Najczęściej zadawane pytania
AUDYT
Jak przeprowadzać audyty?
Ustawa nakłada na operatorów obowiązek przeprowadzenia, raz na dwa lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
Audyt może przeprowadzić:
- jednostka oceniająca zgodność, akredytowana we właściwym zakresie [Akredytacji jednostek oceniających zgodność, w tym w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych, dokonuje Polskie Centrum Akredytacji (PCA)];
- sektorowy zespół cyberbezpieczeństwa
- co najmniej dwóch audytorów o określonych kompetencjach.
Zespół dwóch audytorów powinien posiadać certyfikaty określone we właściwym rozporządzeniu lub posiadać odpowiednią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych (tzn. co najmniej trzyletnią praktykę bez wykształcenia kierunkowego lub co najmniej dwuletnią praktykę oraz dyplom ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych).
Czy osoba ubiegająca się o status audytora musi posiadać wszystkie certyfikaty wymienione w załączniku do rozporządzenia ministra cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. poz. 1999), czy tylko jeden z wymienionych?
Audytorzy powinni posiadać jeden z certyfikatów wymienionych w załączniku do Rozporządzenia Ministra Cyfryzacji w Sprawie Wykazu Certyfikatów Uprawniających do Przeprowadzenia Audytu.
Kto na terytorium Rzeczypospolitej Polskiej jest jednostką upoważnioną do akredytacji jednostek oceniających zgodność?
Na terytorium RP jest to Polskie Centrum Akredytacji.
Czy odpowiednie certyfikaty wydane są przez zagraniczne jednostki certyfikacyjne?
Tak, by taki certyfikat był uznany musi być wystawiony przez jednostkę akredytowaną przez odpowiednik Polskiego Centrum Akredytacji, zgodnie z rozporządzenia Parlamentu Europejskiego i Rady (WE) NR 765/2008 z dnia 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylające rozporządzenie (EWG) nr 339/93.
Wydawane w taki sposób certyfikaty spełniają kryteria określone w rozporządzeniu Ministra Cyfryzacji w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audyt.
Czy studia podyplomowe z zakresu audytu wewnętrznego przedsiębiorstw i instytucji publicznych (jeden z modułów zawiera audyt systemów informatycznych) uprawniają do przeprowadzania audytów zgodnie z ustawą o ksc oraz na podstawie rozporządzenia Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu?
Nie. Ukończenie samych studiów podyplomowych z zakresu wewnętrznego przedsiębiorstw i instytucji publicznych nie nadają uprawnień. Natomiast ukończone studia tym obszarze oraz dwuletnia praktyka z zakresu audytu bezpieczeństwa systemów informacyjnych – już tak.
DOKUMENTACJA
Co wchodzi w zakres dokumentacji technicznej systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej na podstawie rozporządzenia, o której mowa w § 2 ust. 4 Rozporządzenia Rady Ministrów z dnia 16 października 2018r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz.U. z 2018 r. poz. 2080)?
Dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej obejmuje dokumentację powykonawczą systemu teleinformatycznego wraz ze zmianami, które zostały dokonane podczaj jego eksploatacji.
Czy "nadzór nad dokumentacją" dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej może być realizowany w ramach SZBI, zgodnie z wymaganiami norm dotyczących systemów zarządzania, np. ISO 9001 lub ISO 27001?
Tak.
Czy dokumentacja dotycząca cyberbezpieczeństwa wytwarzana przez operatora usługi kluczowej stanowi „dokumentację archiwalną” w rozumieniu ustawy o narodowym zasobie archiwalnym?
Tak. W przypadku gdy podmiot tworzący dokumentację w zakresie cyberbezpieczeństwa jest podmiotowo objęty przepisem ustawy o archiwach, tzn. gdy dokumentacja powstaje w wyniku działalności innych niepaństwowych jednostek organizacyjnych.
Jakie kroki powinien podjąć operator usługi kluczowej po dwóch latach od wycofania dokumentacji dotyczącej cyberbezpieczeństwa? Czy operator usługi kluczowej może ją po prostu usunąć, czy też powinien przekazać ją do państwowego zasobu archiwalnego zgodnie z art. 44 ustawy o krajowym zasobie archiwalnym?
W sytuacji, gdy operator usługi kluczowej tworzy dokumentację z zakresu cyberbezpieczeństwa systemu informacyjnego powinien przechowywać ją przez co najmniej dwa lata od chwili jej wycofania przez operatora. Natomiast w momencie, gdy dokumentacja powstaje w wyniku działalności niepaństwowej jednostki wtedy sposób postępowania z nią reguluje ustawy o archiwach - Niepaństwowy Zasób Archiwalny, a dokładnie Rozdział 4. Innymi słowy postępowanie z dokumentacją jest zależne od statusu prawnego jednostki i obowiązujących przepisów.
FUNDUSZ CYBERBEZPIECZEŃSTWA
Jakie przepisy regulują kwestie szczególnych zasad wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa?
Ustawa z dnia 2 grudnia 2021 r. o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa (Dz.U. z 2021 r. poz. 2333) oraz Rozporządzenie Rady Ministrów w dnia 19 stycznia 2022 r. w sprawie wysokości świadczenia teleinformatycznego dla osób realizujących zadania z zakresu cyberbezpieczeństwa. (Dz.U. z 2022 r. poz. 131).
Jakie podmioty są uprawnione do otrzymania wsparcia z Funduszu Cyberbezpieczeństwa na wypłatę świadczenia teleinformatycznego?
Zgodnie z art. 5 ustawy o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa świadczenie teleinformatyczne może być przyznane osobom realizującym zadania w:
- CSIRT GOV
- CSIRT MON
- CSIRT NASK
- organach właściwych do spraw cyberbezpieczeństwa;
- sektorowych zespołach cyberbezpieczeństwa;
oraz osobom realizującym zadania w zakresie zapewniania cyberbezpieczeństwa w:
- Agencji Bezpieczeństwa Wewnętrznego,
- Agencji Wywiadu,
- Centralnym Biurze Antykorupcyjnym,
- jednostkach organizacyjnych podległych Prezesowi Rady Ministrów lub ministrom (nie obejmuje jednostek nadzorowanych),
- Kancelarii Prezesa Rady Ministrów oraz w urzędach obsługujących ministrów,
- Kancelarii Prezydenta Rzeczypospolitej Polskiej,
- Kancelarii Sejmu,
- Kancelarii Senatu,
- Policji,
- prokuraturze,
- Służbie Kontrwywiadu Wojskowego,
- Służbie Wywiadu Wojskowego,
- Straży Granicznej,
- Służbie Ochrony Państwa
Jak przygotować wniosek o wsparcie z Funduszu Cyberbezpieczeństwa?
