Kolejna nowelizacja projektu ustawy o krajowym systemie cyberbezpieczeństwa. Co się zmieniło?

Proces nowelizowania ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa trwa od 2020 roku, a opiniowanie i konsultacje publiczne przyniosły „jedynie” odpowiednio: 53 uwagi i... 548 uwag.

Jak czytamy w ocenie skutków regulacji, zwykle zwracano uwagę na kwestie opiniowania dostawców sprzętu i oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa pod kątem uznania ich za dostawców wysokiego ryzyka; doprecyzowanie stosowania nowych instrumentów: ostrzeżeń i poleceń zabezpieczających; chodziło też o włączenia do ustawy przepisów prawa wdrażających Europejski Kodeks Łączności Elektronicznej. Pewne spory dotyczyły także spółki Polskie 5G czy Operatora Strategicznej Sieci Bezpieczeństwa (OSSB).

Zmiany, zmiany, zmiany

W uzasadnieniu trzeciej wersji nowelizacji czytamy m.in. o najważniejszych zmianach, jakie wprowadzono w porównaniu do poprzedniego projektu. Dodano choćby zapisy dotyczące krajowego systemu certyfikacji cyberbezpieczeństwa; zasad wyznaczania Operatora Strategicznej Sieci Bezpieczeństwa oraz jego zadań; przyznania zasobów częstotliwości z zakresu 703–733 MHz oraz 758–788 MHz.

Wprowadzono także m.in. nową definicję cyberbezpieczeństwa - zgodną z Aktem o cyberbezpieczeństwie: „są to działania niezbędne do ochrony systemów informacyjnych, użytkowników takich systemów oraz innych podmiotów przed cyberzagrożeniami” (nie powoduje to jednak zmian w zakresie konkretnych obowiązków dot. podmiotów KSC).

Przykładowo, pojęcie „zagrożenie cyberbezpieczeństwa” zostało zastąpione pojęciem „cyberzagrożenia” (zgodnie z Aktem o cyberbezpieczeństwie – red.). Zmianie uległa też m.in. definicja „dostawcy”, „incydentu”, wprowadzono definicję SOC wewnętrznego czy zewnętrznego (Security Operations Center). Jednak to nie wszystko.

KSC na czas pokoju, kryzysu i wojny

W obecnej wersji dodano m.in. ust. 2 w art. 3, co ma sprawić, że KSC będzie miał zastosowanie „we wszystkich stanach gotowości obronnej państwa”.

Jak uzasadniono: „Tym samym wzmocniony zostanie defensywy potencjał państwa poprzez zapewnienie ciągłego rozwoju krajowego systemu cyberbezpieczeństwa. Zapis ten zapewni ciągłość realizacji kompetencji przez krajowy system cyberbezpieczeństwa w stanach pokoju, kryzysu i wojny. Umożliwi współdziałanie lub współpracę podmiotów krajowego systemu cyberbezpieczeństwa w realizacji zadań operacyjnych związanych z zabezpieczeniem potrzeb obronnych w stanie pokoju, jak i ich realizacji w wyższych stanach gotowości obronnej państwa”.

Zgłaszanie incydentów

Nowelizacja dotyczy również CSIRT-ów (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego – red.) poziomu krajowego oraz sektorowego. M.in. operator usługi kluczowej będzie przekazywał fakultatywne informacje o incydentach, cyberzagrożeniach, podatnościach itd. do właściwego dla niego CSIRT sektorowego. Zespół ten przekaże informacje dalej do CSIRT poziomu krajowego. Dodatkowo, zadania operatorów usług kluczowych w zakresie bezpieczeństwa systemów informacyjnych realizowane mają być w ramach SOC wewnętrznych i SOC zewnętrznych.

Uregulowano między innymi obowiązki przedsiębiorcy komunikacji elektronicznej po wykryciu incydentu telekomunikacyjnego, który musi zapewnić dostęp do rejestrowanych incydentów zespołom CSIRT poziomu krajowego i CSIRT Telco.

Natomiast zgodnie z nową treścią art. 26 ust. 2 zespoły CSIRT GOV, CSIRT MON i CSIRT NASK będą mogły udzielić wsparcia w obsłudze incydentów i incydentów telekomunikacyjnych wszystkim podmiotom krajowego systemu cyberbezpieczeństwa oraz operatorom infrastruktury krytycznej. Wprowadzono też nowe uprawnienie Pełnomocnika ds. cyberbezpieczeństwa, który będzie mógł zlecić zapewnienie wsparcia CSIRT NASK (za zgodą ministra właściwego ds. informatyzacji), CSIRT GOV (za zgodą szefa ABW) i CSIRT MON (za zgodą ministra).

