Dyrektywa NIS[1] oraz implementujące ją krajowe regulacje identyfikują operatorów usług kluczowych (OUK) działających w sektorach wskazanych we właściwych przepisach. Są to podmioty, które powinny reprezentować wysoki poziom odporności na incydenty cyberbezpieczeństwa ze względu na społeczne i gospodarcze znaczenie świadczonych przez nie usług. Dla prawidłowego i efektywnego wdrożenia dyrektywy NIS konieczne jest zapewnienie spójnego podejścia do identyfikacji tych podmiotów przez państwa członkowskie. Problematyka podejścia do OUK na poziomie krajowym była w ostatnim czasie przedmiotem dwóch unijnych raportów.

Unijne raporty

Pierwszy z raportów został opublikowany 28 października 2019 r. przez Komisję Europejską. Raport ten to w istocie sprawozdanie oceniające spójność podejść przyjętych przez państwa członkowskie w procesie identyfikacji OUK (dalej: Sprawozdanie KE)[2]. Miesiąc później, 27 listopada 2019 r., Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała raport na temat zarządzania incydentami w państwach członkowskich (dalej: Raport ENISA)[3].

Powodem do prezentacji analiz poświęconych tym obszarom była stosunkowo niedawna implementacja dyrektywy NIS do prawodawstwa państw członkowskich i chęć przeglądu regulacji krajowych, zwłaszcza pod kątem ich spójności. W obydwu wspomnianych dokumentach przedstawiono między innymi ciekawe wnioski dotyczące systemów cyberbezpieczeństwa indywidualnych państw członkowskich oraz szczególnej pozycji i znaczenia OUK. Sporo uwagi poświęcono w nich nieraz znacząco odmiennym podejściom prezentowanym przez poszczególne kraje.

Operatorzy usług kluczowych w ustawie o KSC

Jak wskazano w Sprawozdaniu KE[4], spójne unijne podejście do identyfikacji OUK ma doniosłe znaczenie z kilku powodów. Może ono zmniejszyć ryzyka związane z transgranicznymi zależnościami i rozbieżnościami w interpretacji dyrektywy NIS oraz zapewnić równe warunki działania operatorów na rynku wewnętrznym.

Przed omówieniem kontekstu europejskiego warto przedstawić, jak wygląda pozycja OUK w polskiej implementacji dyrektywy NIS, czyli w ustawie o KSC[5].

Zgodnie z tą regulacją dany podmiot będzie kwalifikował się jako operator usługi kluczowej, jeżeli spełnia trzy kryteria[6]:

  1. ustrojowe – jest podmiotem, o którym mowa w załączniku nr 1 do ustawy o KSC i który dodatkowo posiada jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej;
  2. formalne – organ właściwy ds. cyberbezpieczeństwa wydał w stosunku do niego decyzję;
  3. materialne – spełnia wymagania określone w art. 5 ust. 2 ustawy o KSC, tj.: świadczy usługę kluczową; świadczenie tej usługi zależy od systemów informacyjnych; incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora (zgodnie z progami wynikającymi z przepisów wykonawczych).

Przyjmując perspektywę Raportu ENISA i Sprawozdania KE, należy zwrócić szczególną uwagę na kryterium ustrojowe, z którego jasno wynika, że operatorem usługi kluczowej może być tylko podmiot mieszczący się w katalogu ujętym w załączniku nr 1 do ustawy o KSC.

Warto przy tym zaznaczyć, że z porównania katalogów zawartych w dyrektywie NIS i polskiej ustawie o KSC wynika, iż co do zasady pokrywają się one, jeśli chodzi o rodzaje sektorów działalności. Pewne różnice w tym względzie zostaną omówione w dalszej części artykułu.