Wniosek należy sporządzić na formularzu, który można pobrać ze strony gov.pl
Wniosek o wsparcie z Funduszu Cyberbezpieczeństwa musi zawierać:
- szczegółowy opis zadań z zakresu cyberbezpieczeństwa wraz z liczbą osób wykonujących dane zadanie;
- oświadczenie kierownika podmiotu będącego wnioskodawcą o spełnieniu wymagań określonych w przepisach wydanych na podstawie art. 8 ust. 1 pkt 1 i 2 ustawy o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa (dalej Ustawa);
- wskazanie maksymalnej kwoty prognozowanych kosztów związanych z przyznaniem świadczenia teleinformatycznego, o którym mowa w art. 5;
- oczekiwany termin otrzymania z Funduszu środków na wypłatę świadczenia teleinformatycznego, o którym mowa w art. 5.
We wniosku nie należy podawać danych osobowych konkretnych osób, które mają otrzymać świadczenie. Nie jest konieczne również dołączenie do wniosku dokumentów potwierdzających posiadanie specjalistycznej wiedzy przez pracowników. Obowiązkiem kierownika danej jednostki organizacyjnej jest przyznanie świadczeń osobom dysponującym niezbędnymi kompetencjami do wykonywania zadań z zakresu cyberbezpieczeństwa.
W jaki sposób wskazać liczbę osób realizujących zadania z zakresu cyberbezpieczeństwa oraz liczbę stanowisk, w ramach których realizowane są zadania z zakresu cyberbezpieczeństwa?
We wniosku należy wskazać liczbę osób rzeczywiście realizującą dane zadanie z zakresu cyberbezpieczeństwa w organizacji. Nie ma znaczenia ile czasu realnie dane osoby realizują takie zadania. Zarówno osoby, które wykonują tylko określone zadanie, jak i osoby, które wykonują te zadanie jedynie okazjonalnie, powinny zostać wpisane we wniosku. Po określeniu liczby osób wykonujących poszczególne zadania należy także wskazać liczbę etatów, w ramach których wykonywane są te zadania. Wartość należy podać zaokrąglając ją w górę do pełnych etatów. Należy podkreślić, że liczba etatów stanowi osobną informację od liczby osób realizujących poszczególne zadania. Liczba etatów nie musi być równa liczbie osób wykonujących poszczególne zadania.
Jakie dokumenty należy dołączyć do wniosku?
Do wniosku należy załączyć oświadczenie kierownika podmiotu będącego wnioskodawcą o spełnieniu, przez osoby realizujące zadania z zakresu cyberbezpieczeństwa, wymagań dotyczących doświadczenia zawodowego lub posiadania specjalistycznej wiedzy z zakresu cyberbezpieczeństwa.
W przypadku gdy wniosek lub oświadczenie podpisuje inna osoba niż kierownik danej jednostki należy również dołączyć dokument, na podstawie którego dana osoba była upoważniona do podpisania tych dokumentów, np. pełnomocnictwo, zarządzenie lub wyciąg z regulaminu organizacyjnego.
Kto jest uprawniony do podpisania wniosku?
Do podpisania wniosku uprawniony jest kierownik danej jednostki organizacyjnej. W przypadku urzędów obsługujących ministrów, wniosek może podpisać zarówno minister jak i dyrektor generalny danego podmiotu. Wniosek może również podpisać inna osoba upoważniona, ale w takim wypadku wraz z wnioskiem należy przesłać podstawę tego upoważnienia do ministra właściwego do spraw informatyzacji.
Czy można zmienić złożony wniosek?
Tak, złożony już wniosek można zmienić. Należy w takim przypadku wniosek przesłać ponownie do ministra właściwego do spraw informatyzacji. Jeśli poprzedni wniosek był już przedmiotem opiniowania przez Kolegium ds. Cyberbezpieczeństwa, konieczne będzie przedstawienie poprawionego wniosku do decyzji Kolegium.
W jakich przypadkach wniosek wymaga korekty po zawarciu umowy o wsparcie z Funduszu Cyberbezpieczeństwa?
Wniosek wymaga korekty jedynie w przypadku, gdy wnioskodawca chce zwiększyć maksymalną kwotę prognozowanych kosztów związanych z przyznaniem świadczenia teleinformatycznego.
Czy zmiana liczby osób realizujących zadania z zakresu cyberbezpieczeństwa po zatwierdzeniu wniosku przez Kolegium wymaga złożenia korekty wniosku?
Nie, w przypadku gdy zmiana liczby osób nie pociąga za sobą zmiany maksymalnej prognozowanych kosztów, nie jest konieczna zmiana wniosku.
Co zrobić w przypadku brak numeru rachunku w momencie składania wniosku o udzielenie wsparcia ze środków Funduszu Cyberbezpieczeństwa?
Nieskazanie numeru rachunku bankowego we wniosku nie stanowi braku formalnego i nie ma wpływu na jego rozpatrzenie. Numer rachunku jest niezbędny na etapie zawierania umowy o udzielenie wsparcia ze środków Funduszu Cyberbezpieczeństwa.
Jak powinno wyglądać oświadczenie o spełnieniu wymagań przez osoby, którym chcemy przyznać świadczenie teleinformatyczne?
W oświadczeniu należy wyraźnie wskazać, że spełnione są wymagania określone w przepisach wydanych na podstawie art. 8 ust. 1 pkt 1 i 2. Aby uniknąć wątpliwości związanych z treścią oświadczenia zalecamy trzymania się sformułowań zawartych w Ustawie.
W oświadczeniu lub w załączniku do niego nie należy przekazywać danych osobowych osób, które mają zostać objęte świadczeniem teleinformatycznym.
Jak wygląda proces przyznawania wsparcia z Funduszu Cyberbezpieczeństwa?
Złożony wniosek podlega ocenie pod kątem formalno-prawnym w Kancelarii Prezesa Rady Ministrów. W przypadku wystąpienia braków formalnych wnioskodawca zostanie wezwany do ich uzupełnienia pod rygorem pozostawienia wniosku bez rozpatrzenia. Wszystkie wnioski podmiotów uprawnionych, poprawne pod względem formalnym, są następnie przekazywane do Kolegium do Spraw Cyberbezpieczeństwa, które merytorycznie ocenia wskazane w nich kwoty. Następnie Wnioskodawcy informowani są o opinii Kolegium. Ci, których wnioski zostały pozytywnie zaopiniowane mogą przystąpić do zawarcia umowy o wsparcie z Funduszu Cyberbezpieczeństwa.
Co oznacza negatywna opinia Kolegium?
Negatywna opinia Kolegium oznacza, że Kolegium uznało, że dany podmiot nie wymaga wsparcia z Funduszu Cyberbezpieczeństwa. Podmiot, którego wniosek został negatywnie zaopiniowany, może złożyć wniosek jeszcze raz. Druga negatywna opinia Kolegium będzie oznaczała, że w danym roku wnioskodawca nie otrzyma wsparcia z Funduszu Cyberbezpieczeństwa.