Wprowadzono też nową wersję przepisów dotyczących wspólnej procedury CSIRT-ów do obsługi przypadków incydentów, które angażują wiele zespołów.

Przedsiębiorcy telekomunikacyjni będą musieli przekazywać do zespołu CSIRT Telco informacje o wystąpieniu poważnego incydentu telekomunikacyjnego nie później niż w ciągu 8 godzin od chwili jego wystąpienia. Będą musieli raportować kolejne informacje już w czasie obsługi incydentu telko.

Dodatkowo, pojawiły się nowe podmioty w krajowym systemie cyberbezpieczeństwa, zatem ustalono do których CSIRT-ów (poziomu krajowego) powinny zgłaszać incydenty. CSIRT GOV ma być właściwy dla przyjmowania incydentów zgłaszanych przez: Państwowe Gospodarstwo Wodne Wody Polskie, instytucje rozwoju, Urzędu Komisji Nadzoru Finansowego.

Z kolei CSIRT NASK będzie przyjmował zgłoszenia incydentów zgłaszanych przez Centrum Łukasiewicz, instytutów działających w jego ramach, instytutów badawczych, międzynarodowych instytutów badawczych, Polskiej Akademii Nauk, Polskiej Akademii Umiejętności, samodzielnych publicznych zakładów opieki zdrowotnej, uczelni.

Natomiast do CSIRT MON będą zgłaszali incydenty telekomunikacyjne ci przedsiębiorcy komunikacji elektronicznej, którzy są: podmiotami podległymi MON lub przez niego nadzorowanymi, przedsiębiorcami realizującymi zadania na rzecz Sił Zbrojnych. Natomiast do CSIRT GOV będą zgłaszali incydenty telekomunikacyjne przedsiębiorcy komunikacji elektronicznej (którzy są wymienieni w art. 26 ust. 7). Dla pozostałych przedsiębiorców komunikacji elektronicznej właściwym CSIRT będzie CSIRT NASK.

CSIRT-y sektorowe

W nowelizacji zaproponowano też nową treść art. 44, który wprowadza obowiązek powołania przez organ właściwy ds. cyberbezpieczeństwa CSIRT sektorowego - właściwego dla danego sektora lub podsektora, który będzie wspierał operatorów usług kluczowych tego sektora pod względem reagowania na incydenty. Do zadań CSIRT sektorowego będzie należało przyjmowanie zgłoszeń o incydentach oraz reagowanie na incydenty.

Zmiana uprawnień MON

W nowelizacji wprowadzono również zmiany względem MON (w art. 51 pkt 5). Zgodnie z obecnym przepisem, minister obrony narodowej kieruje działaniami związanymi z obsługą incydentów w czasie stanu wojennego.

Teraz zmiana obejmuje punkt, w którym to minister ma kierować działaniami CSIRT-ów również w czasie wojny. Doprecyzowano, że minister obrony narodowej kieruje działaniami związanymi z obsługą incydentów, a także koordynuje działania CSIRT NASK i CSIRT GOV w czasie stanu wojennego oraz czasie wojny - poprzez CSIRT MON. Rozszerzono też koordynację realizacji zadań organów administracji rządowej i jednostek samorządu terytorialnego o czas wojny.

Dodano nowy art. 52a. - funkcjonowanie CSIRT MON zapewnia minister obrony narodowej – w praktyce poprzez podległe mu jednostki, takie jak: Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni czy Służbę Kontrwywiadu Wojskowego.

Dostawca wysokiego ryzyka i zabezpieczenie sieci 5G

Potwierdzono chęć wprowadzenia procedury, która miałaby pozwolić na określenie czy dostawca sprzętu lub oprogramowania - dla podmiotów usług kluczowych i cyfrowych - zostanie uznany za dostawcę wysokiego ryzyka.

Chodzi o produkty ICT, rodzaje usług ICT lub konkretne procesy ICT pochodzące od dostawcy wysokiego ryzyka, które będą musiały zostać wycofane, co ma pomóc w „zapewnieniu ochrony ważnego interesu państwowego w postaci bezpieczeństwa państwa”. Szczegóły tych regulacji opiszemy w kolejnym materiale.

Kim będzie Operator Strategicznej Sieci Bezpieczeństwa?

W nowym kształcie określono również pewne zmiany względem Operatora Strategicznej Sieci Bezpieczeństwa. Będzie to jednoosobowa spółka Skarbu Państwa, przedsiębiorca telekomunikacyjny, który posiada infrastrukturę telekomunikacyjną niezbędną do zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Musi posiadać środki techniczne i organizacyjne, zapewniające bezpieczne przetwarzanie danych w sieci telekomunikacyjnej czy świadectwo bezpieczeństwa przemysłowego pierwszego stopnia.

