Najczęściej zadawane pytania dotyczące ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560) oraz do rozporządzeń wykonawczych w kategorii Infrastruktura krytyczna:

Jakie są zależności pomiędzy ustawą o krajowym systemie cyberbezpieczeństwa i ustawą o zarządzaniu kryzysowym?

Ustawa o krajowym systemie cyberbezpieczeństwa i ustawa o zarządzaniu kryzysowym są komplementarne – uzupełniają się nawzajem. Jeden podmiot może być zarówno operatorem infrastruktury krytycznej jak i operatorem usługi kluczowej. 

Niektóre wymogi z ustawy (np. posiadanie dokumentacji) zostały dopasowane do operatorów infrastruktury krytycznej.

Operatorzy infrastruktury krytycznej zgłaszają incydenty do CSIRT GOV lub do CSIRT MON.

Czy systemem informacyjnym opisanym w art. 1 ust. 1 pkt. 14 ustawy o krajowym systemie cyberbezpieczeństwa jest też każdy system automatyki przemysłowej działający u operatora usługi kluczowej dla realizacji usługi kluczowej?

Tak, definicja systemu informacyjnego obejmuje również systemy automatyki przemysłowej, od sprawności których zależy świadczenie danej usługi kluczowej.

Czy wymaganie: „posiadać i utrzymywać w aktualności system zarządzania bezpieczeństwem informacji spełniający wymagania PN-EN ISO/IEC 27001” oznacza konieczności certyfikacji podmiotu na zgodność z tym systemem? Czy wymaganie tego paragrafu będzie spełnione jeśli organizacja takiego certyfikatu mieć nie będzie, ale wymagania normy będą w organizacji stosowane?

Ustawa nie wymaga certyfikacji SZBI. Niemniej operator usługi kluczowej powinien wziąć pod uwagę, że koszty wymaganego przepisem ustawy audytu ulegną niewątpliwemu zmniejszeniu, jeśli operator wykaże się certyfikatem SZBI.

Czy powyższe wymaganie dotyczy tak samo zarówno podmiotu świadczącego usługi na rzecz cyberbezpieczeństwa (par 1 pkt 1) jak i wewnętrznej struktury organizacyjnej (par 1 pkt 2)?

Wymaganie dotyczy obu struktur. Należy zauważyć, że OUK w zakresie świadczonej usługi musi ją objąć zakresem SZBI.

Jakie jest podejście do grup kapitałowych? Czy spółki powiązane ze sobą kapitałowo są względem siebie podmiotami świadczącymi usługi z zakresu cyberbezpieczeństwa, co do których powinny być zastosowane zasady tak jakby były w pełni niezależnymi/niepowiązanymi podmiotami?

Operatorem usługi kluczowej jest tylko konkretna spółka, która daną usługę świadczy.

Grupy kapitałowe mogą się zgłaszać do właściwych CSIRT z wnioskiem o obsługę różnych spółek z jednej grupy kapitałowej przez jeden CSIRT.

Przykład: Grupa kapitałowa posiada cztery spółki, z czego jedna jest operatorem usług kluczowych, jedna operatorem infrastruktury krytycznej, jedna świadczy usługi wsparcia dla obu ww., a jedna zajmuje się zupełnie innym typem działań. W takim przypadku, tylko jedna spółka będzie operatorem usług kluczowych, i tylko ona dostanie decyzję. Może za to zgłosić się do CSIRT GOV, aby ze względu na zakres działania i powiązania kapitałowe i funkcjonalne, wszystkie spółki były we właściwości CSIRT GOV. Tego typu działania będą uzgadnianie w porozumieniu z pozostałymi CSIRTami.

Czy podmiot świadczący usługę ochrony mienia (wykorzystujący do świadczenia usługi systemy informacyjne) dla operatora usługi kluczowej w jakimś zakresie powinien stosować ustawę? Jak do tego podejść, czy wszystko uzależnić od otrzymania decyzji z ministerstwa o uznaniu za operatora usługi kluczowej? 

