• Jakie są obowiązki operatorów?

Pełne obowiązki operatorów usług kluczowych są określone w ustawie o KSC i każdy operator powinien się z nimi zapoznać, aby móc zapewnić zgodność z ustawą. 

Do najważniejszych grup obowiązków należą:

1. zarządzanie ryzykiem (w tym szacowanie ryzyka);
2. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych (w tym utrzymanie i bezpieczną eksploatację systemu informacyjnego; bezpieczeństwo fizyczne i środowiskowe; bezpieczeństwo i ciągłość dostaw; wdrażanie, dokumentowanie i utrzymywanie planów działania);
3. zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty;
4. obsługa incydentów i współpraca w tym zakresie z właściwym CSIRT; wyznaczenie osoby kontaktowej na potrzeby KSC.

 

• Kto będzie operatorem usług kluczowych?

Operatorami będą podmioty (zarówno przedsiębiorcy jak i podmioty publiczne), które:

• świadczą usługi kluczowe,
• świadczenie tych usług jest zależne od systemów informacyjnych,
• incydent w tym podmiocie miały istotny skutek zakłócający dla świadczenia tej usługi.

Przy czym wykaz usług kluczowych znajduje się w rozporządzeniu. Kwestia zależności od systemów informacyjnych opiera się na tym, na ile daną usługę można świadczyć bez funkcjonującego systemu informacyjnego. 
Do takich systemów informacyjnych można zaliczyć np. systemy sterowania, monitoringu świadczenia usługi, bazy danych. Nie jest konieczne jednak uwzględnianie systemów wspomagających takich jak programy księgowe, prawne, kadrowe, o ile ich brak funkcjonowania nie wpływa na jakość lub – szerzej – możliwość świadczenia usługi.
Decyzje będą wydawana na zasadach ogólnych, zgodnie z kodeksem postepowania administracyjnego.

• Jak robić audyty?

Ustawa nakłada na operatorów obowiązek przeprowadzenia, raz na dwa lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

Audyt może przeprowadzić:

1. jednostka oceniająca zgodność, akredytowana we właściwym zakresie [Akredytacji jednostek oceniających zgodność, w tym w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych, dokonuje Polskie Centrum Akredytacji (PCA)];
2. sektorowy zespół cyberbezpieczeństwa [Na dzień dzisiejszy (luty 2020) nie ustanowiono żadnego sektorowego zespołu cyberbezpieczeństwa. Należy sprawdzać na bieżąco, czy w danym sektorze organ właściwy powołał taki zespół];
3. co najmniej dwóch audytorów o określonych kompetencjach.

Zespół dwóch audytorów powinien posiadać certyfikaty określone we właściwym rozporządzeniu lub posiadać odpowiednią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych (tzn. co najmniej trzyletnią praktykę bez wykształcenia kierunkowego lub co najmniej dwuletnią praktykę oraz dyplom ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych).

• Kiedy będą wydane decyzje?

Zostały już wszczęte pierwsze postępowania administracyjne. W zależności od sektora (ilość podmiotów, charakter progów, dostępność informacji) decyzje będą wydawane od razu lub po uzyskaniu odpowiednich dowodów na rodzaj i wielkość działalności.
Decyzje będą wydawana na zasadach ogólnych, zgodnie z kodeksem postepowania administracyjnego.
Organy właściwe będą wydawać decyzje w trybie ciągłym, badając rynek na bieżąco.

• Czy trzeba się certyfikować?

Certyfikacja nie jest niezbędna do uzyskania zgodności z ustawą. Warto jednak wskazać, że najważniejszy jest efekt – osiągnięcie odpowiedniego poziomu bezpieczeństwa. 
Certyfikowany system ma większe szanse na bycie zgodnym z ustawą, ale nie jest to niezbędne.

• Jakie wymogi techniczne wynikają z ustawy?

