Z dniem 6 stycznia 2020 r. weszło w życie rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych, odpowiedzialnych za cyberbezpieczeństwo (DzU z 2019 r., poz. 2479).

Wspomniane powyżej nowe rozporządzenie Ministra Cyfryzacji zastąpiło rozporządzenie z dnia 10 września 2018 r. (DzU z 2018 r., poz. 1780), a zmiana jest efektem uwag związanych z realizacją wymagań uchylonego przepisu. Określone m.in. zostały na nowo warunki, które muszą spełniać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo. Zgodnie z treścią § 5 nowego rozporządzenia podmioty świadczące usługi z zakresu cyberbezpieczeństwo oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwa dostosują pomieszczenia lub zespoły pomieszczeń do wymogów określonych w przepisach niniejszego rozporządzenia w terminie sześciu miesięcy od dnia wejścia w życie rozporządzenia.

> WARUNKI ORGANIZACYJNE

Zgodnie z § 1 ust. 1 nowego rozporządzenia wewnętrzna struktura organizacyjna operatora usługi kluczowej odpowiedzialna za cyberbezpieczeństwo jest obowiązana spełnić następujące warunki organizacyjne:

• posiadać, utrzymywać i aktualizować system zarządzania bezpieczeństwem informacji spełniający wymagania Polskiej Normy PN-EN ISO/IEC 27001 w zakresie obejmującym co najmniej świadczone usługi,
• zapewnić ciągłość działania usłudze obsługi incydentu oraz wsparcie operatorowi usługi kluczowej z czasem reakcji adekwatnym do charakteru usługi kluczowej,
• w zakresie realizowanych obowiązków, o których mowa w art. 8 pkt 4 i 6, art. 11 ust. 1 pkt 1–5, art. 12 i art. 13 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, dysponować personelem posiadającym umiejętności:

a) identyfikowania zagrożeń w odniesieniu do systemów informacyjnych operatora usługi kluczowej oraz proponowania rozwiązań ograniczających ryzyko wynikające z tych zagrożeń,
b) analizowania oprogramowania szkodliwego i określania jego wpływu na system informacyjny operatora usługi kluczowej,
c) wykrywania przełamania lub ominięcia zabezpieczeń systemu informacyjnego operatora usługi kluczowej, prowadzenia analizy powłamaniowej wraz z określeniem działań niezbędnych do przywrócenia sprawności systemu informacyjnego operatora usługi kluczowej,
d) zabezpieczania informacji potrzebnych do analizy powłamaniowej, pozwalających na określenie wpływu incydentu poważnego na świadczenie usługi kluczowej, w tym informacji dotyczących:

– rodzajów usług kluczowych, na które incydent miał wpływ,
– liczby użytkowników usługi kluczowej, na których incydent miał wpływ,
– momentu wystąpienia i wykrycia incydentu oraz czasu jego trwania,
– zasięgu geograficznego obszaru, którego dotyczy incydent poważny,
– wpływu incydentu na świadczenie usługi kluczowej przez innych operatorów usług kluczowych i dostawców usług cyfrowych,
– przyczyny zaistnienia incydentu i sposobu jego przebiegu oraz skutków jego oddziaływania na systemy informacyjne lub świadczone usługi kluczowe na potrzeby postępowań prowadzonych przez organy ścigania;

• dysponować prawem do wyłącznego korzystania z pomieszczenia lub zespołu pomieszczeń – w przypadku realizacji obowiązków, o których mowa w art. 8 pkt 4 i 6, art. 11 ust. 1 pkt 1–5, art. 12 i art. 13 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa,
• przeprowadzić analizę ryzyka mającą na celu dobór adekwatnych środków bezpieczeństwa fizycznego i technicznego pomieszczenia lub zespołu pomieszczeń, w których świadczone są usługi z zakresu cyberbezpieczeństwa, w której uwzględnia się wszystkie istotne czynniki mogące mieć wpływ na bezpieczeństwo, w szczególności:

a) rodzaje informacji przetwarzanych w systemach teleinformatycznych,
b) otoczenie i konstrukcję budynków, w których będą świadczone usługi z zakresu cyberbezpieczeństwa,
c) liczbę osób mających lub mogących mieć dostęp do pomieszczenia lub zespołu pomieszczeń, a także posiadane przez nie uprawnienia oraz uzasadnioną potrzebę dostępu do pomieszczenia lub zespołu pomieszczeń,
d) szacowane zagrożenie sabotażem, zamachem terrorystycznym, kradzieżą lub inną działalnością przestępczą.

> NAJWAŻNIEJSZE ZMIANY

W porównaniu z poprzednim rozporządzeniem rozszerzeniu uległy przede wszystkim zapisy dotyczące umiejętności personelu, w szczególności poprzez dodanie wymogu posiadania umiejętności:

• proponowania rozwiązań ograniczających ryzyko wynikające z zagrożeń w odniesieniu do systemów informacyjnych operatora usługi kluczowej,
• wykrywania przełamania lub ominięcia zabezpieczeń systemu informacyjnego operatora usługi kluczowej, prowadzenia analizy powłamaniowej wraz z określeniem działań niezbędnych do przywrócenia sprawności systemu informacyjnego operatora usługi kluczowej.

Zmianie uległ także zapis dotyczący działań zabezpieczających. W poprzednim stanie prawnym wymagana była umiejętność zabezpieczania śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania. Nowe rozporządzenie wymaga z kolei od personelu posiadania umiejętności w zakresie zabezpieczania informacji potrzebnych do analizy powłamaniowej, pozwalających na określenie wpływu incydentu poważnego na świadczenie usługi kluczowej, bardzo szczegółowo wymieniając, jakie informacje powinny podlegać zabezpieczeniu.

Ważną zmianą jest także wskazanie wprost wśród obowiązków organizacyjnych dysponowania prawem do wyłącznego korzystania z pomieszczenia lub zespołu pomieszczeń – w przypadku realizacji obowiązków, o których mowa w art. 8 pkt 4 i 6, art. 11 ust. 1 pkt 1–5, art. 12 i art. 13 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, a także przeprowadzenia analizy ryzyka mającej na celu dobór adekwatnych środków bezpieczeństwa fizycznego i technicznego pomieszczenia lub zespołu pomieszczeń, w których świadczone są usługi z zakresu cyberbezpieczeństwa, w której uwzględnia się wszystkie istotne czynniki mogące mieć wpływ na bezpieczeństwo (z jednoczesnym wyliczeniem przykładowych, acz wydaje się, że także najistotniejszych czynników).

Spośród innych zmian należy również zwrócić uwagę na:

• zmianę posiadania i utrzymywania w aktualności systemu zarządzania bezpieczeństwem informacji spełniającego wymagania Polskiej Normy PN-EN ISO/IEC 27001 na posiadanie, utrzymywanie i aktualizowanie systemu zarządzania bezpieczeństwem informacji spełniającego wymagania Polskiej Normy PN-EN ISO/IEC 27001 w zakresie obejmującym co najmniej świadczone usługi;
• zapewnienie ciągłości działania usłudze obsługi incydentu oraz wsparcia operatorowi usługi kluczowej, z czasem reakcji adekwatnym do charakteru usługi kluczowej w miejsce dwóch obowiązków: zapewnienia ciągłości działania usłudze reagowania na incydenty, polegającej na podejmowaniu działań w zakresie rejestrowania i obsługi zdarzeń naruszających bezpieczeństwo systemów informacyjnych zgodnie z wymaganiami Polskiej Normy PN-EN ISO 22301 oraz zapewnienia wsparcia operatorowi usługi kluczowej w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej. Istotna wydaje się w tym zakresie zmiana usługi reagowania na incydenty na usługę obsługi incydentu, co jest pojęciem szerszym.

[...]

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.