Co oznacza pozytywna opinia Kolegium?
Pozytywna opinia Kolegium ds. Cyberbezpieczeństwa oznacza, że Kolegium uznało, że dany podmiot powinien otrzymać wsparcie z Funduszu Cyberbezpieczeństwa. W ramach pozytywnej opinii Kolegium może zaakceptować kwotę wskazaną we wniosku albo wskazać inną kwotę.
Jaki rachunek bankowy należy wskazać na potrzeby umowy o wsparcie z Funduszu Cyberbezpieczeństwa?
Na potrzeby otrzymania wsparcia z Funduszu Cyberbezpieczeństwa musi zostać wskazany odrębny rachunek bankowy, który będzie wykorzystywany wyłącznie do spraw związanych z Funduszem Cyberbezpieczeństwa.
Jakie obowiązki wiążą się z zawarciem umowy o udzielenie wsparcia ze środków Funduszu Cyberbezpieczeństwa?
Wnioskodawca zobowiązany jest do wykorzystania przekazanych środków finansowych zgodnie z celem, na jaki je uzyskał i na zasadach określonych w zawartej umowie oraz Ustawie.
Konieczne jest prowadzenie wyodrębnionej ewidencji księgowej otrzymanych środków oraz wydatków dokonywanych z tych środków, zgodnie z zasadami wynikającymi z ustawy z dnia 29 września 1994 r. o rachunkowości.
Wnioskodawca jest również zobowiązany do złożenia raportu rocznego z wykorzystania środków z funduszu cyberbezpieczeństwa na sfinansowanie świadczenia teleinformatycznego zgodnie z wzorem załączonym do umowy. Raport należy złożyć do dnia 31 stycznia roku następnego po przyznaniu świadczenia.
Środki finansowe niewykorzystane w terminie wraz z ewentualnymi odsetkami bankowymi, będzie należało zwrócić w terminie wskazanym w Umowie.
Jakie składki pracodawca powinien odprowadzić od świadczenia teleinformatycznego?
Świadczenia teleinformatycznego nie wlicza się do podstawy wymiaru składek na ubezpieczenie emerytalne, rentowe, chorobowe, wypadkowe ani na ubezpieczenie zdrowotne.
Zgodnie z § 2 ust. 1 pkt 27a Rozporządzenia Ministra Pracy i Polityki Socjalnej w sprawie szczegółowych zasad ustalania podstawy wymiaru składek na ubezpieczenia emerytalne i rentowe świadczenie teleinformatyczne nie wlicza się do podstawy wymiaru składek na ubezpieczenie emerytalne i rentowe.
Art. 20 ustawy o systemie ubezpieczeń społecznych (Dz. U. 2021 r. poz. 423 z późn. zm.) przesądza, że podstawę wymiaru składek na ubezpieczenie chorobowe oraz ubezpieczenie wypadkowe stanowi podstawa wymiaru składek na ubezpieczenie emerytalne i ubezpieczenia rentowe.
Zgodnie z art. 81 ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (DZ. U. 2021 r. poz.1285 z późn. zm.) do ustalenia podstawy wymiaru składek na ubezpieczenie zdrowotne stosuje się przepisy określające podstawę wymiaru składek na ubezpieczenia emerytalne i rentowe.
Kiedy świadczenia teleinformatycznego się nie wypłaca?
Zgodnie z art. 7 ust. 6 ustawy o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa, świadczenia teleinformatycznego nie wypłaca się za okres:
- korzystania z urlopu bezpłatnego;
- nieusprawiedliwionej nieobecności w pracy albo w służbie, trwającej krócej niż 2 dni;
- usprawiedliwionej nieobecności w pracy albo w służbie, z wyłączeniem urlopu wypoczynkowego, dodatkowego urlopu wypoczynkowego oraz urlopu okolicznościowego.
Art. 7 ust. 6 pkt 3 wprowadza ogólną zasadę, zgodnie z którą świadczenia teleinformatycznego nie wypłaca się za okres usprawiedliwionej nieobecności w pracy albo w służbie. Następnie wskazane zostały wyjątki od tej zasady: świadczenie jest wypłacane w przypadku skorzystania przez pracownika z urlopu wypoczynkowego, dodatkowego urlopu wypoczynkowego oraz urlopu okolicznościowego. W związku z tym, że są to wyjątki od zasady, należy wszystkie z nich interpretować w sposób zawężający, zgodnie z ogólnymi zasadami prawa.
Spośród ww. trzech pojęć jedynie urlop okolicznościowy nie jest wprost zdefiniowany przepisami prawa. Równocześnie, jest to pojęcie powszechnie i jednolicie rozumiane jako zwolnienie od pracy w związku ze ślubem pracownika, ślubem dziecka pracownika, urodzeniem dziecka lub śmiercią bliskiego członka rodziny. Sytuacje te zostały określone w § 15 rozporządzenia Ministra Pracy i Polityki Socjalnej w sprawie sposobu usprawiedliwiania nieobecności w pracy oraz udzielania pracownikom zwolnień od pracy (Dz.U. z 2014 r. poz. 1632), zgodnie z którym:
§ 15 Pracodawca jest obowiązany zwolnić od pracy pracownika na czas obejmujący:
- 2 dni - w razie ślubu pracownika lub urodzenia się jego dziecka albo zgonu i pogrzebu małżonka pracownika lub jego dziecka, ojca, matki, ojczyma lub macochy;
- 1 dzień - w razie ślubu dziecka pracownika albo zgonu i pogrzebu jego siostry, brata, teściowej, teścia, babki, dziadka, a także innej osoby pozostającej na utrzymaniu pracownika lub pod jego bezpośrednią opieką.
Wobec powyższego, świadczenia teleinformatycznego nie należy wypłacać za inne niż wskazane w przepisach ustawy o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa okresy usprawiedliwionej nieobecności w pracy.
Należy jeszcze zwrócić uwagę, że odbiór godzin za czas przepracowany w godzinach nadliczbowych powinien być traktowany jako mieszczący się w czasie realizacji zadań służbowych. Wysokość wypłacanego pracownikowi realizującemu zadania z zakresu cyberbezpieczeństwa świadczenia teleinformatycznego nie powinna być obniżana z powodu nieobecności w pracy spowodowanej udzieleniem pracownikowi przez pracodawcę czasu wolnego za pracę w godzinach nadliczbowych.
GRUPY KAPITAŁOWE
Czy operatorem usługi kluczowej jest konkretna spółka czy cała grupa kapitałowa? Czy spółki powiązane ze sobą kapitałowo są względem siebie podmiotami świadczącymi usługi z zakresu cyberbezpieczeństwa, co do których powinny być zastosowane zasady tak jakby były w pełni niezależnymi/niepowiązanymi podmiotami?