Ustawa obejmuje wiele różnych podmiotów z różnych sektorów gospodarki, zatem staraliśmy się zminimalizować ilość sztywnych wymogów technicznych. Sposób realizacji obowiązków dotyczących szacowania ryzyka czy zapewnienia odpowiedniego poziomu bezpieczeństwa świadczonych usług zależy od operatora danej usługi.
Postawiono jednak wymogi w zakresie dokumentacji (patrz punkt poniżej) oraz warunków. 

• Jaką dokumentację muszę mieć przygotowaną?

Każdy system informacyjny służący do świadczenia usługi kluczowej musi być zabezpieczony przed ingerencją osób trzecich i awariami. Przygotowane zabezpieczenia należy udokumentować.

Dokumentację w rozumieniu ustawy stanowi:

• dokumentacja o stosowanym systemie zarządzania bezpieczeństwem informacji;
• dokumentacja ochrony fizycznej i środowiskowej infrastruktury służącej do świadczenia usługi kluczowej (w tym szacowania ryzyka);
• dokumentacja zapewnienia ciągłości działania (Business Continuity Management)
• dokumentacja techniczna systemu informacyjnego służącego do świadczenia usługi kluczowej.

Szczegółowe wymogi są określone w rozporządzeniu w sprawie rodzajów dokumentacji. 

• Do kogo zgłaszać incydenty?

Incydenty należy zgłaszać do właściwego zespołu reagowania na incydenty komputerowe (CSIRT). CSIRTy w Polsce, w rozumieniu ustawy o KSC, są trzy na poziomie krajowym. Każdy podmiot KSC powinien wiedzieć, jaki CSIRT jest dla niego właściwy.

Właściwość CSIRT jest określona w ustawie. W uproszczony sposób przedstawia się tak:

• Na czym polega obsługa incydentów i czym się różni od zarządzania incydentem?

Obsługa incydentu to czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu. Są to niezbędne kroki konieczne do obsługi incydentu.

Natomiast zarządzanie incydentem obejmuje obsługę incydentu (czyli wszystkie wyżej wymienione etapy), wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków wynikających z obsługi incydentu.

• Dlaczego warto zgłaszać incydenty?

Zgłaszanie incydentów jest podstawą cyberbezpieczeństwa kraju - bez zgłoszeń o incydentach instytucje odpowiedzialne za bezpieczeństwo cybernetyczne kraju nie mają pełnego obrazu zagrożeń i sytuacji w polskich sieciach. 

Niektóre rodzaje ataków nie ujawniają się w raportach wykryć systemów wczesnego ostrzegania - przede wszystkim nie da się tak wykryć ataków celowanych oraz wykorzystujących oszustwo, takich jak phishing czy oszustwo nigeryjskie. Dlatego też zgłoszenia zagrożeń, zarówno od instytucji jak i od obywateli, są niezbędnym składnikiem krajowego systemu cyberbezpieczeństwa, bez którego to składnika System nie może funkcjonować.

Dzięki analizie zgłaszanych zagrożeń i nadsyłanym przez zgłaszających próbkom złośliwego oprogramowania, specjaliści z CERT Polska mogą opracować środki zaradcze: sygnatury złośliwego oprogramowania, programy do odszyfrowywania danych zaszyfrowanych przez ransomware, czy narzędzia do wykrywania systemów podatnych na atak.

Cenne jest dla nas każde zgłoszenie, zwłaszcza jeśli zawiera próbkę złośliwego oprogramowania, podejrzaną phishingową wiadomość czy wycinek dziennika pracy systemu z zapisem zdarzeń w czasie ataku.
Zgłaszając internetowe ataki i zagrożenia tworzymy obraz cyberbezpieczeństwa Polski i jednocześnie umożliwiamy ich odpieranie dzięki pracy ekspertów analizujących zgłoszenia i konstruujących środki zaradcze. Dzięki temu polska sieć staje się bezpieczniejsza dla wszystkich jej użytkowników.

• Czy zgłoszenie incydentu do CSIRT to wszystko, co mogę zrobić?

