Wśród licznych obowiązków nałożonych ustawą o krajowym systemie cyberbezpieczeństwa (ustawa o KSC) na operatorów usług kluczowych przewidziano także obowiązek odpowiedniego zorganizowania wewnętrznych struktur, odpowiedzialnych za cyberbezpieczeństwo. Wymogi te mają charakter nie tylko techniczny, ale również organizacyjny, a ich odpowiednie wdrożenie - w założeniach - ma przyczynić się do efektywnej realizacji pozostałych obowiązków w zakresie zapewnienia cyberbezpieczeństwa.

Na wstępie warto przypomnieć, że operatorzy usług kluczowych (OUK) to podmioty, wobec których spełnione zostały następujące przesłanki, zgodnie z art. 5 ustawy o KSC:

• podmioty te świadczą określone usługi, uznane w ustawie za kluczowe (dotyczące wskazanych sektorów gospodarki, jak np. sektora energii, sektora transportu czy bankowości i infrastruktury rynków finansowych),
• świadczone przez nich usługi kluczowe są zależne od systemów informacyjnych (przez co w ramach ustawy o KSC rozumie się zarówno systemy informatyczne – IT, jak i automatyki przemysłowej – OT),
• ewentualny incydent, dotyczący tych systemów, miałby – zgodnie z ustawą o KSC – „istotny skutek zakłócający dla świadczenia usług” (jego progi są określone w stosownym rozporządzeniu),
• organ właściwy (tj. właściwy minister lub KNF) wydał w stosunku do nich decyzję administracyjną o uznaniu za operatora usług kluczowych.

Z powyższego wynika, że dopóki w stosunku do danego podmiotu nie została wydana decyzja administracyjna, nie jest on operatorem usługi kluczowej w rozumieniu ustawy o KSC. Dopiero doręczenie decyzji o uznaniu za operatora usług kluczowych powoduje, że rozpoczyna się termin na wprowadzenie zmian w organizacji.

W zależności od rodzaju obowiązków termin ten wynosi od 3 do 12 miesięcy i dotyczy m.in.:•prowadzenia systematycznego szacowania ryzyka oraz wdrożenia odpowiednich środków technicznych i organizacyjnych, proporcjonalnych do oszacowanego ryzyka (art. 8 ustawy o KSC),

• zarządzania incydentami, w tym ich obsługi (art. 8, 10–11 ustawy o KSC),
• przygotowania odpowiedniej dokumentacji normatywnej i operacyjnej, dotyczącej cyberbezpieczeństwa systemu wykorzystywanego do świadczenia usługi kluczowej (art. 10 ustawy o KSC oraz rozporządzenie ministra cyfryzacji wydane na podstawie tego przepisu – rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego, wykorzystywanego do świadczenia usługi kluczowej – DzU poz. 2080).

> Wewnętrzne struktury czy outsourcing usług?

Co jest istotne, w terminie trzech miesięcy od doręczenia decyzji o uznaniu za OUK operator powinien powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo celem realizacji nałożonych na niego obowiązków, bądź też zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa (art. 14 ust. 1 w zw. z art. 16 pkt 1 ustawy o OUK).

Ustawa nie podaje w tym zakresie żadnych ograniczeń, w tym również ograniczeń co do zakresu outsourcingu. Możliwa jest więc sytuacja, kiedy outsourcowana zostaje całość obowiązków, jak i jedynie ich część – w takim wypadku OUK będzie musiał powołać wewnętrzne struktury celem realizacji pozostałych zadań.

Mając to na uwadze, operator usługi kluczowej powinien, przy uwzględnieniu swoich możliwości organizacyjnych (w tym zasobów, personelu i kompetencji), podjąć decyzję odnośnie do tego:•powoła wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo – stworzy lub wyznaczy zespół odpowiedzialny za realizację przewidzianych ustawą obowiązków (o czym szerzej poniżej),•zawrze umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa – powierzając (w drodze outsourcingu) realizację obowiązków profesjonaliście.

Istotne, aby pamiętać, że w przypadku zawarcia umowy z podmiotem profesjonalnym konieczne jest zgłoszenie jego danych kontaktowych i zakresu powierzonych usług do organu właściwego: CSIRT NASK, GOV lub MON oraz do sektorowego zakresu cyberbezpieczeństwa (art. 14 ust. 3 ustawy o KSC).

Niezależnie jednak, czy OUK zdecyduje się realizować obowiązki własnymi siłami, czy też powierzy je podmiotowi profesjonalnemu, odpowiedzialność za wykonanie tych obowiązków spoczywać będzie finalnie na nim. W razie ewentualnego postępowania kontrol­nego to on będzie więc odpowiadać, jeśli organ właściwy uzna, że obowiązki wynikające z ustawy zostały wykonane w sposób nienależyty. Powyższe dotyczy odpowiedzialności administracyjnej, co nie wyklucza, oczywiście, samej umownej odpowiedzialności outsourcera wobec operatora usług kluczowych, z którym ma zawartą umowę.

> Wymogi wobec struktur odpowiedzialnych za cyberbezpieczeństwo

Zarówno w przypadku powołania wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, jak i powierzenia realizacji obowiązków podmiotowi zewnętrznemu OUK powinien zadbać, by spełnione zostały określone wymogi organizacyjne i techniczne, gwarantujące prawidłową realizację obowiązków nałożonych ustawą KSC na operatora.

Zakres tych warunków organizacyjnych i technicznych jest niemal identyczny w obu przypadkach. Jednak warto przy tym zauważyć, że w przypadku wewnętrznych struktur bezpośredni ciężar realizacji określonych wymogów ponosi OUK (musi dostosować swoją organizację do spełnienia wszystkich zaleceń). Natomiast w przypadku outsourcingu rola OUK ogranicza się do zagwarantowania, że podmiot – specjalizujący się w cyberbezpieczeństwie – te wymogi spełnia. Najczęściej dzieje się to poprzez odebranie odpowiednich oświadczeń i gwarancji w umowie oraz w oparciu o umowne mechanizmy kontrolne, pozwalające na weryfikację spełniania tych wymagań w praktyce.

Artykuł 14 ust. 2 ustawy o KSC wymaga, aby wewnętrzny zespół lub podmiot świadczący usługi z zakresu cyberbezpieczeństwa:

• spełniał warunki organizacyjne i techniczne, pozwalające na zapewnienie cyberbezpieczeństwa obsługiwanemu OUK;
• dysponował pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi;
• stosował zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów.

Powyższe ogólne warunki organizacyjne i techniczne zostały szczegółowo doprecyzowane w rozporządzeniu Ministra Cyfryzacji z dnia 4 grudnia 2019 r. (rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo – DzU poz. 2479).

[...]

Autorki są radcami prawnymi w Kancelarii Traple Konarski Podrecki i Wspólnicy.