W piątek 26 kwietnia 2019 r. Ministerstwo Cyfryzacji zaprosiło przedsiębiorców świadczących usługi z zakresu cyberbezpieczeństwa na spotkanie, które dotyczyło zgłoszonych przez nie uwag. Koncentrowały się one zarówno na ustawie o Krajowym Systemie Cyberbezpieczeństwa, jak i rozporządzeniu wydanym na jej podstawie, dotyczącym warunków organizacyjnych i technicznych dla tych podmiotów. Spotkanie wywołało dużą dyskusję, zwłaszcza w kontekście wymogów nałożonych rozporządzeniem.
Rozporządzenie Ministra Cyfryzacji
Ustawodawca przesądził w art. 14 ustawy o Krajowym Systemie Cyberbezpieczeństwa, iż obowiązki nałożone ustawą na operatorów usług kluczowych[1], obejmujące m.in. prowadzenie systematycznego szacowania ryzyka, zarządzanie incydentami czy zapewnienie osoby kontaktowej dla podmiotów krajowego systemu cyberbezpieczeństwa, mają być realizowane przez wewnętrzne struktury organizacyjne operatora, bądź też outsourcowane – realizowane przez podmiot świadczący usługi z zakresu cyberbepieczeństwa. Przywołany przepis ustanawia pewne ogólne wymogi wobec tych struktur i podmiotów, dotyczące zwłaszcza dysponowania odpowiednimi pomieszczeniami i zabezpieczeniami, a jednocześnie daje podstawę Ministrowi Cyfryzacji do dookreślenia dalszych, szczegółowych warunków organizacyjnych i technicznych.
Minister Cyfryzacji skorzystał z tego uprawnienia wydając w dniu 10 września 2018 r. rozporządzenie w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
Podczas spotkania podnoszono, że rozporządzenie odchodzi od przyjętego w ustawie o Krajowym Systemie Cyberbezpieczeństwa risk-based approach, tj. podejścia opartego na ryzyku, nakładając bardzo konkretnie określone wymogi na podmioty świadczące usługi z zakresu cyberbezpieczeństwa bądź wewnętrzne struktury operatorów usług kluczowych. Tytułem przykładu, wskazywano na określenie w rozporządzeniu grubości ścian zewnętrznych, czy wymagań wobec odporności drzwi wejściowych. Przedsiębiorcy oraz przedstawiciele operatorów kluczowych podkreślali, że w wielu przypadkach spełnienie tych wymogów będzie nadmiarowe – a dodatkowo generować będzie znaczące koszty. Tymczasem zastosowanie podejścia opartego na ryzyku pozwoliłoby dobrać adekwatne środki, które w ocenie uczestników spotkania mogłyby być inne niż zaproponowane przez Ministerstwa Cyfryzacji w rozporządzeniu.
Rewizja rozporządzenia nie jest jednak jeszcze przesądzona – przedstawiciel MC zapowiedział, że resort przyjrzy się temu aktowi prawnemu w kontekście zgłaszanych uwag i podejmie decyzji o jego zmianie.
Przegląd ustawy o KSC oraz Narodowa Platforma Cyberbezpieczeństwa
Ważne informacje przekazane podczas spotkania dotyczyły także planowanego przeglądu ustawy o Krajowym Systemie Cyberbezpieczeństwa, który ma zostać przeprowadzony jesienią. Termin ten przypada rok po wyznaczeniu pierwszych operatorów usług kluczowych i jest znamienny, gdyż wyznacza także czas na przeprowadzenie pierwszych audytów bezpieczeństwa systemu informacyjnego przez operatorów usług kluczowych. Można spodziewać się, że po tym czasie Ministerstwo Cyfryzacji odniesie się do uwag zgłoszonych do ustawy.
Podczas spotkania przedstawiony został ponadto aktualny status projektu dotyczącego Narodowej Platformy Cyberbezpieczeństwa. Celem tego projektu jest opracowanie kompleksowego, zintegrowanego systemu monitorowania, obrazowania i ostrzegania o zagrożeniach identyfikowanych w cyberprzestrzeni państwa, ocenę ich potencjalnych skutków oraz skoordynowane reagowanie na incydenty komputerowe na poziomie krajowym. Projekt realizowany jest przez konsorcjum NASK (lider), Instytut Łączności, Politechnika Warszawska, Narodowe Centrum Badań Jądrowych, a jego zakończenie zaplanowano na sierpień 2020 r. Podczas spotkania przedstawiono założenia projektu oraz zachęcono operatorów usług kluczowych do współpracy, która jest potrzebna aby zasilić system danymi.
Materiały ze spotkania mają zostać opublikowane po 6 maja 2019 r.