Operatorem usługi kluczowej jest tylko konkretna spółka, która daną usługę świadczy.
Grupy kapitałowe mogą się zgłaszać do właściwych CSIRT z wnioskiem o obsługę różnych spółek z jednej grupy kapitałowej przez jeden CSIRT.
Przykład: Grupa kapitałowa posiada cztery spółki, z czego jedna jest operatorem usług kluczowych, jedna operatorem infrastruktury krytycznej, jedna świadczy usługi wsparcia dla obu ww., a jedna zajmuje się zupełnie innym typem działań. W takim przypadku, tylko jedna spółka będzie operatorem usług kluczowych, i tylko ona dostanie decyzję. Może za to zgłosić się do CSIRT GOV, aby ze względu na zakres działania i powiązania kapitałowe i funkcjonalne, wszystkie spółki były we właściwości CSIRT GOV. Tego typu działania będą uzgadnianie w porozumieniu z pozostałymi CSIRTami.
W jaki sposób traktować centra usług wspólnych lub dedykowane usługom teleinformatycznym spółki córki, świadczące swoje usługi dla wszystkich podmiotów np. w grupie kapitałowej? Czy są to wewnętrzne struktury organizacyjne odpowiedzialne za cyberbezpieczeństwo, czy podmiot świadczący usługę z zakresu cyberbezpieczeństwa?
Klasyfikacja zależy od konkretnej struktury własnościowej danego podmiotu, w związku z czym nie da się tego ocenić nie rozważając konkretnej struktury prawnej danego podmiotu i jego powiązań. Przy ocenie takiej sytuacji należy stosować ogólne zasady prawa handlowego dotyczące spółek.
OSOBA KONTAKTOWA
Jakie kryteria powinna spełniać osoba odpowiedzialna za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa?
Ustawa nie wskazuje żadnych konkretnych uprawnień dla osoby kontaktowej. W opinii Departamentu Cyberbezpieczeństwa KPRM, wskazanym jest aby to była osoba operacyjna, mająca jednak wiedzę o procesach zachodzących w przedsiębiorstwie/ urzędzie – mogąca ocenić, czy dany incydent ma charakter poważny czy nie. Nie musi to być koniecznie osoba z wykształceniem technicznym.
Dodatkowo, 3 zespoły CSIRT opracowały rekomendacje dotyczące wyznaczania osób do kontaktu. Są one dostępne na stronie CSIRT NASK pod linkiem https://incydent.cert.pl/osoba-kontaktowa/rekomendacje.
Czy pracownik zatrudniony na podstawie umowy cywilno-prawnej może być osobą wyznaczoną do kontaktu z właściwym CSIRT?
Rekomenduje się, aby ta osoba była na stale zatrudniona w urzędzie/przedsiębiorstwie i osoba taka powinna być dyspozycyjna, decyzyjna, o technicznym rozumieniu tematu oraz mająca rozwinięte kontakty w swojej organizacji. Rola osoby do kontaktów może być pełniona równolegle z innymi, takimi jak np. pełnomocnik ds. bezpieczeństwa informacji, czy Inspektor Ochrony Danych Osobowych.
W jakim terminie podmioty publiczne obowiązane są do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa?
Podmioty publiczne powinny wskazać osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami KSC po wejściu w życie ustawy.
Jeśli jeszcze tego nie zrobiły, powinny to zrobić jak najszybciej.
Warto wskazać, że dane o osobie odpowiedzialnej przekazuje się właściwemu CSIRT. Dane obejmują obejmujące imię i nazwisko, numer telefonu oraz adres poczty elektronicznej.
Dane przekazuje się w terminie 14 dni od dnia jej wyznaczenia, a informacje o zmianie tych danych (w tym oczywiście zmiany osoby odpowiedzialnej) w terminie 14 dni od dnia ich zmiany.
Jaki zakres obowiązków spoczywa na osobie odpowiedzialnej za utrzymanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa? Czy osoba kontaktowa powinna posiadać odpowiednie kompetencje, wiedzę z zakresu cyberbezpieczeństwa? W jakim stopniu osoba wyznaczona do kontaktu powinna być dostępna?
Na podstawie art. 9 ust. 1 pkt. 1 ustawy o KSC, operator usługi kluczowej wyznacza osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Zakres obowiązków wyżej wymienionej osoby, obejmuje bieżące kontakty z podmiotami należącymi do krajowego systemu cyberbezpieczeństwa (np. z właściwym zespołem CSIRT w zakresie obsługi incydentu). Powołanie osoby odpowiedzialnej za utrzymywanie kontaktów ma na celu sformalizowanie i wzmocnienie relacji między poszczególnymi podmiotami. Osoby wyznaczone do kontaktu mają być dostępne w kwestii bezpieczeństwa usługi kluczowej i pełnić jedynie funkcję „łącznika”.
Prawodawca nie określił wymagań kompetencyjnych osób wyznaczonych do kontaktu. Zasadne jest jednak, aby wyznaczona osoba posiadała wiedzę z zakresu usługi kluczowej świadczonej przez operatora oraz systemów informacyjnych wykorzystywanych do jej świadczenia. Powyższą wiedzą dysponują najczęściej pracownicy pionu IT lub pionu bezpieczeństwa w danym podmiocie. Ponadto przy wyznaczaniu osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, należy zwrócić uwagę, aby kontakt z wyznaczoną osobą, np. z racji hierarchii zajmowanego stanowiska, nie był utrudniony.
Stopień dostępności zależy od uwarunkowań wewnętrznych operatora, np. czy usługa jest świadczona w systemie 24/7.
PODSTWOWE ZAGADNIENIA
Na kogo nakłada obowiązki ustawa o krajowym systemie cyberbezpieczeństwa?
Ustawa nakłada obowiązki na operatorów usług kluczowych, dostawców usług kluczowych oraz podmioty publiczne.
Czym jest incydent?
Incydent to każde zdarzenie, które ma lub może mieć niekorzystny wpływ na odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.
Kto jest podmiotem publicznym w rozumieniu ustawy o ksc?
Podmiotem publicznym w rozumieniu ustawy są:
- Organy władzy publicznej, w tym organy administracji samorządowej, jednostki samorządu terytorialnego, organy kontroli państwa i ochrony prawa oraz sądy i trybunały;
- Jednostki budżetowe, samorządowe zakłady budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej;
- Uczelnie publiczne i Polska Akademia Nauk;
- Zakład Ubezpieczeń Społecznych, Kasa Rolniczych Ubezpieczeń Społecznych, Narodowy Fundusz Zdrowia, Narodowy Bank Polski i Bank Gospodarstwa Krajowego;
- Urząd Dozoru Technicznego, Polska Agencja Żeglugi Powietrznej, Polskie Centrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej.
