Nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

5 października w Biuletynie Informacji Publicznej Ministra Cyfryzacji opublikowany został nowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz ustawy – Prawo zamówień publicznych. Dzień wcześniej z obrad Stałego Komitetu Rady Ministrów wycofana została poprzednia wersja nowelizacji, z 25 marca br. Propozycja zmian w ustawie o KSC ma na celu usprawnienie funkcjonowania systemu cyberbezpieczeństwa, poprzez m.in. ujednolicenie procedur zgłaszania incydentów, przyspieszenie tworzenia sektorowych zespołów cyberbezpieczeństwa, czy umożliwienie włączenia centrów wymiany informacji i analiz (ISAC) do krajowego systemu cyberbezpieczeństwa.

Opublikowany na początku miesiąca projekt wprowadza kilka zasadniczych zmian w stosunku do projektu z marca tego roku. Dotyczą one przede wszystkich trzech głównych kwestii: spółki Polskie 5G, Funduszu celowego na rzecz strategicznej sieci bezpieczeństwa oraz przepisów dotyczących strategicznej sieci bezpieczeństwa (OSSB). Obejmują jednak także zmiany w innych aspektach Krajowego Systemu Cyberbezpieczeństwa, takie jak obowiązki przedsiębiorców komunikacji elektronicznej i dostawców wysokiego ryzyka, funkcjonowanie CSIRT czy ISAC.

Spółka Polskie 5G

W poprzednich wersjach nowelizacji ustawy o KSC zawarty został rozdział dotyczący powstania i funkcjonowania spółki Polskie 5G. Miała być ona utworzona przez OSSB w celu realizacji ogólnopolskiej hurtowej sieci 5G na zakresach częstotliwości 703–713 MHz oraz 758–768 MHz. Wprowadzenie do ustawy wspomnianych zapisów wywołało jednak sprzeciw ze strony przedstawicieli branży telekomunikacyjnej, według których ewentualne utworzenie takiej spółki powinno być wynikiem dobrowolnych rozmów zainteresowanych podmiotów, a nie ustawowego przymusu.

W związku z tym w nowym projekcie usunięto przepisy dotyczące utworzenia spółki Polskie 5G.

Fundusz celowy na rzecz strategicznej sieci bezpieczeństwa

Drugą dużą zmianą w stosunku do projektu z marca tego roku jest usunięcie przepisów dotyczących utworzenia Funduszu celowego na rzecz strategicznej sieci bezpieczeństwa. OSSB otrzymywać ma dotację celową z części budżetu państwa, której dysponentem jest minister właściwy do spraw aktywów państwowych. Środki te przeznaczone są na realizację zadań związanych z utrzymaniem, rozwojem i modernizacją infrastruktury strategicznej sieci bezpieczeństwa. W ustawie zaznaczono również, że ze środków dotacji nie może być dofinansowana działalność gospodarcza operatora strategicznej sieci bezpieczeństwa.

Strategiczna sieć bezpieczeństwa

Podobnie jak w poprzednich propozycjach nowelizacji ustawy o KSC, również w tym z października br. zakłada się utworzenie strategicznej sieci bezpieczeństwa w celu zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie telekomunikacji. Dodano jednak uprawnienie Prezesa Rady Ministrów do wydania rozporządzenia, w którym określone zostaną minimalne wymagania techniczne jakie musi spełniać SSB oraz minimalny poziom bezpieczeństwa usług transmisji danych, połączeń głosowych oraz wiadomości tekstowych.

Wprowadzono również dodatkowy warunek, który musi spełnić podmiot wyznaczony na OSSB, jakim jest rękojmia należytego wykonywania zadań Operatora SSB. Poszerzono także zakres jego usług o działania na rzecz urzędów obsługujących organy administracji rządowej, organy jednostek samorządu terytorialnego oraz podmiotów podległych tym organom albo przez nie nadzorowanych, wykonującym zadania z zakresu bezpieczeństwa ekonomicznego oraz systemu powiadamiania ratunkowego.

Równocześnie wyłączono Służbę Kontrwywiadu Wojskowego i Służbę Wywiadu Wojskowego z obowiązku korzystania z SSB. Usunięto również katalog usług świadczonych przez OSSB na rzecz Ministra Obrony Narodowej, ministra właściwego do spraw wewnętrznych oraz ministra właściwego do spraw zagranicznych.

Określono również nowe zasady i formę powoływania i odwoływania OSSB. Potencjalny Operator strategicznej sieci bezpieczeństwa musi wyrazić zgodę na przyjęcie na siebie tej roli.

Do czasu osiągnięcia przez Operatora strategicznej sieci bezpieczeństwa pełnej zdolności operacyjnej do świadczenia usług, podmioty, o których mowa w ustawie, mogą zawierać umowy na świadczenie usług także z innymi operatorami telekomunikacyjnymi.

