W dniu 5 lipca 2018 r. sejm uchwalił ustawę o krajowym systemie cyberbezpieczeństwa. W uzasadnieniu do projektu ustawy wskazano, że postępujący wpływ technologii teleinformatycznych na rozwój społeczno-gospodarczy powoduje konieczność zapewnienia odpowiedniego poziomu cyberbezpieczeństwa. Dowodem takiej konieczności mogą być chociażby wyniki badań przytoczone w uzasadnieniu projektu ustawy wskazujące, że w 2016 r. w Polsce odnotowano 1926 tzw. incydentów komputerowych, z których ponad połowę stanowiły oszustwa komputerowe. Jednocześnie, wskazana liczba incydentów za 2016 r. oznacza wzrost ich ogólnej liczby o około 30% w stosunku do roku 2015. Ponadto do podjęcia działań legislacyjnych w zakresie cyberbezpieczeństwa obligowała Polskę również unijna dyrektywa (tzw. dyrektywa NIS) zobowiązująca wszystkie państwa członkowskie do zagwarantowania minimalnego poziomu zdolności krajowych w dziedzinie cyberbezpieczeństwa przez:
- ustanowienie odpowiednich organów właściwych do spraw cyberbezpieczeństwa;
- powołania zespołów reagowania na incydenty komputerowe (CSIRT);
- przyjęcia krajowych strategii w zakresie cyberbezpieczeństwa.
Nie ulega więc chyba wątpliwości, że potrzeba kompleksowej ustawowej regulacji kwestii cyberbezpieczeństwa w Polsce jest w pełni uzasadniona i pożądana.
Cyberbezpieczeństwo zostało przez ustawodawcę zdefiniowane dość szeroko jako odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Zakres podmiotów, które w myśl ustawy ma objąć krajowy system cyberbezpieczeństwa jest również dość szeroki. Są to m.in. instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Polska Agencja Żeglugi Powietrznej oraz tzw. operatorzy usług kluczowych oraz dostawcy usług cyfrowych. Operatorzy usług kluczowych to podmioty działające w sektorze energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucję oraz infrastruktury cyfrowej. Dostawcą usług cyfrowych jest zaś, w myśl przepisów ustawy, podmiot świadczący usługi w postaci internetowej platformy handlowej, przetwarzania w chmurze oraz wyszukiwarki internetowej.
Ustawa nakłada na operatorów usług kluczowych szereg obowiązków mających przyczynić się zapewnienia odpowiedniego poziomu cyberbezpieczeństwa. Do katalogu tych obowiązków należy m.in. wdrożenie przez danego operatora systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, opracowanie, stosowanie i aktualizowanie dokumentacji dotyczącej cyberbezpieczeństwa tego systemu, zgłoszenie oraz zapewnienie tzw. obsługi ewentualnych incydentów, czyli zdarzeń, które miały lub mogły mieć niekorzystny wpływ na cyberbezpieczeństwo. Operatorzy usług kluczowych, aby móc sprostać tym obowiązkom będą musieli w myśl przepisów ustawy powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub też zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. Zbliżony zakres obowiązków ma ciążyć również na dostawcach usług cyfrowych. Niewywiązanie się przez operatora usług kluczowych lub dostawcę usług cyfrowych z przewidzianych przez ustawę obowiązków skutkować ma wymierzeniem im kar pieniężnych sięgających nawet do 200 tysięcy zł. Ponadto, jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej albo dostawca usługi cyfrowej uporczywie narusza przepisy ustawy, powodując bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi albo zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych, jest władny wymierzyć karę w wysokości do 1 miliona złotych. Odnotować też trzeba, że organ właściwy do spraw cyberbezpieczeństwa może nałożyć karę pieniężną również na kierownika operatora usługi kluczowej w przypadku gdy nie dochował on należytej staranności w celu spełnienia wskazanych w ustawie obowiązków ciążących na operatorze. Kara ta nie może być wyższa niż 200% miesięcznego wynagrodzenia kierownika.
Przepisy ustawy o krajowym systemie cyberbezpieczeństwa przewidują nadto równoległe funkcjonowanie trzech Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego mających zapewniać spójny i kompletny system zarządzania ryzykiem. Są to:
- CSIRT GOV (prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego);
- CSIRT MON (prowadzony przez Ministra Obrony Narodowej);
- CSIRT NASK (prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy).
Przewidziane dla ustawy vacatio legis jest dość krótkie. Ma ona wejść w życie 14 dni po ogłoszeniu. Organy właściwe do spraw cyberbezpieczeństwa mając zaś w terminie do dnia 9 listopada 2018 r. wydać decyzje o uznaniu konkretnych podmiotów za operatorów usługi kluczowej. Podstawą wydania takiej decyzji ma być świadczenie przez dany podmiot usługi kluczowej, zależność tego świadczenia od systemów informacyjnych oraz fakt, że ewentualny incydent miałby istotny skutek zakłócający świadczenie danej usługi kluczowej.
