Nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa – jakie wprowadza zmiany?
25 marca 2022 r. na stronie internetowej Rządowego Centrum Legislacji opublikowany został projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z dnia 15 marca 2022 r.[1] (dalej również: „projekt nowelizacji”), zapowiadany od wielu tygodni przez Pełnomocnika Rządu ds. Cyberbezpieczeństwa Janusza Cieszyńskiego. Prace nad nowym projektem miały nabrać tempa z początkiem roku, jednak zostały opóźnione – na opóźnienie najprawdopodobniej miała też wpływ rosyjska inwazja na Ukrainę i związane z tym zwiększone zaangażowanie w zapobieganie ewentualnym atakom cybernetycznych na polską infrastrukturę rządową. Poprzedni projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, z dnia 12 października 2021 r.[2], wywołał wiele emocji i kontrowersji, w szczególności ze względu na procedurę dotyczącą uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka oraz na możliwość wydawania przez ministra właściwego ds. informatyzacji poleceń zabezpieczających – do projektu ustawy zgłoszonych zostało wiele uwag, pochodzących m.in. od organizacji zrzeszających przedsiębiorców, lecz niestety w opublikowanych na RCL materiałach brak jest odniesienia się do tych uwag.
Przedsiębiorcy komunikacji elektronicznej włączeni do krajowego systemu cyberbezpieczeństwa
Najistotniejszą zmianą w stosunku do wcześniejszego (szóstego) projektu nowelizacji z dnia 12 października 2021 r. jest włączenie do krajowego systemu cyberbezpieczeństwa przedsiębiorców komunikacji elektronicznej, przy czym definicja „przedsiębiorcy komunikacji elektronicznej” na gruncie projektu nowelizacji pozostaje zbieżna z definicją pochodzącą z projektu ustawy – Prawo komunikacji elektronicznej z dnia 2 grudnia 2021 r.[3], który również nieustannie od dwóch lat jest nadal procedowany. Zgodnie za obecną wersją projektu nowelizacji UKSC za przedsiębiorcę komunikacji elektronicznej uznaje się nie tylko przedsiębiorcę telekomunikacyjnego (np. operatora telekomunikacyjnego), lecz także wszystkie inne podmioty świadczące publicznie dostępną usługę komunikacji interpersonalnej niewykorzystującą numerów (a więc m.in. podmioty świadczące usługi poczty elektronicznej, usługi przekazywania wiadomości, a także dostarczający czaty grupowe, czy różnego rodzaju komunikatory). Zmiana ta stanowi istotne rozszerzenie zakresu podmiotów, do których należy stosować przepisy ustawy o krajowym systemie cyberbezpieczeństwa – zgodnie bowiem z projektem nowelizacji z dnia 12 października 2021 r. krajowym systemem cyberbezpieczeństwa mieli być objęci wyłącznie przedsiębiorcy telekomunikacyjni. Natomiast zgodnie z obecną wersją projektu nowelizacji UKSC wszyscy przedsiębiorcy komunikacji elektronicznej będą podlegać przepisom ustawy o krajowym systemie cyberbezpieczeństwa, niezależnie od wielkości oraz niezależnie od tego, czy mogą zostać zakwalifikowani jako operatorzy usług kluczowych czy dostawcy usług cyfrowych. Warto również odnotować, że w najnowszym projekcie nowelizacji zrezygnowano z pomysłu zakresowego stosowania ustawy o krajowym systemie cyberbezpieczeństwa do przedsiębiorców komunikacji elektronicznej – zgodnie z najnowszym projektem należy do nich stosować całą ustawę, chyba że wyraźne wyłączenie wynika z przepisów szczególnych.
Szczególne obowiązki przedsiębiorców komunikacji elektronicznej
W związku z włączeniem przedsiębiorców komunikacji elektronicznej do krajowego systemu cyberbezpieczeństwa projekt nowelizacji zakłada także wprowadzenie całkowicie nowego rozdziału 4a, który reguluje ich szczególne obowiązki w zakresie cyberbezpieczeństwa. Obowiązki te mają zostać nałożone na wszystkich przedsiębiorców komunikacji elektronicznej, a więc w szczególności na podmioty takie jak dostawcy poczty elektronicznej, czy podmioty dostarczające usługi przekazywania wiadomości, czaty grupowe, czy różnego rodzaju komunikatory.
