m.in. podkreśla, że zaszła konieczność uzupełnienia definicji incydentu poważnego. Zgodnie z uchwaloną przez Sejm zmianą incydent poważny (czyli ten który m.in. wymaga zgłoszenia) jest to incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy lub podmiot ważny – a nie jak do tej pory świadczenia usługi kluczowej przez operatora usługi kluczowej. Ponadto incydentem poważnym będzie też taki, który powoduje straty finansowe dla podmiotu kluczowego i podmiotu ważnego albo wpływa na inne podmioty – osoby fizyczne, osoby prawne i ułomne osoby prawne – w taki sposób, że wywołuje szkodę materialną albo niematerialną.
Bezpośrednia odpowiedzialność i obowiązki kierownika podmiotu
Ustawa przypisuje odpowiedzialność za cyberbezpieczeństwo bezpośrednio kierownikowi podmiotu (np. zarządowi). Odpowiedzialności tej nie można przenieść na inne osoby (np. CISO). Czym innym jest oczywiście przydzielenie zadań w zakresie bezpieczeństwa osobom dedykowanym w organizacji. Kierownik ma obowiązek nadzorować SZBI, zapewnić środki finansowe na cyberbezpieczeństwo oraz odbywać regularne szkolenia. Za zaniedbania grożą osobiste kary pieniężne nakładane na kierownika.
Weryfikacja personelu i dostęp do wiedzy
Wprowadzono wymóg weryfikacji niekaralności osób realizujących zadania z zakresu cyberbezpieczeństwa w podmiotach kluczowych i ważnych (brak skazania za przestępstwa przeciwko ochronie informacji). Ponadto, podmioty te mają obowiązek zapewnić swoim użytkownikom dostęp do wiedzy na temat cyberzagrożeń oraz umożliwić im zgłaszanie incydentów i podatności.
Nowa procedura i terminy zgłaszania incydentów
Wprowadzono trzystopniowy model raportowania incydentów poważnych do właściwego CSIRT sektorowego (lub CSIRT poziomu krajowego, jeśli sektorowy nie istnieje):
- Wczesne ostrzeżenie -> w ciągu 24 godzin od wykrycia incydentu.
- Zgłoszenie incydentu (właściwe) -> w ciągu 72 godzin od wykrycia, zawierające ocenę wstępną i wpływ na usługi.
- Sprawozdanie końcowe -> w ciągu miesiąca od zgłoszenia.
Obligatoryjne środki techniczne i organizacyjne
Przepisy wprost wskazują katalog minimalnych środków bezpieczeństwa, które muszą zostać wdrożone w ramach SZBI. Należą do nich m.in.: polityki kontroli dostępu, bezpieczeństwo łańcucha dostaw, zarządzanie podatnościami i zagrożeniami oraz podstawowe zasady cyberhigieny.
Dla podmiotów ważnych będących podmiotami publicznymi (np. samorządowe jednostki budżetowe) przewidziano wyjątek dotyczący zakresu wymagań. Zamiast pełnego SZBI opartego podmioty te muszą spełnić wymogi określone w Załączniku nr 4 do ustawy. Jest to forma „listy kontrolnej” obejmującej podstawowe zabezpieczenia (techniczne i organizacyjne), takie jak wieloskładnikowe uwierzytelnianie, inwentaryzacja zasobów czy regularne kopie zapasowe.
System zarządzania bezpieczeństwem informacji dla podmiotu ważnego będącego podmiotem publicznym obejmuje np.:
- inwentaryzację produktów ICT, usług ICT i procesów ICT służących do przetwarzania informacji;
- kontrolowanie podstawowych wersji używanego produktów ICT lub usług ICT, a jeżeli to możliwe, korzystanie z mechanizmów kontroli instalacji produktów ICT lub usług ICT na urządzeniach, w tym na urządzeniach mobilnych;
- zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, w zakresie:
- ochrony fizycznej miejsc, w których jest przetwarzana informacja, w przypadku przetwarzania danych w urządzeniach znajdujących się pod kontrolą podmiotu,
- ochrony wykorzystującej oprogramowanie zabezpieczające lub sprzętowe zabezpieczenia, w które są wyposażone urządzenia przetwarzające informacje, albo
- udokumentowania mechanizmów zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami w przypadku korzystania z usług dostawcy chmury obliczeniowej lub dostawcy usługi centrum przetwarzania danych;
- dopuszczenie do informacji wyłącznie osób posiadających stosowne uprawnienia do systemów informacyjnych (w tym systemów operacyjnych, usług sieciowych i aplikacji) oraz zapewnienie środków uniemożliwiających nieautoryzowany dostęp do tych systemów.
Wskazana lista nie dotyczy wprost innych podmiotów (niż ważne w sektorze publicznym) ale może być także punktem odniesienia jako wykaz minimalnych zabezpieczeń.
Bezpieczeństwo łańcucha dostaw
Podmioty ważne / kluczowe muszą uwzględniać bezpieczeństwo łańcucha dostaw produktów i usług ICT. Należy jednak wyraźnie zaznaczyć, że przepisy nie określają wprost wymagań co do audytu dostawców ani obligatoryjnej treści umów z nimi. W tym zakresie rekomendowane jest wzorowanie się na katalogu kwestii wskazanych w art. 28 RODO (umowa powierzenia przetwarzania), co stanowi dobrą praktykę rynkową. Oczywiście nowelizacja ustawy o krajowym systemie cyberpieczeństwa nie zwalnia administratorów danych z zawierania umów powierzenia.
Niezależnie od tego ustawa wprowadza procedurę uznania dostawcy za dostawcę wysokiego ryzyka – decyzja Ministra Cyfryzacji w tym zakresie może skutkować koniecznością wycofania sprzętu lub oprogramowania w terminach wskazanych w przepisach.
Dodatkowo załącznik nr 3 wprowadza „najbardziej wrażliwych” elementów infrastruktury. Lista ta została wprowadzona w kontekście dostawców wysokiego ryzyka. Nie mniej moim zdaniem w kontekście zagrożeń cyberbezpieczeństwa należy tę listę traktować jako jeden z punktów odniesienia (punktów w ramach których materializacja zagrożeń będzie nieść daleko idące konsekwencje).
| Uwierzytelnianie urządzeń użytkowników i zarządzanie prawami dostępu. | AMF – Access & Mobility management Function AUSF – Authentication Server Function |
| Przechowywanie danych kryptograficznych i identyfikacyjnych związanych z użytkownikami końcowymi. | UDM – Unified Data Management |
| Zarządzanie łącznością z urządzeniami użytkowników i alokacja zasobów radiowych. | Radio Base Station Baseband Unit and other features such as Radio Units and antennas |
| Ruting ruchu sieciowego pomiędzy urządzeniami użytkownika a sieciami i aplikacjami innych firm. | UPF – User Plane Function |
| Zarządzanie połączeniami ze sprzętem użytkownika i sesjami. | SMF – Session Management Function |
| Wdrażanie, zarządzanie i monitorowanie polityk dostępu do sieci. | PCF – Policy Control Function |
| Przydzielanie elementu sieci dla połączeń z urządzeniami użytkowników. | NSSF – Network Slice Selection Function |
| Rejestrowanie, autoryzacja i utrzymanie ciągłości usług sieciowych. | NRF – Network Repository Function |
| Zabezpieczenia sieci przed oddziaływaniem aplikacji zewnętrznych. | NEF – Network Exposure Function |
| Zabezpieczenia połączeń z innymi sieciami. | SEPP – Security Edge Protection Proxy |
Zostaw komentarz
Musisz się zalogować lub zarejestrować aby dodać nowy komentarz.