Poniżej przedstawiamy w formie tabeli sektory, podsektory oraz przykładowe usługi zawarte w załączniku nr 1 do ustawy o KSC oraz w rozporządzeniu dotyczącym wykazu usług kluczowych (dalej: Rozporządzenie)[7].

tabela1

Jednocześnie należy podkreślić, że kwalifikacja danego podmiotu jako OUK jest zależna od spełnienia przezeń progów istotności skutku zakłócającego incydentu. Oznacza to, że nie każdy podmiot działający w określonym sektorze i wykonujący usługę kluczową zostanie uznany za OUK. Jeżeli usługodawca zostanie zidentyfikowany jako OUK, ale z uwagi na różne czynniki – np. dotyczące skali prowadzonej działalności – jego działalność przestanie po pewnym czasie spełniać określone progi, organ właściwy ds. cyberbezpieczeństwa może stwierdzić wygaśnięcie decyzji. Proces identyfikacji OUK ma zatem charakter ciągły, a skład grupy zidentyfikowanych podmiotów może się zmieniać.

Zgodnie z informacjami dotyczącymi stanu na połowę października, przedstawionymi 14 listopada 2019 r. przez delegatów Ministerstwa Cyfryzacji na konferencji Advanced Threat Summit, wyznaczono 156 podmiotów, w tym w sektorze:

  1. zdrowia – 28 (identyfikacja niezakończona),
  2. energii – 69 (identyfikacja niezakończona),
  3. zaopatrzenia w wodę – 4 (identyfikacja niezakończona),
  4. transportu – 27 (identyfikacja zasadniczo zakończona),
  5. bankowym – 20 (identyfikacja zasadniczo zakończona),
  6. infrastruktury cyfrowej – 8 (identyfikacja zasadniczo zakończona).

OUK graf

Na marginesie warto odnotować, że w ustawie o KSC zawarto definicję operatora usługi kluczowej (art. 5 ust. 1 ustawy o KSC), a nie definicję operatora usług kluczowych (art. 4 pkt 4 dyrektywy NIS). Ten niuans językowy ma spore znaczenie, ponieważ „identyfikacja takiego operatora dotyczy danej świadczonej usługi i wiąże się z obowiązkami w zakresie cyberbezpieczeństwa dotyczącymi tej usługi”[8]. Jeżeli zatem operator świadczy kilka usług, to względem każdej konkretnej usługi, która kwalifikuje się jako usługa kluczowa, powinna zostać wydana odrębna decyzja o uznaniu za operatora usługi kluczowej[9]. Będzie to miało duże znaczenie w odniesieniu do identyfikacji danego podmiotu jako OUK, jeśli określona usługa kluczowa znajdzie się w przyszłości poniżej lub powyżej progów wskazanych w Rozporządzeniu. To właśnie kryterium będzie bowiem rozstrzygające dla uznania, czy dany podmiot pozostaje OUK w zakresie danej usługi, czy też status ten utracił (por. również rozważania powyżej).

Identyfikacja operatorów usług kluczowych w kontekście Sprawozdania KE

Jak wskazano w Sprawozdaniu KE, państwa członkowskie przyjęły odmienne metody identyfikacji OUK – zróżnicowanie dotyczy takich elementów jak: rodzaje usług kluczowych, progi istotności skutku zakłócającego incydentu, stopień centralizacji, organy odpowiedzialne za identyfikację oraz ocena zależności od sieci i systemów informatycznych[10].

Przykładowo: ustawa o KSC zawiera szerszy niż określony w dyrektywie NIS katalog podsektorów w obrębie sektora energetycznego (wydobywanie kopalin i ciepło), a w ślad za tym – długą listę operatorów usług kluczowych w tym obszarze. Jest to następstwem określenia w dyrektywie NIS minimalnego poziomu harmonizacji, co oznacza, że państwa członkowskie muszą wdrożyć co najmniej takie rozwiązania, jakie przewidziano w dyrektywie, lecz w pozostałym zakresie mają pewną swobodę, z której – jak wynika ze Sprawozdania KE – rzeczywiście korzystają.

Co ciekawe, różnice można także zauważyć w liczbie zidentyfikowanych usług kluczowych. Waha się ona w państwach członkowskich od 12 (Węgry i Holandia) do 87 (Polska). Średnio na każde państwo członkowskie przypada 35 usług[11].