Nie zawsze. W przypadku przestępstw, równie ważne co zgłoszenie do CERT Polska, jest zgłoszenie incydentu na Policję. NASK nie jest w takiej sprawie stroną, zawiadomienie o podejrzeniu popełnienia przestępstwa musi złożyć poszkodowana instytucja lub obywatel. Zgłoszenie można dokonać w dowolnej jednostce policji. W przypadku zgłoszenia przestępstwa w jednostce, która nie jest właściwa dla miejsca jego popełnienia — zgłoszenie zostanie przekazane do odpowiedniej jednostki, gdzie sprawa będzie prowadzona. Organa ścigania mogą wtedy podjąć działania śledcze, korzystając ze swoich możliwości procesowych oraz operacyjnych, które wykraczają poza możliwości CERT Polska.

Jeśli w związku z incydentem mogło dojść do naruszenia ochrony danych osobowych, należy kontaktować się w tej sprawie z Urzędem Ochrony Danych Osobowych, który przyjmuje zgłoszenia takich incydentów.

• Czy urządzenia telekomunikacyjne mogą być poddane badaniu, o którym mowa w art. 26 ust. 3 pkt 9 oraz w art. 33 ust. 1  ustawy o KSC?

Tak, urządzenia telekomunikacyjne mogą być poddane takiemu badaniu (w celu identyfikacji podatności, której wykorzystanie może zagrozić
w szczególności integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa), jeśli spełniają przesłankę bycia urządzeniem informatycznym lub oprogramowaniem.

• Jaki jest zakres stosowania ustawy o KSC w stosunku do przedsiębiorców telekomunikacyjnych?

Na podstawie art. 1 ust. 2 pkt 1 ustawy o KSC przedsiębiorcy telekomunikacyjni, w zakresie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów, podlegają regulacjom ustawy z dnia 16 lipca 2004r. Prawo telekomunikacyjne (do Urzędu Komunikacji Elektronicznej zgłaszane są najważniejsze incydenty w sieciach telekomunikacyjnych). W związku z powyższym, jeżeli przedsiębiorca telekomunikacyjny prowadzi wyłącznie działalność wymienioną w art. 2 pkt 27 ustawy Prawo telekomunikacyjne, to korzysta z dobrodziejstwa wyłączenia przewidzianego w art. 1 ust. 2 pkt 1 ustawy o KSC i nie podlega przepisom tej ustawy w zakresie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów. Natomiast w przypadku, gdy przedsiębiorca telekomunikacyjny zostanie uznany za operatora usługi kluczowej w danym sektorze np. infrastruktura cyfrowa, wówczas będzie podlegał tylko i wyłącznie regulacjom ustawy o KSC. Uznanie przedsiębiorstwa telekomunikacyjnego za operatora usługi kluczowej w rozumieniu ustawy o KSC, pociąga za sobą realizację obowiązków wynikających z tej ustawy w całej rozciągłości (w tym także w odniesieniu do wymogów dotyczących bezpieczeństwa i zgłaszania incydentów w zakresie świadczonej usługi kluczowej).

• Jaki zakres obowiązków spoczywa na osobie odpowiedzialnej za utrzymanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa? Czy osoba kontaktowa powinna posiadać odpowiednie kompetencje, wiedzę z zakresu cyberbezpieczeństwa? W jakim stopniu osoba wyznaczona do kontaktu powinna być dostępna?

Na podstawie art. 9 ust. 1 pkt. 1 ustawy o KSC, operator usługi kluczowej wyznacza osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Zakres obowiązków wyżej wymienionej osoby, obejmuje bieżące kontakty z podmiotami należącymi do krajowego systemu cyberbezpieczeństwa (np. z właściwym zespołem CSIRT w zakresie obsługi incydentu). Powołanie osoby odpowiedzialnej za utrzymywanie kontaktów ma na celu sformalizowanie i wzmocnienie relacji między poszczególnymi podmiotami. Osoby wyznaczone do kontaktu mają być dostępne w kwestii bezpieczeństwa usługi kluczowej i pełnić jedynie funkcję „łącznika”.

