Ustawa o krajowym systemie cyberbezpieczeństwa
wpisuje się w osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania państwa, które stanowią jeden z celów Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017–2022. Ustawa została przyjęta 5 lipca 2018 r. na 66. posiedzeniu Sejmu RP i ma na celu wdrożenie do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Rządowy projekt ustawy był przedmiotem prac Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej. Wprowadzone poprawki dotyczyły doprecyzowania przepisów i ich uzupełnienia. W niektórych przypadkach miały charakter techniczno-legislacyjny. Do rządowego projektu dodano przepisy zmieniające ustawę o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, ustawę – Prawo zamówień publicznych, a także uzupełniono przepisy przejściowe i dostosowujące. W trakcie drugiego czytania zgłoszonych zostało 12 poprawek. Izba poparła poprawki zmierzające do wskazania maksymalnego limitu wydatków z budżetu państwa dla części budżetowej 57 – Agencji Bezpieczeństwa Wewnętrznego, który był finansową konsekwencją wejścia ustawy w życie. Jej akceptację uzyskały również poprawki dotyczące zwiększenia maksymalnego limitu wydatków z budżetu państwa dla części budżetowej 70 – Komisji Nadzoru Finansowego, będącego skutkiem finansowym ustawy.
Ustawa określa organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu, sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy oraz zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Wprowadza do sytemu prawnego pojęcie cyberbezpieczeństwa i operatora „usługi kluczowej”. Zgodnie z art. 2(4) cyberbezpieczeństwo oznacza odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Mianem operatora „usługi kluczowej” określa się podmiot, który zapewnia usługę mającą kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych określonych w drodze rozporządzenia przez Radę Ministrów, który posiada jednostkę organizacyjną na terytorium Polski i wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Jeśli podmiot świadczy ową usługę w innych państwach członkowskich Unii Europejskiej, to w toku postępowania administracyjnego organ właściwy do spraw cyberbezpieczeństwa, za pośrednictwem Pojedynczego Punktu Kontaktowego, jest zobowiązany do konsultacji z tymi państwami, aby ustalić, czy ten podmiot został uznany w tych państwach za operatora usługi kluczowej (art. 2(16), 5(1)(4), 6(1)). Ustawa nie ma zastosowania do przedsiębiorców telekomunikacyjnych, o których mowa w ustawie z 16 lipca 2004 r. – Prawo telekomunikacyjne, w zakresie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów; dostawców usług zaufania, którzy podlegają wymogom art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE; podmiotów wykonujących działalność leczniczą, tworzonych przez Szefa Agencji Bezpieczeństwa Wewnętrznego lub Szefa Agencji Wywiadu.
W świetle art. 4 ustawy głównymi podmiotami krajowego systemu cyberbezpieczeństwa są operatorzy usług kluczowych oraz dostawcy usług cyfrowych, tj. wyszukiwarki internetowe i platformy handlowe. System obejmuje Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego działające na poziomie krajowym, prowadzone przez: Szefa Agencji Bezpieczeństwa Wewnętrznego, Ministra Obrony Narodowej oraz Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy. W jego skład wchodzą ponadto: sektorowe zespoły cyberbezpieczeństwa, jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z 27 sierpnia 2009 r. o finansach publicznych, instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polska Agencja Żeglugi Powietrznej, Polskie Centrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z 20 grudnia 1996 r. o gospodarce, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa, Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa oraz Kolegium do Spraw Cyberbezpieczeństwa.
Do obowiązków operatorów usług kluczowych należy wdrażanie systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, który zapewni prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem. Operator jest zobligowany do implementacji odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych z uwzględnieniem wiedzy najnowszej, które obejmują utrzymanie i bezpieczną eksploatację systemu informacyjnego; bezpieczeństwo fizyczne i środowiskowe uwzględniające kontrolę dostępu; bezpieczeństwo wraz z ciągłością dostaw usług wpływających na świadczenie usługi kluczowej; wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej, które zapewnią poufność, integralność, dostępność i autentyczność informacji; objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym. Operator usługi kluczowej zbiera informacje o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego, a także zarządza zdarzeniami, które mają lub mogą mieć niekorzystny wpływ na cyberbezpieczeństwo. Ustawa nakłada na operatorów obowiązek stosowania środków profilaktycznych i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Dotyczy to stosowania mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym, dbałość o aktualizację oprogramowania, ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym, a także niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa. W gestii operatorów leży również konieczność stosowania środków łączności, które umożliwiają prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa. Obowiązkiem jest wyznaczenie przez operatora osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, zapewnienie użytkownikom usługi dostępu do informacji na temat zagrożeń cyberbezpieczeństwa, a także opracowanie, stosowanie, aktualizowanie, nadzorowanie i przechowywanie odpowiedniej dokumentacji na temat cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. W przypadku pojawienia się zagrożenia operator usługi kluczowej ma obowiązek zgłoszenia incydentu, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego na poziomie krajowym. Przekazywane informacje mogą dotyczyć także innych incydentów, szacowania ryzyka, podatności, czy też wykorzystywanych technologii. Ustawa wymaga, aby operator usługi kluczowej przeprowadzał co najmniej raz na 2 lata audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej i przekazywał kopię sprawozdania z audytu na uzasadniony wniosek: organu właściwego do spraw cyberbezpieczeństwa, Szefa Agencji Bezpieczeństwa Wewnętrznego lub dyrektora Rządowego Centrum Bezpieczeństwa – w przypadku gdy operator jest jednocześnie właścicielem, posiadaczem samoistnym albo posiadaczem zależnym obiektów, instalacji, urządzeń lub usług wchodzących w skład infrastruktury krytycznej, wymienionych w wykazie, o którym mowa w art. 5b ust. 7 pkt 1 ustawy z 26 kwietnia 2007 r. o zarządzaniu kryzysowym (art. 8–11, 13, 15–16).
