Zapowiadana od dłuższego czasu nowelizacja Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (dalej: „ustawa o KSC”) niedługo stanie się faktem – 7 września 2020 r. do konsultacji publicznych przekazano jej projekt. Chociaż projekt przepisów nie zmienia podstawowych zagadnień regulowanych ustawą (np. obowiązków operatorów usług kluczowych czy dostawców usług cyfrowych), to propozycja nowelizacji spotkała się z dużym zainteresowaniem przedsiębiorców – na prośbę zrzeszających ich organizacji branżowych Ministerstwo Cyfryzacji przedłużyło termin konsultacji publicznych do 6 października 2020 r.

Najważniejsze proponowane zmiany

Poniżej znajduje się podsumowanie najważniejszych zmian przedstawionych w ramach projektu nowelizacji.

  1. Objęcie regulacją ustawy o KSC także przedsiębiorców komunikacji elektronicznej.

Obecnie art. 1 ust. 2 pkt 1 ustawy o KSC wprost wyłącza jej zastosowanie wobec przedsiębiorców telekomunikacyjnych w zakresie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów.

Projektowana regulacja przewiduje natomiast uchylenie tego przepisu i włączenie w krajowy system cyberbezpieczeństwa przedsiębiorców komunikacji elektronicznej. Wyjaśnienia wymaga, że ta propozycja powiązana jest z projektem regulacji Prawa komunikacji elektronicznej – ustawy implementującej Europejski Kodeks Łączności Elektronicznej, która ma zastąpić obecną regulację Prawa telekomunikacyjnego. Więcej na ten temat pisaliśmy w poprzednim wydaniu newslettera, dostępnym pod tym linkiem (s. 2 newslettera).

Nowelizacja ustawy o KSC zakłada dodanie nowego rozdziału 4a, który ma określać obowiązki przedsiębiorców komunikacji elektronicznej, również w zakresie obsługi incydentów telekomunikacyjnych. Warto podkreślić, że obowiązki zostały przewidziane w sposób jednolity dla wszystkich przedsiębiorców komunikacji elektronicznej, niezależnie od tego, jakie usługi świadczą (dotyczy to więc zarówno przedsiębiorców telekomunikacyjnych, jak i podmiotów świadczących usługę komunikacji interpersonalnej niewykorzystującej numerów – np. usługi poczty elektronicznej).

2. Nadanie Kolegium kompetencji w sprawie oceny ryzyka dostawcy sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa podmiotów krajowego systemu cyberbezpieczeństwa (art. 66a ustawy o KSC).

Na mocy nowelizacji istotne kompetencje ma otrzymać Kolegium ds. cyberbezpieczeństwa, czyli organ opiniodawczo-doradczy w sprawach cyberbezpieczeństwa, działający przy Radzie Ministrów (art. 64 ustawy o KSC). Kolegium uprawnione będzie do przeprowadzania oceny ryzyka dostawców sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa podmiotów krajowego systemu cyberbezpieczeństwa.

Kompetencja ta stanowi implementację unijnego Toolboxa 5G, dokumentu wydanego w styczniu 2020 r. przez NIS Cooperation Group, zawierającego zalecenia skierowane do państw członkowskich w zakresie przeciwdziałania ryzykom dla integralności i bezpieczeństwa sieci nowej generacji w Europie. Warto jednak podkreślić, że projektowany przepis przyznający tę kompetencję nie odnosi się wyłącznie do sprzętu lub oprogramowania w zakresie 5G.

Zgodnie z art. 66a ust. 5 ustawy o KSC ocena Kolegium może stwierdzać:

  • wysokie ryzyko – jeżeli dostawca sprzętu lub oprogramowania stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa i zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe;
  • umiarkowane ryzyko – jeżeli dostawca sprzętu lub oprogramowania stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa, a zmniejszenie poziomu tego ryzyka możliwe jest przez wdrożenie środków technicznych lub organizacyjnych;
  • niskie ryzyko – jeżeli dostawca sprzętu lub oprogramowania stanowi niewielkie zagrożenie dla cyberbezpieczeństwa państwa;
  • brak zidentyfikowanego poziomu ryzyka – jeżeli nie stwierdzono zagrożenia dla cyberbezpieczeństwa państwa lub poziom tego zagrożenia jest znikomy.

Ocena Kolegium przekłada się na możliwość wykorzystania sprzętu lub oprogramowania przez podmioty krajowego systemu cyberbezpieczeństwa (art. 66b ustawy o KSC):

  • w przypadku umiarkowanego ryzyka podmioty te nie wprowadzają do użytkowania sprzętu, oprogramowania ani usług określonych w ocenie danego dostawcy, mogą jednak kontynuować dotychczasowe użytkowanie posiadanego już sprzętu i oprogramowania lub nadal korzystać z usług;
  • w przypadku wysokiego ryzyka podmioty te nie tylko nie wprowadzają do użytkowania sprzętu, oprogramowania ani usług określonych w ocenie danego dostawcy, lecz także wycofują z użytkowania sprzęt, oprogramowanie i usługi nie później niż w ciągu 5 lat od dnia ogłoszenia komunikatu o ocenie.