Istotne rozbieżności dotyczą również ogólnej liczby OUK zidentyfikowanych w 25 krajach UE w ramach poszczególnych sektorów i podsektorów. Liczba OUK zgłoszonych Komisji Europejskiej przez poszczególne państwa członkowskie waha się od 20 do 10 897, co daje średnią na poziomie 633 OUK na państwo członkowskie. W Polsce do czasu przekazania danych do KE zidentyfikowano 142 OUK (jak jednak wynika z przedstawionych wyżej statystyk, liczba ta rośnie). W świetle tych danych zastanawiać może, który kraj – i dlaczego – osiągnął wynik zidentyfikowanych OUK na poziomie 10 897? Taką właśnie liczbę OUK zgłosiła Finlandia ze względu na metodę identyfikacji stosowaną tam w sektorze opieki zdrowotnej.

[Identyfikacja operatorów usług kluczowych w kontekście Raportu ENISA]

Raport ENISA, choć poświęcony jest głównie kwestiom dotyczącym incydentów, zawiera także cenne obserwacje z perspektywy OUK. W jednym z kluczowych wniosków wskazano, że wdrożenie dyrektywy NIS stawia przed państwami członkowskimi wyzwania operacyjne i regulacyjne, związane przede wszystkim z prawnymi i administracyjnymi aspektami wyznaczenia operatorów usług kluczowych.

Proces ten może być bardzo złożony, zwłaszcza w przypadku dużych przedsiębiorstw, które prowadzą więcej niż jeden rodzaj działalności. W Raporcie ENISA przywołano przykład podmiotu świadczącego usługi w zakresie wymiany ruchu internetowego (IXP), który może również działać jako dostawca usług chmurowych (czyli – na gruncie dyrektywy NIS – jako dostawca usługi cyfrowej).

Takie przypadki mogą rodzić szczególne problemy w tych państwach członkowskich, w których stosuje się zdecentralizowany model zarządzania incydentami, ponieważ operator usług kluczowych może być zobowiązany do raportowania incydentów kilku organom sektorowym, co z kolei może powodować nakładanie się i powielanie działań właściwych organów. Polski ustawodawca uregulował tę kwestię, przewidując zdecentralizowany model w zakresie organów właściwych do spraw cyberbezpieczeństwa (właściwi ministrowie oraz KNF); jeśli zaś chodzi o raportowanie incydentów, zdecydowana większość OUK powinna przekazywać informacje do CSIRT NASK.

Wymiana informacji w zakresie zarządzania incydentami jako wyzwanie regulacyjne

W Raporcie ENISA zwrócono też uwagę na kwestię usytuowania CSIRT względem krajowych organów ochrony danych osobowych. W przypadku naruszenia bezpieczeństwa związanego z danymi osobowymi o incydencie powiadomić należy nie tylko krajowy CSIRT, lecz także krajowe organy ochrony danych – zgodnie z odrębnymi w tym zakresie regulacjami RODO. Obowiązek ten będzie szczególnie istotny dla sektora bankowego czy sektora zdrowia, w których przetwarzane są duże zbiory danych zawierające informacje wrażliwe.

W części państw może jednak brakować powiązania między krajowym CSIRT a krajowym organem ochrony danych na poziomie regulacji prawnych, dlatego też zasadne jest wprowadzenie przynajmniej praktycznych, organizacyjnych zasad wymiany informacji i ustalenia kanału komunikacji między organami właściwymi w sprawach incydentów cyberbezpieczeństwa, w których naruszeniu ulegają także dane osobowe.

Na mocy art. 34 ust. 2 ustawy o KSC, polskie CSIRT, koordynując obsługę incydentu, który doprowadził do naruszenia ochrony danych osobowych, współpracują z organem właściwym do spraw ochrony danych osobowych. CSIRT powinny poinformować Prezesa UODO o zgłoszonych incydentach, które doprowadziły do naruszenia ochrony danych osobowych[12]. Warto odnotować, że ze względu na znaczną intensywność oparcia gospodarki o dane, współpraca między wskazanymi tu organami jest niezbędna, ponieważ wiele incydentów będzie stanowiło jednocześnie naruszenie przepisów RODO.