Od miesięcy mówi się o tym, że tą spółką będzie EXATEL SA (przyznał to nawet w wywiadzie z nami minister Janusz Cieszyński – red.), ponieważ spełna wszystkie te wymagania, właściwie nie posiadając konkurencji w postaci innego podmiotu, który byłby w stanie mu zagrozić.

OSSB będzie mógł świadczyć swoje usługi telekomunikacyjne w oparciu o zasoby częstotliwości użytkowane jako rządowe (w użytkowaniu rządowym lub cywilno-rządowym). Wykorzystanie częstotliwości przez Operatora będzie koordynowane przez ministra obrony narodowej. Jednak (w drodze wyjątku) gospodarowanie częstotliwościami rządowymi z zakresu 703–713 MHz oraz 758–768 MHz będzie należało do prezesa UKE.

Utrzymanie, rozwój i modernizacja strategicznej sieci bezpieczeństwa będzie finansowana w ramach dotacji celowej z budżetu państwa, a w 2023 roku na ten cel ma wyznaczono koszt w postaci 189 mln zł.

Koszty związane z wdrożeniem i utrzymaniem sieci strategicznej w latach 2023-2033 przedstawiono w tabeli.

Czym będzie zajmować się w praktyce OSSB? Świadczeniem usług telekomunikacyjnych na rzecz m.in. Kancelarii Prezydenta RP, Kancelarii Sejmu, Kancelarii Senatu, Kancelarii Prezesa Rady Ministrów, Biuru Bezpieczeństwa Narodowego, ale też sądownictwa i prokuratury, Sił Zbrojnych oraz jednostek podległych lub nadzorowanych przez MON.

Jednocześnie chodzi też o świadczenie usług dla instytucji, które wykonują zadania na rzecz administracji rządowej z zakresu ochrony ludności i obrony cywilnej czy zarządzania kryzysowego.

Co ciekawe, będzie istniał obowiązek korzystania z usług telekomunikacyjnych świadczonych przez OSSB "w ruchomej publicznej sieci telekomunikacyjnej w zakresie niezbędnym do zapewnienia w tych podmiotach realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego". Jednak nie dotyczy on służb specjalnych a także Sił Zbrojnych Rzeczypospolitej Polskiej oraz jednostek podległych lub nadzorowanych przez ministra obrony narodowej. Te podmioty będą mogły podjąć decyzję o korzystaniu z usług (ale będzie to dobrowolne, a nie obowiązkowe – art. 76 f ust.1.).

OSSB będzie mieć obowiązki informacyjne wobec prezesa UKE – będzie przekazywać mu informacje o zawartej umowie, jej cenie i zakresie świadczonych usług w ciągu 14 dni od zawarcia umowy (nowa wersja art. 76i).

Co dalej?

Przypomnijmy, że nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to jedna z najważniejszych regulacji dla branży. Projekt wzbudzał jednak wiele sporów, między innymi w kwesti właśnie Operatora Strategicznej Sieci Bezpieczeństwa, a wcześniej np. – oceny dostawcy wysokiego ryzyka.

Janusz Cieszyński w połowie grudnia br. mówił, że należy „zbudować silny podmiot państwowy”, ale jednocześnie trzeba liczyć się z realiami regulacyjnymi i rynkowymi”.

„Mamy dość jasne stanowisko Komisji Europejskiej, która bardzo mocno broni zasady, że pasmo musi być rozdysponowane w konkurencyjny sposób. Stąd taki pomysł, że decyzje na temat strategicznej kwestii nie zapadają z dnia na dzień (...)” – tłumaczył długi okres prac nad nowelizacją KSC.

Uzasadniał też fakt usunięcie zapisów o spółce Polskie 5G: „Operatorzy podpisali memorandum, że chcą robić Polskie 5G, ale później, jak przyszło co do czego, to się okazało, że jednak nie bardzo chcą to robić (...)” – ocenił.

Tuż przed świętami prezes UKE ogłosił start procesu konsultacji dokumentacji aukcyjnej , który ma potrwać około 190-240 dni, czyli do około sierpnia 2023 roku. To o tyle ważne, że dotyczy pasma C, które ma być wykorzystywane do technologii 5G, dającej większą szybkość, mniejsze opóźnienia i w efekcie nie tylko większy i szybszy transfer danych dla klientów indywidualnych, ale istotnie zmieni to też jakość łączy dla biznesu, przede wszystkim w kontekście gałęzi gospodarki opierających się na Internecie Rzeczy (IoT).

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].