Przedsiębiorcy komunikacji elektronicznej mają być zobowiązani m.in. do:
- uwzględniania możliwości wystąpienia sytuacji szczególnego zagrożenia (a więc m.in. sytuacji stanowiących bezpośrednie zagrożenie dla bezpieczeństwa sieci i usług komunikacji elektronicznej czy sytuacji wymagających współpracy przedsiębiorców komunikacji elektronicznej z organami administracji publicznej i innymi podmiotami w czasie obowiązywania stanów nadzwyczajnych czy w warunkach zewnętrznego zagrożenia bezpieczeństwa państwa i w czasie wojny);
- przeprowadzania udokumentowanego, systematycznego szacowania ryzyka wystąpienia ww. sytuacji;
- publikowania na swoich stronach internetowych m.in. informacji o potencjalnych zagrożeniach związanych z korzystaniem przez użytkowników z usług komunikacji elektronicznej, o rekomendowanych środkach ostrożności i najbardziej popularnych sposobach zabezpieczania telekomunikacyjnych urządzeń końcowych przed oprogramowaniem złośliwym lub szpiegującym czy o przykładowych konsekwencjach braku lub nieodpowiedniego zabezpieczenia telekomunikacyjnych urządzeń końcowych;
- informowania na swojej stronie internetowej o incydencie telekomunikacyjnym i jego wpływie na dostępność świadczonych usług, jeżeli wpływ ten jest istotny;
- informowania użytkowników o przypadkach szczególnego i znacznego zagrożenia wystąpienia incydentu telekomunikacyjnego;
- podejmowania środków technicznych i organizacyjnych zapewniających poufność, integralność, dostępność i autentyczność przetwarzanych danych oraz adekwatny poziom cyberbezpieczeństwa, a także dokumentowania podjęcia takich środków.
Warto zwrócić uwagę na to, że minimalny poziom ww. środków technicznych i organizacyjnych, do których podjęcia zobowiązani mają być przedsiębiorcy komunikacji elektronicznej, będzie mógł zostać określony w rozporządzeniu wydanym przez ministra właściwego ds. informatyzacji. Wydaje się, że wydanie takiego rozporządzenia znacznie ułatwiłoby wypełnienie wspomnianych obowiązków, przede wszystkim przez mniejszych przedsiębiorców komunikacji elektronicznej. Warto również podkreślić, że Prezes Urzędu Komunikacji Elektronicznej (UKE) ma w tym zakresie uzyskać szczególne uprawnienia kontrolne. Prezes UKE będzie mógł w drodze decyzji administracyjnej nałożyć na przedsiębiorcę komunikacji elektronicznej m.in. obowiązek uzupełnienia i właściwego zastosowania środków technicznych i organizacyjnych na rzecz cyberbezpieczeństwa czy poddania się przez przedsiębiorcę komunikacji elektronicznej (na jego koszt) audytowi bezpieczeństwa.
Wszyscy przedsiębiorcy komunikacji elektronicznej mają mieć również obowiązek:
- zapewnienia obsługi incydentów telekomunikacyjnych – całkowicie nowej kategorii incydentów, obejmującej wszelkie zdarzenia, które mają rzeczywisty, niekorzystny skutek dla bezpieczeństwa sieci i usług komunikacji elektronicznej;
- zgłaszania poważnych incydentów telekomunikacyjnych w ciągu 24 godzin do nowego, utworzonego specjalnie z myślą o sektorze telekomunikacyjnym CSIRT Telco (przy czym progi dla uznania incydentu telekomunikacyjnego za poważny incydent telekomunikacyjny zostaną określone w rozporządzeniu ministra właściwego ds. informatyzacji);
- współdziałania z właściwymi CSIRT w obsłudze poważnych incydentów telekomunikacyjnych.