Kto jest operatorem usług kluczowych?
Operatorami są podmioty (zarówno przedsiębiorcy jak i podmioty publiczne), które:
- świadczą usługi kluczowe,
- świadczenie tych usług jest zależne od systemów informacyjnych,
- incydent w tym podmiocie miałyby istotny skutek zakłócający dla świadczenia tej usługi.
Wykaz usług kluczowych znajduje się w rozporządzeniu. Kwestia zależności od systemów informacyjnych opiera się na tym jak istotny jest system informacyjny przy świadczeniu danej usługi. Jeśli dana usługa nie może być świadczona bez pomocy systemu informacyjnego bez szkody dla jej wykonywania to jest zależna od systemu. Należy tu przypomnieć, że sam fakt, że w sytuacji awaryjnej możliwa jest praca z pominięciem tego systemu nie oznacza, że jest on od niej niezależny. Należ tu ocenić standardowy sposób działania w ramach konkretnego podmiotu.
Do takich systemów informacyjnych można zaliczyć np. systemy sterowania, monitoringu świadczenia usługi, bazy danych. Nie jest konieczne jednak uwzględnianie systemów wspomagających takich jak programy księgowe, prawne, kadrowe, o ile ich brak funkcjonowania nie wpływa na jakość lub
– szerzej – możliwość świadczenia usługi.
Decyzje będą wydawana na zasadach ogólnych, zgodnie z kodeksem postepowania administracyjnego.
Jestem podmiotem publicznym. Skąd wiem, czy jestem objęty ustawą?
Objęte są wszystkie podmioty określone w art. 4 pkt 7-15 ustawy.
W razie wątpliwości interpretacyjnych, zapraszamy do kontaktu z Departamentem Cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów.
Kim są Dostawcy Usług Cyfrowych?
Są to osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej, mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadczące, określone w załączniku 2 do ustawy o KSC, usługi cyfrowe.
Czy w rozumieniu Art. 17. ust. 1. oraz Załącznika nr 2 do ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, usługodawca hostingowy jest dostawcą usługi cyfrowej?
Zgodnie z Dyrektywą NIS dostawcą usługi cyfrowej jest każda osoba prawna, która świadczy usługę cyfrową, czyli taką usługę, która jest świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usługi. Do usług cyfrowych w rozumieniu ustawy o ksc zaliczamy: internetową platformę handlową, wyszukiwarkę internetową lub usługę przetwarzania w chmurze.
Co należy rozumieć pod sformułowaniem „usługi z zakresu cyberbezpieczeństwa” świadczonej przez podmiot zewnętrzny, o której stanowi art. 14 ust. 1 ustawy o KSC?
Usługa z zakresu cyberbezpieczeństwa świadczona przez podmiot zewnętrzy, to usługa polegająca na realizacji zadań nałożonych na operatora usługi kluczowej. Zawarta umowa o świadczenie usług z zakresu cyberbezpieczeństwa może dotyczyć realizacji jednego, kilku lub wszystkich obowiązków. Zakres realizowanych usług wynika z umowy zawartej pomiędzy podmiotami.
Czy systemem informacyjnym opisanym w art. 1 ust. 1 pkt. 14 ustawy o krajowym systemie cyberbezpieczeństwa jest też każdy system automatyki przemysłowej działający u operatora usługi kluczowej dla realizacji usługi kluczowej?
Tak, definicja systemu informacyjnego obejmuje również systemy automatyki przemysłowej, od sprawności których zależy świadczenie danej usługi kluczowej.
SERWERY DNS
Jak należy rozumieć pojęcie „nieautoryzowana zmiana w bazie danych autorytarnego serwera DNS”?
Poprzez pojęcie „nieautoryzowana zmiana w bazie danych serwera DNS” należy rozumieć każdą zmianę we wpisie w bazie danych serwera DNS, która miała miejsce bez akceptacji właściciela domeny. Zmiana ta może być wynikiem zarówno działania osób fizycznych, jak również awarii sprzętu lub oprogramowania.
Jak należy interpretować sformułowanie „brak dostępności usługi autorytatywnego serwera DNS” w przypadku incydentu poważnego? Ponadto, czy chodzi o brak dostępności usługi autorytatywnego serwera DNS dla wszystkich użytkowników, dla określonej procentowo liczby użytkowników czy może nawet brak dostępności dla jednego użytkownika?
Za „brak dostępności usługi autorytatywnego serwera DNS” należy uznawać stan, w którym DNS nieautorytatywne nie mogą uzyskać odpowiedzi z przyczyn zawinionych lub niezawinionych, leżących po stronie podmiotu utrzymującego serwer autorytatywny (awaria samego serwera lub sieci łączącej serwer autorytatywny z Internetem).
Czy w ramach postępowań o uznanie podmiotu za operatora usługi kluczowej udało się wypracować definicję „autorytatywnego serwera DNS”? Czy stosowanie technologii DNS Anycast również stanowi „prowadzenie autorytatywnego serwera DNS” w rozumieniu rozporządzenia?
DNS operuje w warstwie aplikacji modelu OSI, a standardy jego działania zostały opisane w dokumentach RFC 1034 oraz RFC 1035. Za autorytatywny serwer DNS uznaje się serwer posiadający pierwotną informację o adresach IP danej strefy.
W odróżnieniu od innych DNS serwer autorytatywny nie ma ograniczenia czasowego przechowywania rekordu łączącego nazwę domenową z adresem IP (TTL). Zmiana zawartości rekordu następuje jedynie w przypadku zmiany adresu IP danej domeny. Technologia DNS Anycast, to w istocie mirroring serwera autorytatywnego w wielu lokalizacjach.
Dysfunkcja tego rozwiązania nastąpi jeśli utracona zostanie spójność wpisów w poszczególnych serwerach tworzących DNS Anycast.
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
Czy Polska Norma PN-EN ISO/IEC 27001 spełnia wymagania stawiane przez ustawę o krajowym systemie cyberbezpieczeństwa dla Operatorów Usług Kluczowych?
Tak. Zgodnie z rozporządzeniem Ministra Cyfryzacji z dnia 4 grudnia 2019 roku w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo, operator musi posiadać, utrzymywać i aktualizować system zarządzania bezpieczeństwem informacji spełniający wymagania normy PN-EN ISO/IEC 27001.
Jaki powinien być zakres (co powinien obejmować) systemu zarządzania bezpieczeństwem informacji (SZBI), o którym mowa w art. 8 ustawy o KSC i który ma być zgodny z PN-EN ISO/IEC 27001?
Zakresem systemu zarządzania bezpieczeństwem informacji, o którym mowa w art. 8 ustawy o KSC powinny być objęte te procesy, które mają wpływ na bezpieczeństwo świadczenia usługi kluczowej. Nie musi on obejmować całości działalności podmiotu.
