Dostawcy usług cyfrowych będą ustawowo odpowiedzialni za zapewnienie w kraju cyberbezpieczeństwa.
Jak wygląda cyberwojna? / Dziennik Gazeta Prawna
Ministerstwo Cyfryzacji opublikowało właśnie projekt ustawy o krajowym systemie cyberbezpieczeństwa. Kluczowy wniosek? Nie chodzi wcale o problemy użytkowników i wirusy, które można złapać na stronach dla dorosłych. Idzie o bezpieczeństwo kluczowej dla państwa infrastruktury.
Dlatego nowe obowiązki dotkną przede wszystkim przedsiębiorców z branż najistotniejszych dla państwa. Chodzi m.in. o sektory: energetyczny, paliwowy, transportowy, bankowy i zdrowotny. Do krajowego systemu cyberbezpieczeństwa zostaną włączone także organy administracji publicznej, sądy i trybunały.
Obowiązki dla najważniejszych
Przedsiębiorcy świadczący usługi kluczowe (czyli – zgodnie z projektem ustawy – takie, które „mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej”) powinni przede wszystkim dbać o ciągłość ich dostarczania. Tak, by obywatelom nie zabrakło dostępu do potrzebnych im na co dzień dóbr, jak prąd czy woda pitna. W tym celu każdy przedsiębiorca uznany za dostarczającego usługi kluczowe będzie musiał wdrożyć własny system zarządzania bezpieczeństwem oraz opracować dokumentację dotyczącą cyberbezpieczeństwa swych systemów.
Jeśli jednak zabezpieczenia okażą się niewystarczające i dojdzie do incydentu (może być nim atak, ale też poważna awaria), prowadzący biznes będą zobowiązani do zgłaszania sytuacji odpowiednim organom państwowym w ciągu 24 godzin od wykrycia problemu. Projektodawca zarazem chce, by zgłoszenie nie narażało operatora usługi kluczowej na zwiększoną odpowiedzialność. Chodzi o to, by nie obawiali się oni powiadamiać możliwie najszybciej o kłopotach.
Inny obowiązek to konieczność wyznaczenia w firmach z określonych – kluczowych – gałęzi osób odpowiedzialnych za cyberbezpieczeństwo. Powinny być one wysoko umocowane w strukturach przedsiębiorcy.
Śladem Unii Europejskiej
Część ekspertów obawia się, że w projekcie znajduje się zbyt dużo klauzul generalnych. Nie w pełni jasne są definicje „incydentów”, przez co dyskusyjne może być to, co będzie podlegało zgłoszeniu.
Radca prawny Tomasz Zalewski, partner zarządzający w kancelarii Wierzbowski Eversheds Sutherland, przypomina jednak, że projekt ustawy stanowi w dużej mierze transpozycje przepisów dyrektywy NIS (dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii). Trudno go zatem oceniać autonomicznie w oderwaniu od przepisów dyrektywy.
– Zakres regulacji, a także np. definicje ustawowe, powtarzają zasadniczo przepisy dyrektywy, co oceniam pozytywnie. Zazwyczaj próby polonizowania na siłę przepisów dyrektywy prowadzą do problemów interpretacyjnych w praktyce. Rolą tej ustawy jest – tak jak dyrektywy, tylko w odniesieniu do całej Unii – wyznaczenie jednolitych całościowych wymogów bezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych – twierdzi mec. Zalewski.
Choć może być pewien problem. Ministerstwo Cyfryzacji w projekcie zdecydowało się na podział kompetencji w zakresie nadzoru nad zapewnianiem cyberzpieczeństwa na kilka organów, nie zaś na utworzenie jednego centralnego.
– Może to prowadzić do różnicowania stanowisk poszczególnych organów w kwestii np. uznawania danego przedsiębiorcy za operatora usług kluczowych. Pozostawienie definicji unijnych pozwoli więc łatwiej odwoływać się do dyrektywy NIS jako źródła prawa i poprawić jednolitość interpretacji – spostrzega Tomasz Zalewski.
Dlaczego nie będzie jednego organu? Nie jest tajemnicą, że cyberbezpieczeństwo stanowi łakomy kąsek dla resortów spraw wewnętrznych i administracji oraz obrony narodowej. Ministrowie Błaszczak i Macierewicz starają się jak najwięcej z tej dziedziny wyszarpać minister Annie Streżyńskiej szefującej resortowi cyfryzacji. Stąd mógłby być problem ze stworzeniem jednego podmiotu, gdyż musiałby on być od któregoś z ministrów zależny. Wtedy zaś mogłoby być trudno o zgodę na to pozostałych.
Ministerstwo Cyfryzacji chce, by ustawa weszła w życie wiosną 2018 r.
Etap legislacyjny
Przekazano do konsultacji