Nowe rozporządzenie ws. warunków organizacyjnych i technicznych

23 grudnia opublikowano nowe rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla operatorów usług kluczowych. Rozporządzenie jest modyfikacją rozporządzenia z dnia 10 września 2018 r., wprowadza mniej radykalne wymogi zabezpieczenia pomieszczeń i uzależnia dostosowanie poziomu zabezpieczeń od szacowanego ryzyka.

Ustawa o krajowym systemie cyberbezpieczeństwa nakłada konkretne obowiązki na firmy oraz instytucje, które zostały wyznaczone jako operatorzy usług kluczowych[1]. Są to zadania, mające zapewnić bezpieczeństwo świadczonych usług kluczowych oraz ciągłość ich świadczenia, takie jak:

  • wdrożenie systemu zarządzania bezpieczeństwem;
  • obsługa i zgłaszanie incydentów;
  • systematyczne przeprowadzanie audytów bezpieczeństwa.

Aby zrealizować te zadania, operator usługi kluczowej musi powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo. Może również zawrzeć umowę z podmiotem zewnętrznym, który świadczy usługi z zakresu cyberbezpieczeństwa.

Szczegółowe warunki organizacyjne i techniczne, jakie muszą spełnić operatorzy usług kluczowych zostały określone w rozporządzeniu z 10 września 2018r. Jednak przepisy spotkały się z krytyką ze strony przedsiębiorców, którzy postulowali zmianę rozporządzenia. Przedsiębiorcy zgłaszali konieczność m.in.:

  • wprowadzenia wymogu zastosowania zabezpieczeń adekwatnych do oszacowanego ryzyka w danej instytucji, a nie wpisanych na sztywno w rozporządzeniu;
  • doprecyzowania zapisów o minimalnych wymogach ochrony fizycznej, w tym wprowadzenie mniej radykalnych przepisów dot. ochrony pomieszczeń;
  • doprecyzowania zapisów dot. zabezpieczania śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania[2].

W związku z tym Ministerstwo rozpoczęło pracę nad zmianą rozporządzenia. Nowe rozporządzenie zostało uchwalone opublikowane 23 grudnia i wejdzie w życie w terminie 14 dni od dnia ogłoszenia. Największe zmiany dotyczą zapisów umożliwiających dostosowanie poziomu zabezpieczeń do przeprowadzonej przez operatora analizy ryzyka i zmniejszenia wymogów fizycznej ochrony pomieszczeń, w których realizowane są obowiązki ustawowe. Ustawodawca dopuścił również możliwość pracy zdalnej personelu realizującego zadania z zakresu cyberbezpieczeństwa, pod warunkiem odpowiedniego zabezpieczenia systemu i minimalizacji ryzyka.

Rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo

Warunki organizacyjne:

Bez względu na to, czy dany operator usługi kluczowej powołuje wewnętrzną strukturę organizacyjną, czy też korzysta z usługi świadczonej przez podmiot zewnętrzny, jest zobowiązany spełnić następujące warunki organizacyjne:

  • posiadać system zarządzania bezpieczeństwem informacji spełniający wymagania normy PN-EN ISO/IEC 27001;
  • zapewnić ciągłość działania obsługi incydentu;
  • przeprowadzić analizę ryzyka, która ma na celu dobór adekwatnych środków bezpieczeństwa w kontekście:
    • rodzaju informacji przetwarzanych w systemach,
    • otoczenia i konstrukcji budynków, w których świadczone są usługi z zakresu cyberbezpieczeństwa,
    • liczby osób mających dostęp do pomieszczeń, w których świadczone są usługi z zakresu cyberbezpieczeństwa,
    • zagrożenia sabotażem, zamachem terrorystycznym, kradzieżą lub inną działalnością przestępczą.

Kompetencje personelu:

  • identyfikowanie zagrożeń w systemach informacyjnych operatora usługi kluczowej i proponowania rozwiązań zmniejszających ryzyko wystąpienia zagrożeń,
  • analizowanie szkodliwego oprogramowania i określania jego wpływu na system operatora usługi kluczowej,
  • wykrywanie naruszenia zabezpieczeń systemu operatora usługi kluczowej, a także analizowania włamania i przywrócenia sprawności systemu,
  • zabezpieczanie informacji potrzebnych do analizy powłamaniowej, w tym: informacji o rodzaju usług kluczowych, które zostały naruszone, liczby poszkodowanych użytkowników, momentu wystąpienia i czasu trwania incydentu, zasięgu geograficznego wpływu incydentu, możliwości wpływu na świadczenie usługi kluczowej przez innych operatorów, a także przyczyny wystąpienia incydentu i jego przebieg.

Dodatkowo podmiot zewnętrzny jest zobowiązany:

  • zapewnić wsparcie operatorowi usługi kluczowej z czasem reakcji adekwatnym do charakteru usługi kluczowej;
  • posiadać i udostępniać w języku polskim i angielskim deklarację swojej polityki działania w zakresie określonym dokumentem RFC 2350 (IETF).