Czy wymaganie posiadania i utrzymywania w aktualności systemu zarządzania bezpieczeństwem informacji spełniający wymagania PN-EN ISO/IEC 27001” oznacza konieczności certyfikacji podmiotu na zgodność z tym systemem? Czy wymaganie tego paragrafu będzie spełnione jeśli organizacja takiego certyfikatu mieć nie będzie, ale wymagania normy będą w organizacji stosowane?
Ustawa nie wymaga certyfikacji SZBI. Niemniej operator usługi kluczowej powinien wziąć pod uwagę, że koszty wymaganego przepisem ustawy audytu ulegną niewątpliwemu zmniejszeniu, jeśli operator wykaże się certyfikatem SZBI.
Czy wymaganie posiadania i utrzymywania w aktualności systemu zarządzania bezpieczeństwem informacji spełniający wymagania PN-EN ISO/IEC 27001 dotyczy tak samo zarówno podmiotu świadczącego usługi na rzecz cyberbezpieczeństwa (par 1 pkt 1) jak i wewnętrznej struktury organizacyjnej (par 1 pkt 2)?
Wymaganie dotyczy obu struktur. Należy zauważyć, że OUK w zakresie świadczonej usługi musi ją objąć zakresem SZBI.
SZACOWANIE RYZYKA
Czy operator usługi kluczowej ma obowiązek szacowania wszystkich ryzyk wystąpienia incydentu, czy tylko tych dotyczących systemu informacyjnego?
Szacowanie ryzyka, czyli całościowy proces jego analizy i oceny, powinien dotyczyć wszystkich ryzyk, w tym fizycznych, środowiskowych, osobowych itp.
Art. 8 pkt 1 mówi o szacowaniu ryzyka wystąpienia incydentu – jaki zakres ma objąć ten proces, jakie operacje/procesy powinny podlegać szacowaniu?
Szacowaniu ryzyka powinny być objęte wszystkie usługi, procesy i operacje, które wpływają na świadczenie usługi kluczowej.
Systematyczne szacowanie ryzyka – jaka jest rekomendowana częstotliwość szacowania ryzyka?
Należy przyjąć, że maksymalnym interwałem pomiędzy kolejnymi szacowaniami ryzyka jest jeden rok. Zależy to jednak od charakteru usługi kluczowej i czynników sektorowych.
Szacowanie ryzyka powinno się odbywać również w przypadku zaistnienia zmian organizacyjnych, lokalowych lub po incydencie wewnątrz podmiotu świadczącego usługę cyberbezpieczeństwa.
Czy w trakcie szacowania ryzyka nieuprawnionego dostępu do pomieszczeń dla wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo konieczne jest przeprowadzenie szacowania ryzyka do odniesieniu do każdego elementu infrastruktury z osobna (okna, drzwi, ściany itp.), czy też dopuszczalne jest oszacowanie ryzyka nieuprawnionego dostępu do pomieszczenia wewnętrznych struktur odpowiadających za cyberbezpieczeństwo jako całości?
Należy postępować według zasady najsłabszego ogniwa łańcucha.
USŁUGI ZEWNĘTRZNE W ZAKRESIE CYBERBEZPIECZEŃSTWA
Czy podmioty świadczące usługi z zakresu cyberbezpieczeństwa mogą outsource’ować personel oraz sprzęt, o którym mowa w rozporządzeniu?
Przepisy rozporządzenia nie krępują usługodawcy w zakresie kształtowania zatrudnienia, czy zasad wykorzystywania sprzętu i oprogramowania (zakup, leasing, wynajem).
Czy podmiot świadczący usługę ochrony mienia (wykorzystujący do świadczenia usługi systemy informacyjne) dla operatora usługi kluczowej w jakimś zakresie powinien stosować ustawę? Jak do tego podejść, czy wszystko uzależnić od otrzymania decyzji z ministerstwa o uznaniu za operatora usługi kluczowej?
Świadczenie usług ochrony mienia z wykorzystanie systemów informacyjnych (SSWiN, SKD, SNW, stacje monitoringu), nie jest wprost objęte ustawą o krajowym systemie cyberbezpieczeństwa. Usługi ochrony mienia podlegają regulacją ustawy o ochronie osób i mienia. Związek pomiędzy usługą kluczową, a usługą ochrony mienia zachodzi na poziomie planu ochrony.
Należy jednak wskazać, że operator może realizować zadania określone w ustawie przy pomocy zewnętrznych podmiotów (podwykonawców), jednak wówczas musi wymóc na danym podwykonawcy zgodność z ustawą. Zatem jeśli operator przeniesienie ciężar realizacji obowiązków ustawowych na podmiot zewnętrzny, to taki podmiot zewnętrzny może stać się de facto zobowiązany do stosowania ustawy tak długo, jak świadczy usługi dla danego operatora usług kluczowych.
Jak należy identyfikować podmioty które świadczą dla nas usługi z zakresu cyberbezpieczeństwa – czy dostawcy oprogramowania lub podmioty utrzymujące oprogramowanie dot. systemów informacyjnych wykorzystywanych do świadczenia usługi kluczowej też nimi są?
Podmioty świadczące usługi z zakresu cyberbezpieczeństwa to podmioty, które świadczą dla danego operatora zadania, o których mowa w art. 8, art. 9, art. 10 ust. 1-3, art. 11 ust. 1-3, art. 12 i art. 13 ustawy o KSC.
Odpowiedź na to pytanie zależy od tego, jaka usługa kluczowa i w jaki sposób jest świadczona. Jeśli dana usługa jest świadczona przy pomocy systemu informacyjnego, którego infrastruktura i utrzymanie jest przeniesione na podmiot zewnętrzny, to stanie się on podwykonawcą usługi kluczowej i należy zapewnić zgodność z ustawą.
Szkoły, które posiadają dziennik elektroniczny (działający jako usługa wykupiona w firmie zewnętrznej) są zobowiązane do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami ksc oraz zgłaszanie incydentów?
Każdy podmiot publiczny (w tym szkoła jako jednostka budżetowa na gruncie prawa finansów publicznych) realizujący zadanie publiczne zależne od systemów informacyjnych (a takim są dzienniki elektroniczne), jest zobowiązany m. in. do:
- wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz przekazania danych wyżej wymienionej osoby obejmujących imię i nazwisko, numer telefonu oraz adres poczty elektronicznej do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, w terminie 14 dni od dnia jej wyznaczenia;
- zgłaszania incydentów do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, nie później niż w ciągu 24 godzin od momentu wykrycia;
Natomiast w przypadku, jeśli szkoła nie posiada dziennika w wersji elektronicznej nie ma takiego obowiązku. Warto pamiętać, iż jednostka samorządu terytorialnego jaką jest m.in. Gmina może wyznaczyć jedną osobę do kontaktu, która może być na cały obszar Gminy.