Dostawcy usług cyfrowych mają obowiązek stosowania środków zapewniających cyberbezpieczeństwo, w tym środków zapobiegających i minimalizujących wpływ incydentów na usługę cyfrową, odpowiednich do istniejącego ryzyka, uwzględniających bezpieczeństwo systemów informacyjnych i obiektów, postępowanie w przypadku obsługi incydentu, zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej, monitorowanie, audyt i testowanie, najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi. Ustawa obliguje dostawców do przeprowadzania czynności umożliwiających wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów i – podobnie jak operatorów usług kluczowych – do zgłaszania incydentów do odpowiednich zespołów reagowania (art. 17–19). Zarządzanie, zgłaszanie i zapewnienie obsługi incydentu należy również do obowiązków organów publicznych (art. 21–25).
Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego działające na poziomie krajowym realizują zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, zapewniając jednocześnie koordynację obsługi zgłoszonych incydentów. Do ich zadań należą m.in.: monitorowanie zagrożeń cyberbezpieczeństwa na poziomie krajowym, szacowanie i analiza ryzyka zagrożeń, przekazywanie informacji o ryzyku do podmiotów krajowego systemu cyberbezpieczeństwa, reagowanie na zgłoszone incydenty, ich klasyfikowanie, zapewnienie zaplecza analitycznego oraz badawczo-rozwojowego, współpraca z sektorowymi zespołami cyberbezpieczeństwa w zakresie koordynowania obsługi incydentów poważnych, a także przekazywanie do innych państw, w tym państw członkowskich Unii Europejskiej, i przyjmowanie z tych państw informacji o takich incydentach (art. 26–33).
Ustawa reguluje również zasady udostępniania informacji i przetwarzania danych osobowych (rozdz. 7), wskazuje na organy właściwe do spraw cyberbezpieczeństwa (rozdz. 8) łącznie z określeniem zadań ministra właściwego do spraw informatyzacji (rozdz. 9) i Ministra Obrony Narodowej (rozdz. 10). Określa także sposób sprawowania nadzoru i kontroli operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów świadczących usługi w zakresie cyberbezpieczeństwa (rozdz. 11), rolę Pełnomocnika i Kolegium w obszarze realizacji polityki rządu w zakresie zapewnienia cyberbezpieczeństwa (rozdz. 12), zakres tworzenia strategii cyberbezpieczeństwa (rozdz. 13). Ostatnie dwa rozdziały ustawy obejmują przepisy o karach pieniężnych oraz zmiany w przepisach, przepisy przejściowe, dostosowujące i końcowe.
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, Dz.U. UE 2016 L 194/1; Kancelaria Senatu, Biuro Legislacyjne, Opinia do ustawy o krajowym systemie cyberbezpieczeństwa (druk nr 893), Warszawa, dnia 9 lipca 2018 r.; Ministerstwo Cyfryzacji, Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017–2022, Warszawa 2017; Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE, Dz.U. UE 2014 L 257; Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, G. Szpor, A. Gryszczyńska, K. Czaplicki (red.), Wolters Kluwer, Warszawa 2019; Ustawa z dnia 20 grudnia 1996 r. o gospodarce komunalnej, Dz.U. 2017 poz. 827, Dz.U. 2018 poz. 1496; Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, Dz.U. 2017 poz. 1907, 2201, Dz.U. 2018 poz. 106, 138, 650, 1118; Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych, Dz.U. 2017 poz. 2077, Dz.U. 2018 poz. 62, 1000, 1366; Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Dz.U. 2018 poz. 1560.