Świadczenie usług ochrony mienia z wykorzystanie systemów informacyjnych (SSWiN, SKD, SNW, stacje monitoringu), nie jest wprost objęte ustawą o krajowym systemie cyberbezpieczeństwa. Usługi ochrony mienia podlegają regulacją ustawy o ochronie osób i mienia. Związek pomiędzy usługą kluczową, a usługą ochrony mienia zachodzi na poziomie planu ochrony.

Należy jednak wskazać, że operator może realizować zadania określone w ustawie przy pomocy zewnętrznych podmiotów (podwykonawców), jednak wówczas musi wymóc na danym podwykonawcy zgodność z ustawą. Zatem jeśli operator przeniesienie ciężar realizacji obowiązków ustawowych na podmiot zewnętrzny, to taki podmiot zewnętrzny może stać się de facto zobowiązany do stosowania ustawy tak długo, jak świadczy usługi dla danego operatora usług kluczowych.

Jak należy identyfikować podmioty które świadczą dla nas usługi z zakresu cyberbezpieczeństwa – czy dostawcy oprogramowania lub podmioty utrzymujące oprogramowanie dot. systemów informacyjnych wykorzystywanych do świadczenia usługi kluczowej też nimi są?

Podmioty świadczące usługi z zakresu cyberbezpieczeństwa to podmioty, które świadczą dla danego operatora zadania, o których mowa w art. 8, art. 9, art. 10 ust. 1-3, art. 11 ust. 1-3, art. 12 i art. 13 ustawy o KSC.

Odpowiedź na to pytanie zależy od tego, jaka usługa kluczowa i w jaki sposób jest świadczona. Jeśli dana usługa jest świadczona przy pomocy systemu informacyjnego, którego infrastruktura i utrzymanie jest przeniesione na podmiot zewnętrzny, to stanie się on podwykonawcą usługi kluczowej i należy zapewnić zgodność z ustawą. 

Art. 8 pkt 1 mówi o szacowaniu ryzyka wystąpienia incydentu – jaki zakres ma objąć ten proces, jakie operacje/procesy powinny podlegać szacowaniu? 

Szacowaniu ryzyka powinny być objęte wszystkie usługi, procesy i operacje, które wpływają na świadczenie usługi kluczowej.

Art. 9 pkt 1 – osoba wyznaczona – jakie uprawnienia/kompetencje powinna posiadać taka osoba, czy to powinien być ktoś z wyższego kierownictwa, czy bardziej operacyjny pracownik?

Ustawa nie wskazuje żadnych konkretnych uprawnień dla osoby kontaktowej. W opinii Ministerstwa Cyfryzacji, wskazanym jest aby to była osoba operacyjna, mająca jednak wiedzę o procesach zachodzących w przedsiębiorstwie – mogąca ocenić, czy dany incydent ma charakter poważny czy nie. Nie musi to być koniecznie osoba z wykształceniem technicznym. 

Czy pomieszczenia, o których w rozporządzeniu w sprawie warunków organizacyjnych (par. 2 ust. 1) – czy warunki odnoszą się do pomieszczeń wymienionych w art. 14 pkt. 2 ust 2 ustawy? I co to znaczy „dysponować prawem do wyłącznego korzystania z pomieszczeń?

Tak, pomieszczenia, o których mowa w rozporządzeniu to pomieszczenia, o których mowa w art. 14 ust. 2 pkt 2 ustawy (tj. pomieszczenia służące do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi). 

Celem użycia terminu „dysponowanie prawem do wyłącznego korzystania z pomieszczeń” było umożliwienie różnych podstaw prawnych do korzystania z pomieszczeń. Nie musi to być własność ani najem, może być inna podstawa prawna, w tym umowa nienazwana, o ile zapewnia ona operatorowi wyłączne korzystanie z pomieszczeń – tzn. jest jedynym korzystającym. Celem było wyłączenie sytuacji typu strefy coworkingowe, biura współdzielone czy biura funkcjonujące wyłączenie w oparciu o pracę zdalną pracowników, bez stałej siedziby. 

W jaki sposób ocenić, czy Gmina posiada na swoim terenie infrastrukturę krytyczną?

Operatorzy infrastruktury krytycznej są wyznaczani przez Dyrektora Rządowego Centrum Bezpieczeństwa, na podstawie niejawnych kryteriów zawartych w Narodowym Programie Ochrony Infrastruktury Krytycznej.