USTAWA Z DNIA 28 LIPCA 2023 r. O ZWALCZANIU NADUŻYĆ W KOMUNIKACJI ELEKTRONICZNEJ
Kiedy obowiązek stosowania systemów NASK antysmishingowych staje się wymagalny i jego niewykonanie będzie zagrożone karą? 25 marca czy 16 kwietnia?
Przepis art. 37 ust. 3 oraz 38 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (dalej również „ustawa” lub „uZNKE”) należy czytać w kontekście zasady przyjaznej interpretacji przepisów wynikającej z art. 11 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców oraz wynikającej z art. 2 Konstytucji zasady ochrony zaufania obywateli do państwa i stanowionego przez nie prawa.
W aktualnym stanie faktycznym, zgodnie z art. 37 ust. 3 przedsiębiorcy telekomunikacyjni mają czas na podłączenie do systemu telegraf.cert.pl do 16 kwietnia 2024 r.
Zauważyć należy, że kompetencja Prezesa Urzędu Komunikacji Elektronicznej (dalej „Prezes UKE”) do nałożenia kary ma charakter fakultatywny – Prezes UKE może nałożyć administracyjną karę pieniężną, jeżeli przemawia za tym zakres lub charakter naruszenia. Podłączenie do systemu telegraf.cert.pl przez przedsiębiorcę telekomunikacyjnego pomiędzy 25 marca a 16 kwietnia 2024 r. nie ma charakteru naruszenia prawa, gdyż jest wykonywaniem uprawnienia wynikającego z art. 37 ust. 3 UZNKE.
Niemniej jednak szybsze podłączenie przedsiębiorcy telekomunikacyjnego do systemu telegraf.cert.pl pozwoli na szybsze wdrożenie się do realizacji obowiązków ustawowych do czego zachęcamy.
Czy podmiot IT obsługujący podmiot publiczny może zawierać z integratorem usług SMS umowy na wysyłkę SMS w imieniu i na rzecz podmiotu publicznego? W jaki sposób realizować wysyłki SMS z podmiotami pośredniczącymi?
Tak. Zgodnie z art. 14 ust. 1 UZNKE umowę z integratorem usług SMS, wpisanym w wykazie integratorów usług SMS dla podmiotów publicznych, zawiera podmiot publiczny. Nie ma przeciwskazań, aby pełnomocnikiem podmiotu publicznego przy takiej umowie był podmiot świadczący usługi IT, zgodnie z przepisami Kodeksu cywilnego. Natomiast integrator usług SMS musi mieć pewność, że podmiot świadczący usługi IT działa w imieniu podmiotu publicznego.
Czy są jakieś wymogi dla integratora usług SMS przy potwierdzeniu uprawień cywilnoprawnych pośrednika IT, czy pozostawiamy to swobodzie Kodeksu cywilnego?
Podmiot świadczący usługi IT powinien przedstawić integratorowi usług SMS dokumenty, z których wynika umocowanie do działania w imieniu i na rzecz podmiotu publicznego (np. pełnomocnictwa szczególnego lub kopia umowy z pomiotem publicznym, z której wynika takie uprawnienie).
Alternatywnym rozwiązaniem może być złożenie oświadczenia integratorowi usług SMS przez podmiot publiczny oraz pośrednika IT potwierdzającego uprawnienia pośrednika IT do zlecania wysyłki SMS w imieniu i na rzecz podmiotu publicznego. Rozwiązanie to może być stosowane w przypadku braku pełnomocnictwa szczególnego lub gdy z umowy z podmiotem publicznym nie wynika uprawnienie pośrednika IT do działania w imieniu i na rzecz tego podmiotu.
Czy należy blokować SMS tych podmiotów publicznych, które nie zarejestrowały w CSIRT NASK swoich nadpisów?
Nie. Zarejestrowanie nadpisów w wykazie nadpisów podmiotów publicznych jest uprawnieniem podmiotu publicznego, a nie jego obowiązkiem. Nie należy więc blokować SMS podmiotów publicznych, które nie zarejestrowały w CSIRT NASK swoich nadpisów.
Czy należy blokować SMS podmiotu publicznego używającego nadpisu innego niż zarejestrowanego? np. gdy podmiot publiczny chce korzystać z tańszych opcji lub komercyjnych nadpisów związanych danym wydarzeniem (jakaś uroczystość) lub działalnością komercyjną.
W przypadku gdy podmiot publiczny wysyła wiadomości SMS nie korzystając z nadpisu, to takiej komunikacji nie należy blokować, ponieważ takie rozwiązanie byłoby nieproporcjonalne. Integrator usług SMS powinien wskazać podmiotowi publicznemu, aby wpisał również taki nadpis do wykazu nadpisów – procedura jest odformalizowana, a korzystanie z rozwiązania wzmacnia ochronę odbiorców wiadomości SMS przed nadużyciami.
Jak realizować wysyłki SMS, jeśli podmiot publiczny używa nazwy generycznej (np. GMINA, MIASTO, POWIAT) lub komercyjnej i kto decyduje o tym, czy nazwa jest komercyjna?
Decydując się na zastrzeżenie nadpisu w wykazie nadpisów podmiot publiczny powinien z niego korzystać, do czego zobowiązuje go UZNKE. Ustawa nie zabrania zastrzeżenia kilku nadpisów dla jednego podmiotu publicznego.
Wpis albo zmiana wpisu w wykazie nadpisów podmiotów publicznych nie może polegać na zastrzeżeniu dla podmiotu publicznego wnioskującego nazwy lub skrótu zastrzeżonych dla innego podmiotu publicznego co wynika z art. 10 ust. 7 UZNKE. Wpisy w wykazie powinny być unikalne.
Ustawa nie rozróżnia czy wiadomość SMS jest wysyłana w związku z realizacją zadań publicznych czy w związku z działalnością komercyjną. W przypadku wysyłania wiadomości związanej z działalność komercyjną podmiot publiczny może zastrzec nadpis z końcówką „#RP”, zgodnie z art. 12 UZNKE. Odróżni to wiadomość tego podmiotu od podmiotu niepublicznego.
Co w sytuacji gdy podmiot publiczny zawiera umowę z integratorem usług SMS jako np. Urząd Gminy, podczas gdy w NASK jest zarejestrowany jako urząd miasta lub jako wewnętrza komórka urzędu (lub odwrotnie)? Integrator usług SMS nie ma możliwości weryfikacji co jest faktycznym podmiotem publicznym.
Integrator usług SMS może zweryfikować podmiot publiczny na podstawie wykazu nadpisów podmiotów publicznych, a także po numerze REGON albo NIP. Jeżeli podmiot publiczny wysyła w imieniu innego podmiotu publicznego wiadomości SMS z nadpisami to powinien on mieć do tego pełnomocnictwo.