Świadomość zakresu obowiązków przedsiębiorców komunikacji elektronicznej na gruncie projektowanej nowelizacji jest niezwykle istotna z uwagi na grożące tym przedsiębiorcom wysokie kary za niewypełnienie większości tych obowiązków (m.in. w zakresie obsługi i zgłaszania incydentów telekomunikacyjnych czy szacowania ryzyka i podejmowania odpowiednich środków technicznych i organizacyjnych na rzecz cyberbezpieczeństwa). Kary te mogą wynosić do 3% wartości przychodu danego podmiotu za poprzedni rok kalendarzowy (w szczególnych przypadkach, gdy dany podmiot w ostatnich trzech latach kalendarzowych przed wymierzeniem kary nie osiągnął przychodu lub osiągnął przychód w wysokości nieprzekraczającej 500 000 zł, kara to może wynosić maksymalnie 15 000 zł).
Niezależnie od powyższego, należy pamiętać o tym, że w pewnych szczególnych sytuacjach przedsiębiorca komunikacji elektronicznej może zostać uznany za operatora usługi kluczowej (np. w przypadku podmiotów prowadzących punkt wymiany ruchu internetowego) lub też być jednocześnie dostawcą usług cyfrowych – w takiej sytuacji, oprócz obowiązków wynikających z rozdziału 4a, taki podmiot będzie musiał wypełnić wszystkie obowiązki przewidziane dla operatorów usług kluczowych lub dostawców usług cyfrowych, za których naruszenie również mogą zostać wymierzone kary pieniężne.
Ocena bezpieczeństwa systemów informacyjnych
Warto zwrócić uwagę na jeszcze jedno nowe rozwiązanie zaproponowane w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, którym jest przyznanie właściwym CSIRT kompetencji do przeprowadzenia oceny bezpieczeństwa systemów informacyjnych wykorzystywanych przez podmioty krajowego systemu cyberbezpieczeństwa, w tym operatorów usług kluczowych, dostawców usług cyfrowych i przedsiębiorców komunikacji elektronicznej. Ocena taka polegać ma na przeprowadzeniu testów bezpieczeństwa systemu informacyjnego w celu identyfikacji jego podatności. Nie jest przy tym jasne, jakie „systemy informacyjne” mają być przedmiotem audytu ze strony CSIRT – definicja „systemu informacyjnego” z projektu nowelizacji ustawy odwołuje się bowiem do definicji „systemu teleinformatycznego” z Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne[4], która ma bardzo szeroki zakres i może obejmować szereg różnych systemów informatycznych, w tym komercyjne systemy do obsługi przedsiębiorstw typu ERP czy CRM. Co jednak niezwykle istotne, poddanie się ocenie bezpieczeństwa systemów informacyjnych ma być w pełni dobrowolne – może się bowiem odbyć jedynie za zgodą podmiotu krajowego systemu cyberbezpieczeństwa.
Uznanie dostawcy za dostawcę wysokiego ryzyka i polecenia zabezpieczające
Ważne jest również to, że mimo bardzo silnego sprzeciwu i wielu uwag zgłaszanych przez przedsiębiorców na wcześniejszym etapie prac nad nowelizacją UKSC, w najnowszym, marcowym projekcie nowelizacji UKSC, utrzymane zostały kompetencje ministra właściwego ds. informatyzacji w zakresie uznania dostawcy za dostawcę wysokiego ryzyka oraz wydawania poleceń zabezpieczających w przypadku wystąpienia incydentu krytycznego (więcej pisaliśmy o nich na naszym blogu), choć w obecnej wersji nowelizacji zaproponowano pewne nieznaczne zmiany.
W pierwszej kolejności, jeżeli chodzi o decyzję w sprawie uznania dostawcy za dostawcę wysokiego ryzyka, należy zwrócić uwagę na to, że:
- przed wydaniem takiej decyzji obligatoryjne jest przeprowadzenie analizy dotyczącej wpływu konkretnych produktów, usług lub procesów na bezpieczeństwo usług;
- ewentualna decyzja uznająca dostawcę za dostawcę wysokiego ryzyka nie jest wiążąca dla przedsiębiorców komunikacji elektronicznej (z wyjątkiem przedsiębiorców telekomunikacyjnych obowiązanych posiadać aktualne i uzgodnione plany działań w sytuacjach szczególnych zagrożeń oraz takich przedsiębiorców komunikacji elektronicznej, którzy są równocześnie operatorami usług kluczowych), co oznacza, że podmioty te nie są objęte zakazem użytkowania produktów i usług (m.in. sprzętu i oprogramowania) wyprodukowanych przez tego dostawcę, a także nie są zobowiązane do wycofania z użytku tych produktów i usług – kwestia ta może być szczególnie istotna dla operatorów telekomunikacyjnych, którzy wybudowali infrastrukturę telekomunikacyjną na podstawie urządzeń dostawcy, który następnie został uznany za dostawcę wysokiego ryzyka;
- wprowadzona została nowa administracyjna kara pieniężna w wysokości do 50 000 zł, która może zostać nałożona na podmiot, który nie przekazuje, na wniosek uprawnionych organów, informacji o wycofywanych typach produktów, usług i procesów w zakresie objętym decyzją o uznaniu za dostawcę wysokiego ryzyka, a także możliwość nałożenia indywidualnej kary pieniężnej na kierującego takim podmiotem w wysokości do 300% jego miesięcznego wynagrodzenia.