Warto też podkreślić, że powyższe przepisy mogą istotnie wpłynąć na rynek zamówień publicznych – o czym piszemy w artykule pt. Projekt nowej przesłanki wykluczenia z postępowania o udzielenie zamówienia związanej z cyberbezpieczeństwem do Nowego PZP

3. Uregulowanie w ramach ustawy ISAC – centrum wymiany i analizy informacji (art. 4a ustawy o KSC).

Nowelizacja zakłada uregulowanie funkcjonowania ISAC – specjalistycznych organizacji zapewniających współpracę i wymianę informacji w zakresie incydentów, zagrożeń, podatności oraz dobrych praktyk w zakresie ochrony cyberbezpieczeństwa. Organizacje takie z powodzeniem funkcjonują na świecie i w Europie, dotychczas nie utworzono natomiast żadnej takiej polskiej organizacji, wskazując brak przepisów w tym zakresie jako jedną z barier. Temat ISAC przybliżaliśmy już na blogu: artykuł dostępny pod tym linkiem.

4. Uregulowanie w ustawie wprost zasad funkcjonowania SOC (zespołu pełniącego funkcję operacyjnego centrum bezpieczeństwa w danym podmiocie) – art. 14 ustawy o KSC.

Na mocy nowelizacji uszczegółowione mają zostać przepisy dot. realizacji obowiązków przez operatorów usług kluczowych. Dotychczas art. 14 zakładał ich realizację przez podmiot wyspecjalizowany w drodze outsourcingu lub przez wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo. Nowelizacja precyzuje tę zasadę, podkreślając, że obowiązki ma realizować SOC, czyli operacyjne centrum bezpieczeństwa – wewnętrzne lub zapewnione przez podmiot świadczący usługi z zakresu cyberbezpieczeństwa.

Nowelizacja zakłada także stworzenie wykazu SOC, który będzie m.in. wskazywał podmioty prowadzące SOC oraz podmioty, na rzecz których SOC realizuje zadania. Wykaz ten nie będzie ogólnodostępny – wgląd do niego otrzymają jedynie podmioty wskazane w ustawie.

5. Uszczegółowienie przepisów dot. CSIRT sektorowych (art. 44 ustawy o KSC).

Nowelizacja zakłada także zmiany umożliwiające zwiększenie roli CSIRT sektorowych – i motywujące organy właściwe do ich utworzenia. Dotychczas powołano jeden taki zespół: Sektorowy Zespół Cyberbezpieczeństwa dla Sektora Bankowości i Infrastruktury Rynków Finansowych (CSIRT KNF). Zespół został zresztą powołany w lipcu 2020 r., a więc stosunkowo niedawno.

Podsumowanie

Opublikowany projekt nowelizacji wzbudził kontrowersje zwłaszcza z uwagi na:

  • Włączenie przedsiębiorców komunikacji elektronicznej do krajowego systemu cyberbezpieczeństwa – dotychczas regulacje dot. bezpieczeństwa zostały ujęte w projekcie ustawy Prawo komunikacji elektronicznej, przedsiębiorcy obawiają się więc braku spójności między przepisami i szerokim zakresem regulacji, obejmującym wszystkich przedsiębiorców komunikacji elektronicznej.
  • Kompetencję Kolegium do oceny ryzyka dostawców – wskazuje się, że regulacja może prowadzić do jednostronnej i subiektywnej oceny z powodu nieprecyzyjności i lakoniczności przepisów. Kontrowersje budzi także ograniczony zakres możliwości odwołania się od dokonanej oceny (tylko dostawcy, którzy uzyskali ocenę „wysokie ryzyko”) i organ rozpatrujący odwołanie – organem tym ma być Kolegium, które samo dokonało oceny.

Pozostałe zmiany odpowiadają natomiast na potrzeby zgłaszane przez podmioty krajowego systemu cyberbezpieczeństwa i mają stymulować tworzenie branżowych, wyspecjalizowanych organizacji, mających wspierać te podmioty w ochronie cyberbezpieczeństwa.

Można się spodziewać, że przedstawiony projekt ulegnie zmianie ze względu na wiele uwag, które planują zgłosić branżowe organizacje. Ostateczny kształt przepisów poznamy jednak zapewne niedługo – projektodawcy zakładali, że nowelizacja wejdzie w życie, z pewnymi wyjątkami, 21 grudnia 2020 r.