Wprowadzono także przepisy umożliwiające rozwiązanie przez dany podmiot umowy z OSSB, w przypadku uporczywego niewywiązywania się przez Operatora z obowiązków umownych. W takim przypadku świadczenie usług telekomunikacyjnych może być przez dany podmiot zlecone innemu operatorowi telekomunikacyjnemu, dającemu rękojmię zapewnienia bezpieczeństwa świadczonych usług na poziomie nie niższym niż określony w rozwiązanej umowie z OSSB.

Kolejną zmianą w stosunku do poprzednich projektów nowelizacji jest doprecyzowanie uprawnień prezesa UKE w zakresie analizy cen usług telekomunikacyjnych oferowanych przez OSSB. Dano mu również możliwość wydania decyzji zastępującej albo zmieniającej umowę z Operatorem. Zobowiązano także OSSB do przekazywania prezesowi UKE informacji o zawartych umowach i ich warunkach.

Podmioty zobowiązane do zawarcia umowy z OSSB otrzymały możliwość zawarcia umowy z innym dostawcą usług telekomunikacyjnych, jeśli ceny oferowane przez Operatora przekraczają koszty oraz rozsądną marżę.

Kolejną zmianą jest nałożenie na operatora sieci (przedsiębiorcę telekomunikacyjnego lub podmiot wykonujący zadania z zakresu użyteczności publicznej) ustawowego obowiązku zapewnienia OSSB odpłatnego dostępu do infrastruktury technicznej. W przypadku odmowy udzielenia dostępu do infrastruktury technicznej przez operatora sieci, na wniosek Operatora decyzję o dostępie wydaje Prezes UKE.

W nowym projekcie znalazło się również zobowiązanie prywatnych właścicieli lub zarządców nieruchomości do zapewnia OSSB dostępu do niej i umożliwienia umieszczenia na niej infrastruktury telekomunikacyjnej.

Operatorowi strategicznej sieci bezpieczeństwa umożliwiono również – w sytuacji szczególnego zagrożenia, w przypadku pełnego wykorzystania możliwości świadczenia usług w zakresie częstotliwości 703-713 MHz i 758-768 MHz – żądania od podmiotu dysponującego rezerwacją częstotliwości z zakresu 713-733 MHz oraz 768-788 MHz udostępnienia zasobów częstotliwości. OSSB otrzymuje dostęp do określonych częstotliwości z wyjątkiem tych, które zostały udostępnione Siłom Zbrojnym RP.

Nowe obowiązki przedsiębiorców komunikacji elektronicznej

Podobnie jak poprzednio, przedsiębiorca komunikacji elektronicznej, w celu zapewnienia ciągłości świadczenia usług komunikacji elektronicznej lub dostarczania sieci telekomunikacyjnej, jest zobowiązany do systematycznego szacowania ryzyka. Doprecyzowano jednak, że taka ocena ryzyka musi być przeprowadzana przynajmniej raz w roku.

W porównaniu do poprzedniego projektu nowelizacji zniesiono obowiązek informowania przez przedsiębiorcę komunikacji elektronicznej użytkowników o samym zagrożeniu. Przedsiębiorca może jednak wystosować taką informację, jeżeli nie spowoduje to zwiększenia poziomu ryzyka dla bezpieczeństwa sieci lub usług komunikacji elektronicznej. Pozostawiono również obowiązek informowania użytkowników o możliwych środkach zapobiegawczych oraz związanych z tym kosztach.

Zmiany w przepisach dotyczących CSIRT sektorowych

W poprzednich projektach nowelizacji ustawy o KSC sektorowe zespoły cyberbezpieczeństwa zastąpiono CSIRT sektorowymi. Mają to być Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego działające na poziomie sektora lub podsektora, ustanowione przez organ właściwy do spraw cyberbezpieczeństwa dla danego sektora lub podsektora. Wprowadzono również dwa nowe CSIRT – CSIRT INT, działający na rzecz jednostek organizacyjnie podległych Ministrowi Spraw Zagranicznych lub przez niego nadzorowanych oraz Agencji Wywiadu, a także CSIRT Telco, na potrzeby przedsiębiorców komunikacji elektronicznej.

W październikowej wersji projektu doprecyzowano niektóre przepisy dotyczące nowych CSIRT, tj:

  • Zlecono zapewnienie funkcjonowania CSIRT Telco prezesowi UKE, który może powierzyć wykonywanie jego zadań jednostce podległej lub nadzorowanej przez ministra właściwego ds. informatyzacji.
  • Zobowiązano CSIRT sektorowe i CSIRT Telco do informowania odpowiedniego organu właściwego ds. cyberbezpieczeństwa i prezesa UKE o zamiarze przeprowadzenia oceny bezpieczeństwa.
  • Doprecyzowano uprawnienia CSIRT Telco w zakresie przetwarzania danych osobowych pozyskanych w związku z wykonywaniem zadań.
  • Usunięto wymóg uzyskania przez CSIRT sektorowy zgody CSIRT poziomu krajowego na złożenie wniosku o wezwanie operatora usługi kluczowej do usunięcia podatności.