Niezależnie od powyższego projekt nowelizacji nadal nie przewiduje możliwości złożenia wniosku o ponowne rozpatrzenie sprawy w przypadku decyzji uznającej danego dostawcę za dostawcę wysokiego ryzyka, a decyzja ta wciąż ma podlegać natychmiastowemu wykonaniu.
W zakresie instytucji polecenia zabezpieczającego, to poza koniecznością przeprowadzenia przed ich wydaniem bardziej pogłębionej analizy nie zdecydowano się na wprowadzenie znaczących zmian w stosunku do wersji projektu nowelizacji UKSC z października 2021 r. W związku z tym zastrzeżenia dotyczące nieokreśloności tej decyzji administracyjnej, jak również wątpliwości dotyczące proponowanych rozwiązań procedury administracyjnej (m.in. w zakresie nadania takiej decyzji rygoru natychmiastowej wykonalności czy pozbawienia możliwości złożenia wniosku o ponowne rozpatrzenie sprawy) pozostają nadal aktualne, mimo zgłoszenia szeregu uwag przez podmioty zainteresowane.
Inne nowości w projekcie nowelizacji
Poza opisanymi powyżej zagadnieniami projekt nowelizacji przewiduje również inne zmiany – dokonano m.in. podziału SOC (zespołów pełniących funkcję operacyjnego centrum bezpieczeństwa) na SOC wewnętrzne (utworzone w ramach struktury operatora usługi kluczowej) i SOC zewnętrzne (zewnętrzne podmioty świadczące usługi SOC na rzecz operatora usługi kluczowej) oraz usunięto rozdział dotyczący utworzenia Funduszu Cyberbezpieczeństwa czy przepisy odnoszące się do przyznawania świadczenia teleinformatycznego (w związku z uregulowaniem obu tych kwestii w osobnej ustawie[5]).
Dalsza ścieżka legislacyjna
Projekt nowelizacji uzyskał rekomendację Stałego Komitetu Rady Ministrów i ma zostać rozpatrzony przez Komitet Rady Ministrów do spraw Bezpieczeństwa Narodowego i spraw Obronnych, a następnie wrócić do Stałego Komitetu Rady Ministrów. Prace legislacyjne powinny teraz nabrać tempa i wydaje się, że równolegle z pracami nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa procedowany powinien być projekt ustawy – Prawo komunikacji elektronicznej – z uwagi na istniejące silne powiązania pomiędzy tymi aktami prawnymi. Mając jednocześnie na uwadze długą historię projektów nowelizacji tych przepisów, pewności co do tego kiedy uchwalone zostaną ich finalne wersje i czy będą one zbieżne z obecnie przedstawionymi propozycjami – nie ma.
[1] Zob. projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw z dnia 15 marca 2022 r., dostępny pod adresem: https://legislacja.rcl.gov.pl/projekt/12337950 (dostęp: 29.03.2022).
[2] Zob. projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw z dnia 12 października 2021 r., dostępny pod adresem: https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-ustawy-prawo-zamowien-publicznych.html (dostęp: 29.03.2022).
[3] Zob. projekt ustawy – Prawo komunikacji elektronicznej z dnia 2 grudnia 2021 r., dostępny pod adresem: https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/projekt-ustawy-prawo-komunikacji-elektronicznej.html (dostęp: 29.03.2022).
[4] T.j. Dz. U. z 2021 r., poz. 2070, ze zm.
[5] Zob. Ustawa z dnia 2 grudnia 2021 r. o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa (Dz. U. poz. 2333).