Warunki techniczne:

Rozporządzenie określa również szczegółowe kryteria techniczne, z których muszą się wywiązać operatorzy usług kluczowych lub podmioty zewnętrzne świadczące usługi z zakresu cyberbezpieczeństwa dla operatorów:

  • dysponować sprzętem i narzędziami umożliwiającymi:
    • rejestrację zgłoszeń incydentów,
    • analizę kodu szkodliwego oprogramowania,
    • badanie odporności systemów na złamanie lub ominięcie zabezpieczeń,
    • zabezpieczanie informacji potrzebnych do analizy powłamaniowej pozwalające na określenie wpływu incydentu poważnego na świadczenie usługi kluczowej.
  • dysponować środkami łączności umożliwiającymi prawidłową i bezpieczną wymianę informacji z podmiotami dla których świadczona jest usługa oraz z właściwymi CSIRT poziomu krajowego.

Rozporządzenie określa również wymogi zabezpieczenia pomieszczenia lub zespołu pomieszczeń, które powinny być adekwatne do szacowania ryzyka i zgodne z minimalnymi wymogami wyszczególnionymi w rozporządzeniu:

  • Ściany i stropy o klasie odporności ogniowej co najmniej EI 60, określoną w Polskiej Normie PN-EN 13501, a budynek o klasie odporności pożarowej nie niższą niż klasa B;
  • Drzwi do pomieszczenia spełniające co najmniej wymagania klasy 2 wg. Polskiej Normy PN-EN 1627, wyposażone w zamek spełniający co najmniej wymagania klasy 4 określone w Polskiej Normie PN-EN 12209, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich rodziłby nieakceptowalne ryzyko nieuprawnionego wejścia do pomieszczenia lub zespołu pomieszczeń;
  • Konstrukcję pomieszczenia odporną na próbę nieuprawnionego dostępu;
  • Okna spełniające wymagania 2 klasy wg. Polskiej Normy PN-EN 1627 o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich niesie nieakceptowalne ryzyko nieuprawnionego wejścia do pomieszczenia lub zespołu pomieszczeń;
  • Szafy o podwyższonej odporności ogniowej zabezpieczone odpowiednio do przeprowadzonego szacowanego ryzyka;
  • System kontroli dostępu rejestrujący zdarzenia i przyznający dostęp na podstawie odczytu identyfikatora, odczytu cech biometrycznych;
  • System kontroli dostępu obejmujący wejścia i wyjścia kontrolowanego obszaru;
  • Stały nadzór osoby uprawnionej ;
  • System sygnalizacji napadu i włamania spełniający wymagania stopnia 2 Polskiej Normy PN-EN 50131-1, stale monitorowany przez personel bezpieczeństwa oraz wyposażony w rezerwowe źródło zasilania i obejmujący ochroną wejścia i wyjścia kontrolowanego obszaru;
  • System sygnalizacji pożarowej.  

Operatorzy usług kluczowych lub podmioty świadczące usługi z zakresu cyberbezpieczeństwa muszą posiadać prawo do wyłącznego korzystania z pomieszczeń, w których realizowane są obowiązki wynikające z ustawy o KSC.

Zabezpieczenia adekwatne do szacowanego ryzyka

Rozporządzenie wprowadziło dostosowanie zabezpieczeń adekwatnie do szacowanego ryzyka, tak aby zapewnić skuteczne:

  • monitorowanie i wykrywanie incydentów bezpieczeństwa informacji;
  • reagowanie na incydenty bezpieczeństwa;
  • zapobieganie incydentom;
  • zarządzanie jakością zabezpieczeń systemów, informacji i powierzonych aktywów;
  • aktualizowanie ryzyk w przypadku zmiany struktury organizacyjnej, procesów i technologii, które mogą wpływać na reakcję na incydent.

Praca zdalna

Ustawodawca umożliwił podmiotom zdalne realizowanie obowiązków wynikających z ustawy o KSC pod warunkiem zapewnienia bezpiecznego dostępu do systemu poprzez ustalenie zasad dostępu, stosowanie środków zapewniających bezpieczne przetwarzanie danych i komunikację, a także minimalizację ilości danych przechowywanych poza bezpiecznym środowiskiem.

Operatorzy Usług Kluczowych są zobowiązani do stosowania niniejszych przepisów w terminie 6 miesięcy od dnia wejścia w życie rozporządzenia. Jednocześnie traci moc rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r.

Link: Rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo z dn. 4 grudnia 2019


[1] Zgodnie z Ustawą o krajowym systemie cyberbezpieczeństwa operatorzy usług kluczowych to firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Operatorzy usług kluczowych są identyfikowani przez organy właściwe ds. cyberbezpieczeństwa na podstawie kryteriów określonych w rozporządzeniu z dnia 11 września 2018 r. Wykaz tych podmiotów jest prowadzony przez ministra właściwego do spraw informatyzacji. Wpisanie do wykazu wiąże się z nałożeniem zadań określonych w ustawie.

[2] https://www.gov.pl/web/cyfryzacja/podsumowanie-spotkania-z-przedsiebiorcami-swiadczacymi-uslugi-z-zakresu-cyberbezpieczenstwa

TAGI Polska, Rozporządzenia, Ustawa,