RODO w firmie

Ustawa nakłada na operatorów obowiązek przeprowadzenia, raz na dwa lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

Audyt może przeprowadzić:

1. jednostka oceniająca zgodność, akredytowana we właściwym zakresie [Akredytacji jednostek oceniających zgodność, w tym w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych, dokonuje Polskie Centrum Akredytacji (PCA)];
2. sektorowy zespół cyberbezpieczeństwa [Na dzień dzisiejszy (grudzień 2018) nie ustanowiono żadnego sektorowego zespołu cyberbezpieczeństwa. Należy sprawdzać na bieżąco, czy w danym sektorze organ właściwy powołał taki zespół];
3. co najmniej dwóch audytorów o określonych kompetencjach.

Zespół dwóch audytorów powinien posiadać certyfikaty określone we właściwym rozporządzeniu lub posiadać odpowiednią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych (tzn. co najmniej trzyletnią praktykę bez wykształcenia kierunkowego lub co najmniej dwuletnią praktykę oraz dyplom ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych).

Każdy system informacyjny służący do świadczenia usługi kluczowej musi być zabezpieczony przed ingerencją osób trzecich i awariami. Przygotowane zabezpieczenia należy udokumentować.

Dokumentację w rozumieniu ustawy stanowi:

• dokumentacja o stosowanym systemie zarządzania bezpieczeństwem informacji;
• dokumentacja ochrony fizycznej i środowiskowej infrastruktury służącej do świadczenia usługi kluczowej (w tym szacowania ryzyka);
• dokumentacja zapewnienia ciągłości działania (Business Continuity Management)
• dokumentacja techniczna systemu informacyjnego służącego do świadczenia usługi kluczowej.

Szczegółowe wymogi są określone w rozporządzeniu w sprawie rodzajów dokumentacji. 

Celem przygotowanej przez Ministerstwo Cyfryzacji ustawy o krajowym systemie cyberbezpieczeństwa było opracowanie uregulowań prawnych umożliwiających implementacje dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym .

Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności :

• niezakłóconego świadczenia usług kluczowych i usług cyfrowych
• osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.

Budowany system obejmuje:

• operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości),
• dostawców usług cyfrowych,
• zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego,
• sektorowe zespoły cyberbezpieczeństwa,
• podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz
• pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.

Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego.

Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.

Do krajowego systemu cyberbezpieczeństwa będą również włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni – w sposób zharmonizowany z istniejącymi uregulowaniami w tym zakresie.

Wymaganiami z zakresu cyberbezpieczeństwa zostali także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych są objęte zharmonizowanym na poziomie UE reżimem regulacyjnym. Ustawa odwołuje się tutaj do decyzji wykonawczej Komisji Europejskiej.

• przeprowadza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów
• zapewnia w niezbędnym zakresie dostęp do informacji właściwemu CSIRT o incydentach zakwalifikowanych jako krytyczne przez właściwy CSIRT
• klasyfikuje incydent jako istotny
• zgłasza incydent istotny niezwłocznie, nie poźniej jednak niż w ciągu 24H od momentu wykrycia, do właściwego CSIRT
• zapewnia obsługę incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT, przekazując niezbędne dane
• usuwa podatności
• przekazuje operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora.

Dostawca usługi cyfrowej w celu sklasyfikowania incydentu jako istotnego uwzględnia w szczególności:

• liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług
• czas trwania incydentu
• zasięg geograficzny obszaru, którego dotyczy incydent
• zakres zakłócenia funkcjonowania usługi
• zakres wpływu incydentu na działalność gospodarczą i społeczną

Pełne obowiązki operatorów usług kluczowych są określone w ustawie o KSC i każdy operator powinien się z nimi zapoznać, aby móc zapewnić zgodność z ustawą. 

Do najważniejszych grup obowiązków należą:

1. zarządzanie ryzykiem (w tym szacowanie ryzyka);
2. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych (w tym utrzymanie i bezpieczną eksploatację systemu informacyjnego; bezpieczeństwo fizyczne i środowiskowe; bezpieczeństwo i ciągłość dostaw; wdrażanie, dokumentowanie i utrzymywanie planów działania);
3. zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty;
4. obsługa incydentów i współpraca w tym zakresie z właściwym CSIRT;
5. wyznaczenie osoby kontaktowej na potrzeby KSC.

• Incydent krytyczny - incydent, skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi;
• Incydent poważny - incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej;
• Incydent istotny - incydent, który ma istotny wpływ na świadczenie usługi cyfrowej;
• Incydent o podmiocie publicznym - incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny;
• Incydent zwykły - zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo – ten incydent nie podlega zgłoszeniu, ale też należy go obsługiwać

Do zadań CSIRT NASK, CSIRT GOV i CSIRT MON, należy koordynacja obsługi incydentów zgłaszanych przez:

CSIRT NASK:

• jednostki samorządu terytorialnego
• jednostki budżetowe,samorządowe zakłady budżetowe
• agencje wykonawcze, instytucje gospodarki budżetowej
• uczelnie publiczne i Polska Akademia Nauk
• Urząd Dozoru Technicznego, Polską Agencję Żeglugi Powietrznej, Polskie Centrum Akredytacji
• Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej
• spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej, których celem jest bieżące i nieprzerwane zaspokajanie zbiorowych
• obywateli.

CSIRT GOV:

• organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały
• ZUS, KRUS, NFZ
• Narodowy Bank Polski, Bank Gospodarstwa Krajowego

CSIRT MON:

• podmioty podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane, w tym podmioty, których systemy teleinformatyczne lub sieci teleinformatyczne objęte są jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej
• przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym, w stosunku do których organem organizującym i nadzorującym wykonywanie zadań na rzecz obronności państwa jest Minister Obrony Narodowej

• na bieżąco prowadzi analizę podmiotów w danym sektorze lub podsektorze pod katem uznania ich za operatora usługi kluczowej;
• wydaje decyzje o uznaniu podmiotu za operatora usługi kluczowej;
• przygotowuje rekomendacje działań mających na calu wzmocnienie cyberbezpieczeństwa, w tym wytyczne sektorowe dotyczące działania incydentów (współpraca z CSIRT NASK, CSIRT GOV, CSIRT MON i sektorowymi zespołami cyberbezpieczeństwa);
• prowadzi kontrole operatorów usług kluczowych i dostawców usług cyfrowych (monitoruje stosowanie przez nich przepisów ustawy);
• na wniosek CSIRT NASK, CSIRT GOV LUB CSIRT MON wzywa operatorów usług kluczowych lub dostawców usług cyfrowych do usunięcia w wyznaczonym terminie podatności które doprowadziły lub mogły doprowadzić do incydentu poważnego, istotnego lub krytycznego;
• uczestniczy w ćwiczeniach w zakresie cyberbezpieczeństwa organizowanych w RP lub UE;
• dla danego sektora lub podsektora może ustanowić, sektorowy zespół cyberbezpieczeństwa (SCZ to opcjonalne zadanie OW, tylko one decydują jak je ustanawiają i w jakiej formie prawnej

Ustawa obejmuje wiele różnych podmiotów z różnych sektorów gospodarki, zatem staraliśmy się zminimalizować ilość sztywnych wymogów technicznych. Sposób realizacji obowiązków dotyczących szacowania ryzyka czy zapewnienia odpowiedniego poziomu bezpieczeństwa świadczonych usług zależy od operatora danej usługi.

Postawiono jednak wymogi w zakresie dokumentacji (patrz punkt poniżej) oraz warunków.