Prawodawca nie określił wymagań kompetencyjnych osób wyznaczonych do kontaktu. Zasadne jest jednak, aby wyznaczona osoba posiadała wiedzę z zakresu usługi kluczowej świadczonej przez operatora oraz systemów informacyjnych wykorzystywanych do jej świadczenia. Powyższą wiedzą dysponują najczęściej pracownicy pionu IT lub pionu bezpieczeństwa w danym podmiocie. Ponadto przy wyznaczaniu osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, należy zwrócić uwagę, aby kontakt z wyznaczoną osobą, np. z racji hierarchii zajmowanego stanowiska, nie był utrudniony. Stopień dostępności zależy od uwarunkowań wewnętrznych operatora,  np. czy usługa jest świadczona w systemie 24/7.

• Jak należy rozumieć autentyczność danych, o których mowa w art. 8 pkt 5a ustawy o KSC?

Stosowanie mechanizmów zapewniających m.in. autentyczność danych przetwarzanych w systemie informacyjnym należy rozumieć jako jeden z atrybutów bezpieczeństwa informacji, obok poufności, integralności czy dostępności. Norma ISO 27000 zawiera definicję autentyczności informacji, którą można się posiłkować.

• W jaki sposób traktować centra usług wspólnych lub dedykowane usługom teleinformatycznym spółki córki, świadczące swoje usługi dla wszystkich podmiotów np. w grupie kapitałowej? Czy są to wewnętrzne struktury organizacyjne odpowiedzialne za cyberbezpieczeństwo, czy podmiot świadczący usługę z zakresu cyberbezpieczeństwa?

Klasyfikacja zależy od struktury własnościowej danego podmiotu. Zastosowanie mają ogólne zasady prawa handlowego dotyczące spółek.

• Jaki powinien być zakres (co powinien obejmować) systemu zarządzania bezpieczeństwem informacji (SZBI), o którym mowa w art. 8 ustawy o KSC i który ma być zgodny z PN-EN ISO/IEC 27001?

Zakresem systemu zarządzania bezpieczeństwem informacji, o którym mowa w art. 8 ustawy o KSC powinny być objęte te procesy, które mają wpływ na bezpieczeństwo świadczenia usługi kluczowej. Nie musi on obejmować całości działalności podmiotu.

• Czy wdrożone, udokumentowane i utrzymywane plany działania, o których mowa w art. 8 pkt 2 lit. d ustawy o KSC, mają na celu zapewnienie ciągłego i niezakłóconego świadczenia wyłącznie samej usługi kluczowej, czy również systemów informacyjnych, od których zależy świadczenie usługi kluczowej?

Operatorem usługi kluczowej może być wyłącznie podmiot, który świadczy usługę kluczową zależną od systemów informacyjnych. Usługa kluczowa pozostaje w nierozerwalnym związku z systemem informacyjnym. Operator ma obowiązek zapewnić bezpieczeństwo dla całej usługi kluczowej. W związku z powyższym, plany działania umożliwiające ciągłe i niezakłócone świadczenie usługi powinny dotyczyć również systemów informacyjnych, bez których usługa kluczowa nie może być świadczona.

• W jaki sposób operator usługi kluczowej zapewnia dostęp właściwemu zespołowi CSIRT do informacji o rejestrowanych incydentach? Czy prawo dostępu dotyczy wszystkich zarejestrowanych incydentów (w tym tych, które nie zostały sklasyfikowane jako poważne)?

Operator usługi kluczowej ma obowiązek zapewnić właściwemu zespołowi CSIRT dostęp do wszystkich zarejestrowanych przez siebie incydentów w zakresie, w jakim jest to niezbędne do realizacji przez zespół zadań. Sposób realizacji tego obowiązku należy do decyzji CSIRT. Nie może on jednak, powodować dodatkowych obciążeń po stronie operatora. Cel dostępu jest uzasadniony przez zadania zespołów CSIRT.

• W jakiej formie operator usługi kluczowej może przekazywać do właściwego zespołu CSIRT informacje, o których mowa w art. 13 ust. 1 pkt 1-5 ustawy o KSC?