Pozostałe wnioski z Raportu ENISA

W Raporcie ENISA zwrócono szczególną uwagę na kilka kluczowych wniosków, rozwiniętych w nim szerzej na gruncie zgromadzonych danych. Przede wszystkim kultura organizacyjna i zasoby państw członkowskich mają duży wpływ na ukształtowanie krajowego systemu zarządzania incydentami. Pozytywnym skutkiem wdrożenia dyrektywy NIS jest uporządkowanie, a także dokładne uregulowanie oraz wyjaśnienie roli i obowiązków podmiotów w ramach organizacji zarządzania incydentami cyberbezpieczeństwa.

Pozytywnym zjawiskiem jest również rosnąca liczba inicjatyw w obszarze współpracy sektorowej i wymiany informacji. Niestety zakres współpracy między danymi podmiotami nie zawsze jest jasno zdefiniowany, co może odbijać się negatywnie na skuteczności prowadzonych działań.

Podsumowanie

Przyjęcie dyrektywy NIS oraz jej implementacja do krajowych porządków prawnych zwiększyły świadomość potrzeby zapewnienia cyberbezpieczeństwa w branżach częściowo lub w całości opartych o dane. Nawet jeśli państwa członkowskie jeszcze nie wykonały wszystkich obowiązków w zakresie OUK[13], a podjęte dotychczas działania stanowią zaledwie początek drogi, trudno nie oceniać tych działań jako zdecydowanie potrzebnych i wpływających korzystnie na ekosystem cyberbezpieczeństwa.

Pozytywnym efektem wdrożenia dyrektywy NIS jest także rosnąca ilość transgranicznych inicjatyw dotyczących cyberbezpieczeństwa. Aby jednak zagwarantować jasny zakres działania podmiotów uczestniczących w tego typu przedsięwzięciach, należy zapewnić odpowiednie kanały przepływu informacji na poziomie zarówno organów krajowych, jak i państw członkowskich.

Podsumowując, można podkreślić, iż systemowe podejście do regulacji cyberbezpieczeństwa jest niezbędne w rzeczywistości Przemysłu 4.0. Tym bardziej więc cieszą podejmowane przez UE, w tym także właściwej w tym zakresie ENISA, inicjatywy dotyczące cyklicznego monitorowania stosowania dyrektywy w poszczególnych państwach członkowskich.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 194 z 19.07.2016, s. 1).

[2] Sprawozdanie Komisji dla Parlamentu Europejskiego i Rady oceniające spójność podejść przyjętych przez państwa członkowskie w procesie identyfikacji operatorów usług kluczowych zgodnie z art. 23 ust. 1 dyrektywy (UE) 2016/1148 w sprawie bezpieczeństwa sieci i informacji (COM(2019) 546 final); dostęp: https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:52019DC0546&from=EN.

[3] EU MS Incident Response Development Status Report; dostęp: https://www.enisa.europa.eu/publications/eu-ms-incident-response-development-status-report/.

[4] Zob. Sprawozdanie KE, s. 2–4.

[5] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2018 r., poz. 1560 ze zm.).

[6] Zob. M. Wilbrandt-Gotowicz, „Komentarz do art. 5 UKSC”, [w:] K. Czaplicki, A. Gryszczyńska, G. Szpor (red.), Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, WKP 2019, LEX.

[7] Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz. U. z 2018 r., poz. 1806).

[8] Por.: M. Wilbrandt-Gotowicz, „Komentarz do art. 5 UKSC”…

[9] Por.: Tamże.

[10] Sprawozdanie KE, s. 8.

[11] Tamże, s. 10.

[12] Zob.: K. Prusak-Górniak, K. Silicki, „Komentarz do art. 34 UKSC”, [w:] K. Czaplicki, A. Gryszczyńska, G. Szpor (red.), Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, WKP 2019, LEX.

[13] Jak zaznaczono powyżej, w Polsce wciąż trwa analiza i identyfikacja operatorów usług kluczowych w poszczególnych sektorach wskazanych w ustawie o KSC, mimo iż proces ten miał się zakończyć do 9 listopada 2018 r. (art. 86 ustawy o KSC).