Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Organiazacja wewnętrznych struktur

Data publikacji: 15-06-2020 Autor: Agnieszka Wachowska, Joanna Jastrząb

Wśród licznych obowiązków nałożonych ustawą o krajowym systemie cyberbezpieczeństwa (ustawa o KSC) na operatorów usług kluczowych przewidziano także obowiązek odpowiedniego zorganizowania wewnętrznych struktur, odpowiedzialnych za cyberbezpieczeństwo. Wymogi te mają charakter nie tylko techniczny, ale również organizacyjny, a ich odpowiednie wdrożenie - w założeniach - ma przyczynić się do efektywnej realizacji pozostałych obowiązków w zakresie zapewnienia cyberbezpieczeństwa.

 

Na wstępie warto przypomnieć, że operatorzy usług kluczowych (OUK) to podmioty, wobec których spełnione zostały następujące przesłanki, zgodnie z art. 5 ustawy o KSC:

 

  • podmioty te świadczą określone usługi, uznane w ustawie za kluczowe (dotyczące wskazanych sektorów gospodarki, jak np. sektora energii, sektora transportu czy bankowości i infrastruktury rynków finansowych),
  • świadczone przez nich usługi kluczowe są zależne od systemów informacyjnych (przez co w ramach ustawy o KSC rozumie się zarówno systemy informatyczne – IT, jak i automatyki przemysłowej – OT),
  • ewentualny incydent, dotyczący tych systemów, miałby – zgodnie z ustawą o KSC – „istotny skutek zakłócający dla świadczenia usług” (jego progi są określone w stosownym rozporządzeniu),
  • organ właściwy (tj. właściwy minister lub KNF) wydał w stosunku do nich decyzję administracyjną o uznaniu za operatora usług kluczowych.


Z powyższego wynika, że dopóki w stosunku do danego podmiotu nie została wydana decyzja administracyjna, nie jest on operatorem usługi kluczowej w rozumieniu ustawy o KSC. Dopiero doręczenie decyzji o uznaniu za operatora usług kluczowych powoduje, że rozpoczyna się termin na wprowadzenie zmian w organizacji.


W zależności od rodzaju obowiązków termin ten wynosi od 3 do 12 miesięcy i dotyczy m.in.:•prowadzenia systematycznego szacowania ryzyka oraz wdrożenia odpowiednich środków technicznych i organizacyjnych, proporcjonalnych do oszacowanego ryzyka (art. 8 ustawy o KSC),

  • zarządzania incydentami, w tym ich obsługi (art. 8, 10–11 ustawy o KSC),
  • przygotowania odpowiedniej dokumentacji normatywnej i operacyjnej, dotyczącej cyberbezpieczeństwa systemu wykorzystywanego do świadczenia usługi kluczowej (art. 10 ustawy o KSC oraz rozporządzenie ministra cyfryzacji wydane na podstawie tego przepisu – rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego, wykorzystywanego do świadczenia usługi kluczowej – DzU poz. 2080).

 

> Wewnętrzne struktury czy outsourcing usług?


Co jest istotne, w terminie trzech miesięcy od doręczenia decyzji o uznaniu za OUK operator powinien powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo celem realizacji nałożonych na niego obowiązków, bądź też zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa (art. 14 ust. 1 w zw. z art. 16 pkt 1 ustawy o OUK).


Ustawa nie podaje w tym zakresie żadnych ograniczeń, w tym również ograniczeń co do zakresu outsourcingu. Możliwa jest więc sytuacja, kiedy outsourcowana zostaje całość obowiązków, jak i jedynie ich część – w takim wypadku OUK będzie musiał powołać wewnętrzne struktury celem realizacji pozostałych zadań.


Mając to na uwadze, operator usługi kluczowej powinien, przy uwzględnieniu swoich możliwości organizacyjnych (w tym zasobów, personelu i kompetencji), podjąć decyzję odnośnie do tego:•powoła wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo – stworzy lub wyznaczy zespół odpowiedzialny za realizację przewidzianych ustawą obowiązków (o czym szerzej poniżej),•zawrze umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa – powierzając (w drodze outsourcingu) realizację obowiązków profesjonaliście.


Istotne, aby pamiętać, że w przypadku zawarcia umowy z podmiotem profesjonalnym konieczne jest zgłoszenie jego danych kontaktowych i zakresu powierzonych usług do organu właściwego: CSIRT NASK, GOV lub MON oraz do sektorowego zakresu cyberbezpieczeństwa (art. 14 ust. 3 ustawy o KSC).


Niezależnie jednak, czy OUK zdecyduje się realizować obowiązki własnymi siłami, czy też powierzy je podmiotowi profesjonalnemu, odpowiedzialność za wykonanie tych obowiązków spoczywać będzie finalnie na nim. W razie ewentualnego postępowania kontrol­nego to on będzie więc odpowiadać, jeśli organ właściwy uzna, że obowiązki wynikające z ustawy zostały wykonane w sposób nienależyty. Powyższe dotyczy odpowiedzialności administracyjnej, co nie wyklucza, oczywiście, samej umownej odpowiedzialności outsourcera wobec operatora usług kluczowych, z którym ma zawartą umowę.


> Wymogi wobec struktur odpowiedzialnych za cyberbezpieczeństwo


Zarówno w przypadku powołania wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, jak i powierzenia realizacji obowiązków podmiotowi zewnętrznemu OUK powinien zadbać, by spełnione zostały określone wymogi organizacyjne i techniczne, gwarantujące prawidłową realizację obowiązków nałożonych ustawą KSC na operatora.


Zakres tych warunków organizacyjnych i technicznych jest niemal identyczny w obu przypadkach. Jednak warto przy tym zauważyć, że w przypadku wewnętrznych struktur bezpośredni ciężar realizacji określonych wymogów ponosi OUK (musi dostosować swoją organizację do spełnienia wszystkich zaleceń). Natomiast w przypadku outsourcingu rola OUK ogranicza się do zagwarantowania, że podmiot – specjalizujący się w cyberbezpieczeństwie – te wymogi spełnia. Najczęściej dzieje się to poprzez odebranie odpowiednich oświadczeń i gwarancji w umowie oraz w oparciu o umowne mechanizmy kontrolne, pozwalające na weryfikację spełniania tych wymagań w praktyce.


Artykuł 14 ust. 2 ustawy o KSC wymaga, aby wewnętrzny zespół lub podmiot świadczący usługi z zakresu cyberbezpieczeństwa:

 

  • spełniał warunki organizacyjne i techniczne, pozwalające na zapewnienie cyberbezpieczeństwa obsługiwanemu OUK;
  • dysponował pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi;
  • stosował zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów.


Powyższe ogólne warunki organizacyjne i techniczne zostały szczegółowo doprecyzowane w rozporządzeniu Ministra Cyfryzacji z dnia 4 grudnia 2019 r. (rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo – DzU poz. 2479).

 

[...]

 

Autorki są radcami prawnymi w Kancelarii Traple Konarski Podrecki i Wspólnicy.

 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"