Informacje przekazywane przez operatorów usług kluczowych do właściwego zespołu CSIRT dotyczące: innych incydentów, zagrożeń cyberbezpieczeństwa, szacowania ryzyka, podatności oraz wykorzystywanych technologii mają charakter dobrowolny. W związku z tym, wybór formy przekazania powyższych informacji pozostawiono operatorom usług kluczowych. Obecnie, przekazywanie informacji może mieć miejsce w drodze porozumień np. Partnerstwo dla Cyberbezpieczeństwa. W przyszłości będzie to możliwe poprzez system teleinformatyczny o którym mowa w art. 46 ustawy o KSC, który Minister właściwy do spraw informatyzacji ma uruchomić do dnia 01 stycznia 2021r.

• Czy operator usługi kluczowej ma obowiązek szacowania wszystkich ryzyk wystąpienia incydentu, czy tylko tych dotyczących systemu informacyjnego?

Szacowanie ryzyka, czyli całościowy proces jego analizy i oceny, powinien dotyczyć wszystkich ryzyk, w tym fizycznych, środowiskowych, osobowych itp.

• Czy "nadzór nad dokumentacją" dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej może być realizowany w ramach SZBI, zgodnie z wymaganiami norm dotyczących systemów zarządzania, np. ISO 9001 lub ISO 27001?

Tak.

• Czy osoba prowadząca czynności kontrolne, mająca prawo wstępu i poruszania się po terenie podmiotu kontrolowanego bez obowiązku uzyskania przepustki, podlega procedurom bezpieczeństwa obowiązującym w podmiocie kontrolowanym?

Osoba prowadząca czynności kontrolne podlega procedurom bezpieczeństwa, które obowiązują w podmiocie kontrolowanym. Swobodny wstęp i poruszanie się po terenie podmiotu kontrolowanego bez obowiązku uzyskania przepustki ma na celu uniemożliwienie blokowania wstępu kontrolerom, natomiast podmiot kontrolowany stosuje takie procedury wstępu, które nie utrudnią przeprowadzenia kontroli.

• Co wchodzi w zakres dokumentacji technicznej systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej na podstawie rozporządzenia, o której mowa w § 2 ust. 4 Rozporządzenia Rady Ministrów z dnia 16 października 2018r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz.U. z 2018 r. poz. 2080)?

Dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej obejmuje dokumentację powykonawczą systemu teleinformatycznego wraz ze zmianami, które zostały dokonane podczaj jego eksploatacji.

• Czy w ramach postępowań o uznanie podmiotu za operatora usługi kluczowej udało się wypracować definicję „autorytatywnego serwera DNS”? Czy stosowanie technologii DNS Anycast również stanowi „prowadzenie autorytatywnego serwera DNS” w rozumieniu rozporządzenia?

DNS operuje w warstwie aplikacji modelu OSI, a standardy jego działania  zostały opisane w dokumentach RFC 1034 oraz RFC 1035. Za autorytatywny serwer DNS uznaje się serwer posiadający pierwotną informację o adresach IP danej strefy.

W odróżnieniu od innych DNS serwer autorytatywny nie ma ograniczenia czasowego przechowywania rekordu łączącego nazwę domenową z adresem IP (TTL). Zmiana zawartości rekordu następuje jedynie w przypadku zmiany adresu IP danej domeny. Technologia DNS Anycast, to w istocie mirroring serwera autorytatywnego w wielu lokalizacjach.

Dysfunkcja tego rozwiązania nastąpi jeśli utracona zostanie spójność wpisów w poszczególnych serwerach tworzących DNS Anycast.

• Jak należy interpretować sformułowanie „brak dostępności usługi autorytatywnego serwera DNS” w przypadku incydentu poważnego? Ponadto, czy chodzi o brak dostępności usługi autorytatywnego serwera DNS dla wszystkich użytkowników, dla określonej procentowo liczby użytkowników czy może nawet brak dostępności dla jednego użytkownika?

Za „brak dostępności usługi autorytatywnego serwera DNS” należy uznawać stan, w którym DNS nieautorytatywne nie mogą uzyskać odpowiedzi z przyczyn zawinionych lub niezawinionych, leżących po stronie podmiotu utrzymującego serwer autorytatywny (awaria samego serwera lub sieci łączącej serwer autorytatywny z Internetem).