Dostawcy wysokiego ryzyka

Poprzednie projekty ustawy o zmianie ustawy o KSC wprowadzały pojęcie dostawcy wysokiego ryzyka. W obecnie procedowanym projekcie doprecyzowano niektóre przepisy związane z działaniem tych podmiotów. Przede wszystkim będą one mogły korzystać z produktów wskazanych w decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka, nawet jeśli zakupiły je przed wydaniem tej decyzji.

Wprowadzono także możliwość zaskarżenia decyzji o uznaniu podmiotu za dostawcę wysokiego ryzyka. Skargęrozpatrywać będzie trzyosobowy skład sędziowski. Usunięto również zapis, który uniemożliwiał wstrzymanie przez sąd administracyjny natychmiastowej wykonalności decyzji o uznaniu za dostawcę wysokiego ryzyka po wniesieniu przez podmiot skargi.

Inne istotne zmiany

  • W projekcie znalazły się mechanizmy korygujące mające zastosowanie w przypadku zagrożenia przekroczenia lub przekroczenia przyjętych na dany rok budżetowy maksymalnych limitów wydatków na poszczególne CSIRT sektorowe. Do ich monitorowania zobowiązani zostali ministrowie nadzorujący poszczególne sektory.
  • Zmieniono także przepisy dotyczące funkcjonowania ISAC (ang. Information Sharing and Analysis Center – centrum analiz i wymiany informacji) w ramach krajowego systemu cyberbezpieczeństwa. ISAC oraz minister właściwy do spraw informatyzacji mogą zawrzeć porozumienie w sprawie korzystania z systemu S46, jeżeli ISAC w szczególności:
    • wspiera podmioty krajowego systemu cyberbezpieczeństwa w rozpoznawaniu cyberzagrożeń i obsługi incydentów oraz podnoszeniu świadomości cyfrowej,
    • gromadzi i analizuje informacje o podatnościach, cyberzagrożeniach i incydentach, w tym zapewnia podmiotom krajowego systemy cyberbezpieczeństwa dostęp do tych informacji i wyników analiz.

Taki ISAC zostaje następnie wpisany do wykazu prowadzonego przez ministra właściwego do spraw informatyzacji.

  • Minister właściwy do spraw informatyzacji otrzymał uprawnienie do poddania badaniom produktu, usługi lub procesu ICT, dla których został wydany certyfikat lub deklaracja zgodności. Celem jest ustalenie, czy spełniają one wymagania określone w krajowym i europejskim prawie w zakresie certyfikacji cyberbezpieczeństwa.
  • W nowelizacji ustawy znalazło się także uprawnienie Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa do wydawania rekomendacji określających środki techniczne i organizacyjne stosowane w celu zwiększania poziomu bezpieczeństwa systemów informacyjnych podmiotów krajowego systemu cyberbezpieczeństwa. Podmiot, do którego skierowano rekomendacje, uwzględnia je w procesie zarządzania ryzykiem.

Podsumowanie

  • Nowy projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa uzupełnia i doprecyzowuje zapisy, które znalazły się w poprzednich wersjach.
  • Całkowicie usunięto z niego jednak dwie kwestie wzbudzające wśród przedstawicieli branży telekomunikacyjnej kontrowersje – zapisy o powstaniu Spółki Polskie 5G oraz stworzeniu Funduszu celowego na rzecz strategicznej sieci bezpieczeństwa.
  • Istotne zmiany wprowadzone zostały do przepisów dotyczących funkcjonowania Strategicznej sieci bezpieczeństwa oraz Operatora SSB.
  • Doprecyzowano szereg zapisów dotyczących funkcjonowania CSIRT sektorowych, Telco i INT, wprowadzono zmiany dla dostawców wysokiego ryzyka, a także zmieniono niektóre kwestie związane z ISAC.
  • Jak określono w Ocenie Skutków Regulacji, projektowana ustawa pozwala dostosować polski porządek prawny do obowiązków wynikających z wejścia w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych, a także uchylenia rozporządzenia (UE) nr 526/2013, zwanego dalej Aktem o Cyberbezpieczeństwie.
  • Oczekiwanym efektem wprowadzenia nowelizacji ustawy o KSC będzie przebudowanie modelu współpracy w ramach krajowego systemu cyberbezpieczeństwa.
  • Po nowelizacji sektorowe zespoły cyberbezpieczeństwa i podmioty świadczące usługi z zakresu cyberbezpieczeństwa zostaną zastąpione odpowiednio przez CSIRT sektorowe i SOC.
  • Do krajowego systemu cyberbezpieczeństwa włączeni zostaną przedsiębiorcy komunikacji elektronicznej oraz ISAC.
  • Pozycja Pełnomocnika do spraw cyberbezpieczeństwa zostanie wzmocniona, poprzez wyposażenie go w konkretne uprawnienia w zakresie wydawania ostrzeżeń o incydentach krytycznych wraz z zalecaniem określonych zachowań.
  • Na mocy nowelizacji powstanie także Krajowy System Certyfikacji Cyberbezpieczeństwa.
  • Zostanie również uruchomiona bezpieczna sieć telekomunikacyjna wykorzystywana na potrzeby realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego.