Rzadko ktoś w naszym kraju mówi o ustawie o krajowym systemie cyberbezpieczeństwa. W przeciwieństwie do RODO, niewiele się o niej pisało w gazetach, brakowało również wywiadów w telewizji i dziesiątek poradników. Ale gdy już ktoś się tym zainteresuje to z reguły pytanie brzmi następująco „czy mnie to dotyczy i czy muszę coś robić?”. Oczywiście odpowiedź, którą każdy chciałby usłyszeć to „nie, panie, tym się pan w ogóle nie przejmuj”. Niestety rzeczywistość nie jest taka różowa.

Czym jest ustawa o krajowym systemie cyberbezpieczeństwa?

Zacznijmy od początku. Ustawa o krajowym systemie cyberbezpieczeństwa to ważne przepisy. Mają one na celu zabezpieczyć nas przed nowymi zagrożeniami, znajdującymi się w cyberprzestrzeni – od utraty dostępu do naszych danych, zapisanych w chmurze począwszy, poprzez zabezpieczenie nas przed atakami hakerów, którzy czyhają na nasze pieniądze, aż po przeciwdziałanie działaniom innych państw, które mogą próbować wpłynąć na działanie infrastruktury IT, która jest istotna z punktu widzenia bezpieczeństwa państwa i obywateli.

Przepisy te wynikają z unijnej dyrektywy NIS, dotyczącej właśnie cyberbezpieczeństwa. I jakkolwiek różne można mieć zdanie o politykach w Parlamencie Europejskim, przyjęcie tej dyrektywy to dobry krok naprzód z punktu widzenia cyberbezpieczeństwa – czyli czegoś, co stanowi coraz większy, lecz nadal lekceważony problem.

Kim są dostawcy usług cyfrowych?

Tak się akurat złożyło, że pomiędzy różnymi podmiotami, na które zostały nałożone różne obowiązki przez przepisy ustawy o krajowym systemie cyberbezpieczeństwa, są tak zwani dostawcy usług cyfrowych. Aby zostać uznanym za dostawcę usług cyfrowych nie trzeba być wielką korporacją, która zajmuje się dostarczaniem energii elektrycznej czy przewozami lotniczymi. Dostawcy usług cyfrowych to:

1. Podmioty świadczące usługi w zakresie prowadzenia internetowych platform handlowych – dotyczy to głównie sklepów internetowych. Muszę jednak podkreślić, że „internetowa platforma handlowa” to nie tylko sklep, w którym konsumenci mogą nabywać rzeczy, które do nich zostaną przysłane. Taką platformą jest np. miejsce, w którym można skorzystać z odpłatnych usług, oferowanych online – także tych, które są świadczone w przestrzeni wirtualnej, tak jak plaformy streamingowe (płacimy i możemy oglądać filmy, słuchać muzyki), aplikacje online i sklepy z takimi aplikacjami (typu AppStore) albo sklepy z licencjami do gier.

2. Podmioty prowadzące działalność w zakresie usług przetwarzania w chmurze – w przepisach znajdziemy niestety tylko wskazówkę, że są to „usługi umożliwiające dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników". W praktyce oznacza to, że pod pojęciem chmury może kryć się naprawdę wiele usług online. Dla porządku wskażę więc tylko, że wszelkie usługi, gdzie korzystamy z jakiejś wspólnej mocy obliczeniowej czy wspólnej przestrzeni dyskowej/serwerowej, będą właśnie kwalifikowały się jako usługi chmurowe. Usługą chmurową nie będzie moim zdaniem kolokacja lub serwer dedykowany (bo nie korzystamy ze zbiorów obliczeniowych, które mogą wykorzystywać inni użytkownicy), ale np. serwer VPS już można uznać za chmurę, przynajmniej w rozumieniu definicji wynikającej z przepisów.

3. Podmioty świadczące usługi w zakresie wyszukiwarek internetowych – chodzi tu o takie usługi, które umożliwiają użytkownikom wyszukiwanie wszystkich stron internetowych lub stron internetowych w danym języku za pomocą zapytania przez podanie słowa kluczowego. Nie dotyczy to tych algorytmów, które przeszukują np. tylko jeden portal internetowy.

Czy to już wystarczy aby stwierdzić, że jakiś podmiot jest dostawcą usługi cyfrowej? Niestety jeszcze nie. Aby zostać uznanym za dostawcę usługi cyfrowej trzeba ponadto:

1. Być osobą prawną lub jednostką organizacyjną nieposiadającą osobowości prawnej ale posiadającą zdolność prawną (do tej grupy zaliczają się np. spółki akcyjne, spółki z ograniczoną odpowiedzialnością, stowarzyszenia, spółki komandytowe albo jawne) – co oznacza, że jeżeli ktoś jest jednoosobowym przedsiębiorcą i prowadzi działalność pod własnym nazwiskiem, to nie jest dostawcą usługi cyfrowej,

2. Być większym podmiotem niż mikro lub mały przedsiębiorca (mieć więcej niż 50 pracowników lub roczny obrót powyżej 10 milionów Euro).

Jeżeli spełniasz te wszystkie warunki i prowadzisz którąś z trzech działalności wskazanych powyżej, to gratuluje, jesteś dostawcą usługi cyfrowej. Ale zaraz, jak to gratuluję, skoro miały być obowiązki. No niestety tak, oprócz zaszczytnego tytułu musimy zrobić parę rzeczy. Niestety, ustawa o krajowym systemie cyberbezpieczeństwa nakłada na podmiot będący dostawcą usługi cyfrowej (czyli np. spółkę, której jesteś wspólnikiem albo członkiem zarządu) kilka dodatkowych obowiązków, związanych z zapewnieniem szeroko pojętego bezpieczeństwa IT.

Jakie obowiązki są nałożone na dostawców usług cyfrowych? Co dokładnie trzeba zrobić?

Przede wszystkim, oszacować ryzyko związane z bezpieczeństwem systemów IT, które są wykorzystywane do świadczenia usługi cyfrowej. Szacowanie ryzyka powinno uwzględniać te zagrożenia i podatności, które mają wpływ na dostępność, integralność i poufność danych. Należy tutaj wziąć pod uwagę działanie systemu, który służy do świadczenia usługi cyfrowej. Metod oceny ryzyka jest sporo, obecnie dominują te oparte o normy ISO – nie ukrywam, że gdy pomagam klientom w ocenie ryzyka, też korzystam z tego dorobku.

Na podstawie tego ryzyka, należy wdrożyć właściwe proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykiem. Środki te mają na celu:

1. uzyskanie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych i obiektów,

2. wdrożenie reguł postępowania na wypadek incydentu,

3. zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej,

4. podejmowanie działań w zakresie monitorowania, audytów i testowania systemów IT.

Wdrożenie zasad bezpieczeństwa powinno uwzględniać najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi. Szczegóły dotyczące tych norm, jak również wskazanie samych zabezpieczeń, które należy stosować, sprecyzowane są w rozporządzeniu wykonawczym 2018/151 – to taki unijny akt prawny, który uszczegóławia pewne rzeczy związane z bezpieczeństwem informatycznym u dostawców usług cyfrowych. Nie miejmy jednak złudzeń – tam też są tylko wskazówki, nie ma konkretnych informacji o zabezpieczeniach. To raczej wskazanie celów, które trzeba osiągnąć. Przyjrzyjmy się więc temu, co tam znajdziemy.

Rozporządzenie wykonawcze wskazuje po prostu na to, co dostawca usługi cyfrowej ma robić aby zapewnić odpowiednio wysoki poziom bezpieczeństwa IT. Jak dokładnie to zrobi – to już jego decyzja. Według rozporządzenia wykonawczego bezpieczeństwo sieci i systemów obejmuje następujące elementy:

1. Systematyczne zarządzanie sieciami i systemami informatycznymi, co oznacza mapowanie systemów informatycznych oraz ustanowienie zestawu odpowiednich polityk w zakresie zarządzania bezpieczeństwem informacji, w tym analiz ryzyka, zasobów ludzkich, bezpieczeństwa operacji, architektury bezpieczeństwa, zabezpieczenia danych i zarządzania cyklem życia systemu oraz, w stosownych przypadkach, szyfrowania i zarządzania nim.

2. Bezpieczeństwo fizyczne i środowiskowe, które oznacza dostępność zestawu środków mających na celu ochronę bezpieczeństwa sieci i systemów informatycznych dostawców usług cyfrowych przed szkodami z zastosowaniem całościowego podejścia do kwestii zagrożeń opartego na analizie ryzyka, które uwzględnia np. awarie systemu, błędy ludzkie, działania złośliwe bądź zjawiska naturalne.

3. Bezpieczeństwo dostaw oznaczające ustanowienie oraz utrzymywanie odpowiednich polityk w celu zagwarantowania dostępności oraz, w stosownych przypadkach, identyfikowalności krytycznych dostaw wykorzystywanych do świadczenia usług.

4. Kontrolę dostępu do sieci i systemów informatycznych, co oznacza dostępność zestawu środków, które mają zagwarantować, że dostęp fizyczny i dostęp logiczny do sieci i systemów informatycznych, w tym administracyjne bezpieczeństwo sieci i systemów informatycznych, są uprawnione i ograniczone w oparciu o wymogi dotyczące prowadzenia działalności i bezpieczeństwa.

Tylko tyle i aż tyle. Oczywiście, można dyskutować, co dokładnie należy zrobić aby te wymogi spełnić i na co należy położyć większy nacisk, a na co mniejszy. Podkreślam jednak, że niektóre elementy są podobne do tych, których wymaga RODO – co nieco może uprościć cały proces wdrożenia, jeżeli mamy już załatwioną kwestię dostosowania się do RODO.

Ustawa o krajowym systemie cyberbezpieczeństwa, pomimo swojej poważnej nazwy, nie jest czymś, czego trzeba się bać.

Jeżeli przedsiębiorca w miarę poważnie podchodzi do kwestii bezpieczeństwa IT, nie powinien mieć wielkiego problemu ze spełnieniem wymagań, które wynikają z tych przepisów. Często większą część wdrożenia zajmuje opisanie tego, co już się dzieje w organizacji – czyli inaczej, sformalizowanie pewnych procedur, które były już wcześniej stosowane – tylko, że nikt ich nie spisał. Oczywiście nie oznacza to, że temat ten można potraktować po macoszemu – niestety, za nieprzestrzeganie przepisów ustawy o KSC, mogą zostać nałożone kary finansowe – podobnie jak w przypadku RODO. Ale to już temat na odrębny wpis 😊

Chciałbyś dowiedzieć się więcej na temat ustawy o krajowym systemie cyberbezpieczeństwa albo dyrektywie NIS? Możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.

#dyrektywaNIS #ustawaokrajowymsystemiecyberbezpieczeństwa #KSC #dostawcyusługcyfrowych #bezpieczeństwoinformatyczne #ITaprawo #krajowysystemcyberbezpieczeństwa