• Czy w świetle rozporządzenia regulującego warunki techniczne dla wewnętrznych struktur organizacyjnych dopuszczalne jest przykładowo posiadanie dwóch par drzwi zewnętrznych o klasie RC3 zamiast jednej pary drzwi zewnętrznych o klasie RC4 jak wymaga tego rozporządzenie? Czy dopuszczalne jest stosowanie środków, które dają analogiczne lub lepsze zabezpieczenie, ale nie są to jednak wprost środki określone w rozporządzeniu?

Takie rozwiązanie jest możliwe, albowiem istotą przepisu jest wymóg zastosowania zabezpieczenia technicznego zapewniającego określony przez normę czas opóźnienia na uzyskanie przez intruza dostępu do pomieszczenia.

• Czy obsługa incydentów może mieć miejsce wyłącznie z pomieszczeń, które spełniają wymogi rozporządzenia dot. warunków technicznych dla wewnętrznych struktur? Czy może istotne jest tylko dysponowanie prawem do wyłącznego korzystania z tych pomieszczeń, a obsługa incydentów – w sytuacji gdy nie wpływa to na efektywność obsługi incydentu – możliwa jest również z innych miejsc?

Ratio legis ustanowienia wymogów bezpieczeństwa jest zapewnienie bezpieczeństwa informacji pozyskiwanych od podmiotu, dla którego usługa jest świadczona, a także dla informacji przekazywanych do tego podmiotu. Mając na względzie, że w związku z tym iż w trakcie obsługi incydentu ze strony usługobiorcy mogą być przekazywane informacje stanowiące tajemnicę przedsiębiorstwa, dane osobowe lub inne informacje prawnie chronione muszą być zastosowane środki ochrony tych informacji.

Ponadto w trakcie obsługi incydentu do usługobiorcy mogą być przekazywane informacje mogące oddziaływać na funkcjonowanie jego systemów, a zatem muszą to być informacje wiarygodne. Jeżeli w trakcie obsługi incydentu dochodzi do zabezpieczenia śladów kryminalistycznych, to tak zabezpieczony materiał musi być przechowywany w sposób uniemożliwiający jego kompromitację. Jeżeli w trakcie obsługi incydentu wykonywane są czynności związane z fizycznym dostępem do systemu usługobiorcy, to oczywistym jest, że czynności takie będą wykonywane poza pomieszczeniami usługodawcy. Również czynności pomocnicze, które nie wymagają przetwarzania informacji prawnie chronionych mogą odbywać się poza pomieszczeniami, o których mowa w rozporządzeniu.

Niedopuszczalne jest jednak aby w pomieszczeniach, o których mowa, przebywały osoby postronne bez nadzoru osób uprawnionych.

• Systematyczne szacowanie ryzyka – jaka jest rekomendowana częstotliwość szacowania ryzyka?

Należy przyjąć, że maksymalnym interwałem pomiędzy kolejnymi szacowaniami ryzyka jest jeden rok. Zależy to jednak od charakteru usługi kluczowej i czynników sektorowych.

Szacowanie ryzyka powinno się odbywać również w przypadku zaistnienia zmian organizacyjnych, lokalowych lub po incydencie wewnątrz podmiotu świadczącego usługę cyberbezpieczeństwa.

• Jak rozumieć termin „prawo do wyłącznego korzystania z pomieszczeń”? Czy chodzi o prawo do wyłącznego korzystania z pomieszczeń z wyłączeniem pracowników niewchodzących w skład wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, czy może chodzi o prawo do wyłącznego korzystania z pomieszczeń z wyłączeniem dostępu podmiotów zewnętrznych?

Ten zapis ma na celu zapewnienie, aby bez nadzoru w pomieszczeniach mogły przebywać jedynie osoby uprawnione, wykonujące zadania
z zakresu usług cyberbezpieczeństwa. Nie ma znaczenia forma prawna korzystania z pomieszczeń (własność, najem etc.), o ile ten warunek jest spełniony.

