W piątek, 26 kwietnia 2019 r. Ministerstwo Cyfryzacji gościło przedsiębiorców świadczących usługi z zakresu cyberbezpieczeństwa na spotkaniu poświęconym zgłoszonym uwagom. Dotyczyły one zarówno ustawy o krajowym systemie cyberbezpieczeństwa, jak i wydanego na jej podstawie rozporządzenia w sprawie warunków organizacyjnych i technicznych dla operatorów usług kluczowych. W trakcie spotkania wywiązała się burzliwa dyskusja na temat wymogów nałożonych na przedsiębiorców w rozporządzeniu

Rozporządzenie Ministra Cyfryzacji

Ustawodawca przesądził w art. 14 ustawy o krajowym systemie cyberbezpieczeństwa[1], iż obowiązki nałożone ustawą na operatorów usług kluczowych[2], obejmujące m.in. prowadzenie systematycznego szacowania ryzyka, zarządzanie incydentami czy zapewnienie osoby kontaktowej dla podmiotów krajowego systemu cyberbezpieczeństwa, mają być realizowane przez wewnętrzne struktury organizacyjne operatora bądź przez zewnętrzny podmiot świadczący usługi z zakresu cyberbepieczeństwa. Przywołany przepis ustanawia wobec tych struktur i podmiotów pewne ogólne wymogi, dotyczące zwłaszcza dysponowania odpowiednimi pomieszczeniami i zabezpieczeniami, a jednocześnie daje Ministrowi Cyfryzacji podstawę do dookreślenia dalszych, szczegółowych warunków organizacyjnych i technicznych. Minister skorzystał z tego uprawnienia, wydając 10 września 2018 r. rozporządzenie w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo[3].

Podczas spotkania podnoszono, że rozporządzenie odchodzi od przyjętego w ustawie o krajowym systemie cyberbezpieczeństwa risk-based approach, tj. podejścia opartego na ryzyku, nakładając bardzo konkretnie określone wymogi na podmioty świadczące usługi z zakresu cyberbezpieczeństwa bądź wewnętrzne struktury operatorów usług kluczowych. Wskazywano, przykładowo, iż ustawodawca sprecyzował w rozporządzeniu grubość ścian zewnętrznych czy wymagania wobec odporności drzwi wejściowych. Przedsiębiorcy oraz przedstawiciele operatorów usług kluczowych podkreślali, że w wielu przypadkach spełnienie tych wymogów będzie nadmiarowe, a dodatkowo będzie generować znaczące koszty. Tymczasem zastosowanie podejścia opartego na ryzyku pozwoliłoby dobrać adekwatne środki, które – w ocenie uczestników spotkania – mogłyby być inne niż zaproponowane w rozporządzeniu.

Rewizja rozporządzenia nie jest jednak jeszcze przesądzona. Przedstawiciel Ministerstwa Cyfryzacji zapowiedział, że resort przyjrzy się temu aktowi prawnemu pod kątem zgłaszanych uwag .

Przegląd ustawy o krajowym systemie cyberbezpieczeństwa oraz Narodowa Platforma Cyberbezpieczeństwa

Podczas spotkania przekazano także ważne informacje na temat planowanego przeglądu ustawy o Krajowym Systemie Cyberbezpieczeństwa, który ma zostać przeprowadzony jesienią. Termin ten przypada rok po wyznaczeniu pierwszych operatorów usług kluczowych i jest znamienny, gdyż pokrywa się z terminem przeprowadzenia pierwszych audytów bezpieczeństwa systemu informacyjnego przez operatorów usług kluczowych. Można się spodziewać, że Ministerstwo Cyfryzacji odniesie się do uwag zgłoszonych do ustawy.

W trakcie spotkania przedstawiono ponadto aktualny status projektu Narodowej Platformy Cyberbezpieczeństwa. Jego celem jest opracowanie kompleksowego, zintegrowanego systemu monitorowania, obrazowania i ostrzegania o zagrożeniach identyfikowanych w cyberprzestrzeni państwa, ocenę ich potencjalnych skutków oraz skoordynowane reagowanie na incydenty komputerowe na poziomie krajowym. Projekt realizowany jest przez konsorcjum, w skład którego wchodzą: NASK (lider), Instytut Łączności, Politechnika Warszawska i Narodowe Centrum Badań Jądrowych, i ma zostać ukończony w sierpniu 2020 r. Podczas spotkania przedstawiono jego założenia oraz zachęcono operatorów usług kluczowych do współpracy potrzebnej, aby zasilić system danymi.

Na stronie Ministerstwa Cyfryzacji opublikowano podsumowanie spotkania wraz z informacją o podjęciu prac nad zmianą rozporządzenia. (link)

[1] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560).

[2] Podmioty świadczące usługi mające kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, takie jak podmioty z branży energetycznej, transportowej czy ochrony zdrowia.

[3] Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz. U. poz. 1780).