Kim jest operator usług kluczowych?

W dniu 28 sierpnia 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa. Implementuje ona europejską dyrektywę NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r.) wprowadzającą szczególne środki na rzecz zwiększenia poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium całej Unii Europejskiej.

Dyrektywa NIS weszła w życie w państwach członkowskich Unii Europejskiej w sierpniu 2016 roku. To pierwszy akt prawny w Europie regulujący działanie sektora cyberbezpieczeństwa na poziomie krajowym. Głównym celem powstania dyrektywy NIS było wyrównanie poziomu zabezpieczeń sieci i systemów informatycznych w całej Unii Europejskiej. Celem regulacji jest również wzmocnienie ochrony państw członkowskich przed cyberatakami.

Operator Usług Kluczowych w Krajowym Systemie Cyberbezpieczeństwa

W skład Krajowego Systemu Cyberbezpieczeństwa wchodzą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki. W ustawie mowa jest zatem o operatorach usług kluczowych (OUK), czyli firmach tworzących infrastrukturę krytyczną kraju. Są to zatem największe banki, firmy z sektora energetycznego, wodociągi, firmy telekomunikacyjne, przewoźnicy lotniczy i kolejowi, armatorzy czy szpitale, sieci aptekarskie i producenci leków. System tworzą również dostawcy usług cyfrowych (DUC), czyli m.in. największe internetowe platformy handlowe, dostawcy hostingu i wyszukiwarek internetowych.  Zgodnie z wytycznymi dyrektywy NIS zostały utworzone Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON). Będą one współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa. Powstały również sektorowe zespoły cyberbezpieczeństwa, np. utworzony przez największe banki w Polsce.

Operator Usług Kluczowych a Dostawca Usług Cyfrowych

Istotne znaczenie ma wyjaśnienie kim są operatorzy usług kluczowych i dostawcy usług cyfrowych.

Dostawcy usług kluczowych (cyfrowych) to podmioty świadczące usługi cyfrowe, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. O uznaniu za dostawcę usługi cyfrowej decydować będzie wyłącznie faktyczny charakter prowadzonej działalności i jej rozmiar. Ustawa przewiduje bowiem w tym zakresie wyłączenie dla mikro – i małych przedsiębiorców zdefiniowanych w ustawie o swobodzie działalności gospodarczej. Wokół tego tematu już powstaje wiele kontrowersji, chociażby z uwagi na, że wiele korporacji korzysta w swoich strukturach z usług chmurowych. Dzieje się tak np. w centrach usług wspólnych i takie podmioty również mogą być uznane za dostawców usług cyfrowych.

Z kolei status operatora usługi kluczowej będzie zależeć od świadczenia przez przedsiębiorcę usług przypisanych do jednego z sektorów wymienionych w załączniku do ustawy. Cechą wspólną tych sektorów jest ich kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej kraju (art. 2 pkt 16 Ustawy). Za takie sektory, w ślad za dyrektywą NIS, polski ustawodawca uznaje m. in. sektor energetyczny, medyczny, transportowy, bankowy czy telekomunikacyjny. O statusie konkretnego przedsiębiorcy, jako operatora usługi kluczowej, decydować będzie decyzja organu właściwego ds. cyberbezpieczeństwa w ramach danego sektora. Najczęściej będzie to minister sprawujący nadzór nad daną dziedziną, zaś w przypadku sektora finansowego będzie to KNF.

Ilu jest Operatorów usług kluczowych?

Polska ustawa implementująca dyrektywę NIS stanowi, że organy właściwe ds. cyberbezpieczeństwa miały do dnia 9 listopada 2018 r. czas, aby sformować listę podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Był to ostateczny termin przekazania Ministrowi Cyfryzacji przez właściwe organy wniosków o wpisanie zidentyfikowanych operatorów do wykazu operatorów usług kluczowych. Minister Cyfryzacji przekazał Komisji Europejskiej informacje dotyczące wykazu usług kluczowych oraz liczby zidentyfikowanych operatorów.
Po wpisaniu do rejestru firmy określone tym mianem będą musiały, w przewidzianym przez ustawę czasie, wypełnić szereg obowiązków. Według szacunków Ministra cyfryzacji, decyzją administracyjną zostanie wyznaczonych około 335 operatorów usług kluczowych. Będą mieli oni za zadanie sprostać obowiązkom nałożonym przez ustawodawcę, o których mowa poniżej.

Obowiązki Operatora Usług Kluczowych

W terminie trzech miesięcy od otrzymania decyzji organu właściwego operator usług kluczowych jest zobowiązany do:

– oszacowania ryzyka dla swoich usług kluczowych,
– ustalenia zasad zarządzania incydentami,
– wyznaczenia osoby właściwej do kontaktów z właściwym CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) i PPK (Pojedynczy Punkt Kontaktowy) przy Ministrze Cyfryzacji,
– przeprowadzenia działań edukacyjnych wobec swoich użytkowników,
– obsługi incydentów we własnych systemach,
– zgłaszania incydentów poważnych oraz usuwania wskazywanych podatności.

Incydent poważny, zgłaszany przez operatora usług kluczowych to incydent związany z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej. Z kolei incydent istotny to incydent mający istotny wpływ na świadczenie usługi cyfrowej. Impelementująca dyrektywę NIS Ustawa o cyberbezpieczeństwie przewiduje również incydenty krytyczne, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów gospodarczych i działania instytucji publicznych.

Po sześciu miesiącach od otrzymania decyzji administracyjnej, operator usług kluczowych ma obowiązek wdrożyć odpowiednie i adekwatne – do oszacowanego ryzyka – środki techniczne i organizacyjne. Nadto, Operator Usługi Kluczowej obowiązany jest zbierać informacje o zagrożeniach. Musi także stosować środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informatycznego. Wreszcie musi przygotować odpowiednią – wymaganą przez ustawę dokumentację.
Po upływie roku od uznania danego podmiotu za operatora usług kluczowych, obowiązany jest on przygotować pierwszy audyt w rozumieniu ustawy o cyberbezpieczeństwie oraz przekazać sprawozdanie z audytu wskazanym w ustawie podmiotom. Audyt należy przeprowadzać raz na dwa lata.

Dziś należy zatem uzbroić się w cierpliwość i oczekiwać na decyzję administracyjną dotyczącą zaliczenia danego podmiotu do grona operatorów usług kluczowych. Podmioty z branży medycznej, energetycznej, bankowej, transportowej i informatycznej już powinny podjąć czynności niezbędne do wdrożenia zasad dotyczących cyberbezpieczeństwa nałożonych przez cyberustawę.