• Czy przed określeniem minimalnych wymogów dla wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo analizowano rozwiązania przyjęte w tym zakresie w innych państwach członkowskich? Czy którekolwiek inne państwo członkowskie wskazuje takie minimalne zabezpieczenia? Czy nie lepszym rozwiązaniem byłoby pozostawienie wyboru odpowiednich środków zabezpieczenia wyłącznie na podstawie szacowania ryzyka?

W chwili prac nad pierwotnym tekstem rozporządzenia (konsultacje publiczne odbyły się w czerwcu 2018 r.) nie były znane podobne rozwiązania w innych krajach. Dyrektywa NIS nie była jednak wówczas jeszcze w pełni zaimplementowana przez kraje członkowskie UE i taka analiza nie byłaby pełna. Dodatkowe działania w tym zakresie będą przeprowadzone podczas nowelizacji rozporządzenia.

Znane rozwiązania prawne z innych dziedzin, bazujące na szacowaniu ryzyka, bardzo często zawierają wymagania minimalne. Zgodnie z metodyką postępowania
z ryzykiem dopuszczalne jest tolerowanie zidentyfikowanego ryzyka nawet o wysokim poziomie. Wyznaczenie wymagań minimalnych służy uniknięciu takich sytuacji.

• Czy dopuszczalne jest typowe przebywanie przez wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo w pomieszczeniu, które nie spełnia wymogów rozporządzenia, a jedynie przemieszczanie się na potrzeby obsługi incydentu do pomieszczenia, które spełnia wymogi rozporządzenia?

Nie wszystkie pomieszczenia w organizacji muszą spełniać wymogi. Muszą to być te pomieszczenia, które służą do świadczenia usług cyberbezpieczeństwa. Inne pomieszczenia nie muszą spełniać tych wymogów, o ile nie wpływa to na obniżenie poziomu ochrony informacji. Przykładowo – toalety i pomieszczenia socjalne nie muszą spełniać omawianych wymagań.

• Czy w trakcie szacowania ryzyka nieuprawnionego dostępu do pomieszczeń dla wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo konieczne jest przeprowadzenie szacowania ryzyka do odniesieniu do każdego elementu infrastruktury z osobna (okna, drzwi, ściany itp.), czy też dopuszczalne jest oszacowanie ryzyka nieuprawnionego dostępu do pomieszczenia wewnętrznych struktur odpowiadających za cyberbezpieczeństwo jako całości?

Należy postępować według zasady najsłabszego ogniwa łańcucha.

• Jak należy rozumieć pojęcie „nieautoryzowana zmiana w bazie danych autorytarnego serwera DNS”?

Poprzez pojęcie „nieautoryzowana zmiana w bazie danych serwera DNS” należy rozumieć każdą zmianę we wpisie w bazie danych serwera DNS, która miała miejsce bez akceptacji właściciela domeny. Zmiana ta może być wynikiem zarówno działania osób fizycznych, jak również awarii sprzętu lub oprogramowania.

• Czy Polska Norma PN-EN ISO/IEC 27001 spełnia wymagania stawiane przez ustawę o krajowym systemie cyberbezpieczeństwa dla Operatorów Usług Kluczowych?

Tak. Zgodnie z rozporządzeniem Ministra Cyfryzacji z dnia 4 grudnia 2019 roku w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo, operator musi posiadać, utrzymywać i aktualizować system zarządzania bezpieczeństwem informacji spełniający wymagania normy PN-EN ISO/IEC 27001.

• Czy w ramach udostępnienia informacji publicznej Ministerstwo Cyfryzacji może wskazać, które podmioty dostały decyzję o uznaniu za Operatorów Usług Kluczowych?

Nie. Dane z wykazu operatorów usług kluczowych minister właściwy ds. informatyzacji, czyli Minister Cyfryzacji, może udostępnić jedynie wymienionym wprost w ustawie podmiotom m.in. Policji, Straży Granicznej, prokuraturze, organom właściwym do spraw cyberbezpieczeństwa, czy zespołom CSIRT, w zakresie niezbędnym do realizacji ich ustawowych zadań.