Czy podmioty nie świadczące usług SMS mają obowiązek podłączenia się do systemu NASK? Czy operator MVNO, nie posiadający swojej sieci (np. reseller) ma podłączyć się do systemu NASK (mimo braku własnych urządzeń)?
Zgodnie z art. 3 ust. 3 UZNKE przedsiębiorca telekomunikacyjny ma podejmować proporcjonalne środki organizacyjne i techniczne, które mają na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie. Jak wskazano w uzasadnieniu do projektu ustawy „działania podejmowane przez te podmioty będą więc zależne od wielkości podmiotu, posiadanej infrastruktury czy charakteru świadczonych usług”.
Przepis ten ma charakter przepisu ogólnego i zgodnie z nim należy interpretować pozostałe przepisy szczegółowe ustawy. Podłączenie się do systemu telegraf.cert.pl ma służyć wymianie informacji o występowaniu smishingu oraz umożliwić blokowanie wiadomości SMS mającej charakter smishingu. Do tego systemu muszą więc podłączyć się przedsiębiorcy telekomunikacyjni świadczący usługi SMS, w tym integratorzy usług SMS, ponieważ inaczej nie będą w stanie wykonać obowiązków blokowania fałszywych SMS zgodnie z art. 6 ustawy. Natomiast przedsiębiorcy telekomunikacyjni, którzy nie świadczą usług SMS, nie powinni podłączać się do tego systemu, gdyż w świetle art. 3 ust. 3 będzie to działanie nieproporcjonalne – nie świadczą usług SMS, więc nie mogą blokować fałszywych SMSów.
Czy podmioty MVNO mają wykonywać wszystkie obowiązki antyfraudowe mimo braku własnych urządzeń? Jeśli tak, to jaki jest zakres ich obowiązków? Wskazujemy na brak możliwości technicznych wykonania przez MVNO obowiązków w zakresie spoofingu czy smishingu, a jednocześnie te nadużycia i tak będą zwalczane przez operatorów hostów (analogicznie to wygląda przy podobnych działaniach jak np. art. 180 Prawa telekomunikacyjnego). Czy operator lokalny posiadający sieć w ograniczonym zakresie (np. ma sieci dostępowe ale korzysta z centrali innego operatora) ma wykonywać obowiązki antyspoofingowe jeśli nie ma takich możliwości technicznych?
Operator MVNO jest obowiązany wykonywać obowiązki wynikające z UZNKE w zakresie w jakim jest to technicznie możliwe.
Czy obowiązki antyspoofingowe z art. 16, 17 i 19 ustawy dotyczą tylko dostawców publicznie dostępnych usług telefonicznych czy również niepublicznych?
Zgodnie z art. 3 ust. 3 UZNKE w celu zapobiegania nadużyciom w komunikacji elektronicznej, przedsiębiorca telekomunikacyjny obowiązany jest podejmować proporcjonalne środki organizacyjne i techniczne. Oceniając proporcjonalność należy wziąć pod uwagę charakter świadczonych usług. Występowanie CLI spoofing w niepublicznych usługach jest ograniczone, dlatego nie ma potrzeby, aby dostawca niepublicznej usługi miał obowiązek wykonywać obowiązki dotyczące zwalczania CLI Spoofing.
WYMAGANIA BEZPIECZEŃSTWA
Czy wdrożone, udokumentowane i utrzymywane plany działania, o których mowa w art. 8 pkt 2 lit. d ustawy o KSC, mają na celu zapewnienie ciągłego i niezakłóconego świadczenia wyłącznie samej usługi kluczowej, czy również systemów informacyjnych, od których zależy świadczenie usługi kluczowej?
Operatorem usługi kluczowej może być wyłącznie podmiot, który świadczy usługę kluczową zależną od systemów informacyjnych. Usługa kluczowa pozostaje w nierozerwalnym związku z systemem informacyjnym. Operator ma obowiązek zapewnić bezpieczeństwo dla całej usługi kluczowej. W związku z powyższym, plany działania umożliwiające ciągłe i niezakłócone świadczenie usługi powinny dotyczyć również systemów informacyjnych, bez których usługa kluczowa nie może być świadczona.
Jak należy interpretować zobowiązanie do „zapewnienia wsparcia operatorowi usługi kluczowej” przez podmiot świadczący usługi z zakresu cyberbezpieczeństwa, o którym mowa w § 1 ust. 1 pkt. 4 Rozporządzenia Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz. U. z 2018 r. poz. 1780)?
Podmiot świadczący usługi z zakresu cyberbezpieczeństwa w zakresie warunków organizacyjnych jest obowiązany zapewnić wsparcie operatorowi usługi kluczowej w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej. Sposób realizacji tego obowiązku zależy od świadczonej usługi i jej charakteru.
Co oznacza „dysponowanie”, przez podmiot świadczący usługi z zakresu cyberbezpieczeństwa, personelem o określonych umiejętnościach i doświadczeniu np. z zakresu zabezpieczenia śladów kryminalistycznych?
Pojęcie „dysponowanie” jest pojęciem szerokim, w ramach którego mieszczą się różne stosunki prawne wiążące personel. Personelem można dysponować nie tylko na podstawie umowy o pracę ale również na podstawie umowy zlecenia lub innych stosunków cywilnoprawnych. Realizując obowiązek określony w wyżej wymienionym rozporządzeniu, należy mieć na uwadze aby personel odpowiedzialny np. za zabezpieczenie śladów kryminalistycznych posiadał wiedzę i doświadczenie na odpowiednim poziomie, zarówno z sektora technicznego jak i prawnego (kodeksu postepowania karnego). Efektem tego będzie zgromadzenie materiału dowodowego jak najbardziej kompletnego, jednoznacznego oraz niepodważalnego.
Czy zarówno wewnętrzne struktury organizacyjne operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa na rzecz tego operatora, powinny spełniać wymagania określone w art. 14 ust. 2 pkt 2 ustawy o KSC?
W tym przypadku obie struktury organizacyjne powinny dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi oraz środowiskowymi.
Czy osoba prowadząca czynności kontrolne, mająca prawo wstępu i poruszania się po terenie podmiotu kontrolowanego bez obowiązku uzyskania przepustki, podlega procedurom bezpieczeństwa obowiązującym w podmiocie kontrolowanym?
Osoba prowadząca czynności kontrolne podlega procedurom bezpieczeństwa, które obowiązują w podmiocie kontrolowanym. Swobodny wstęp i poruszanie się po terenie podmiotu kontrolowanego bez obowiązku uzyskania przepustki ma na celu uniemożliwienie blokowania wstępu kontrolerom, natomiast podmiot kontrolowany stosuje takie procedury wstępu, które nie utrudnią przeprowadzenia kontroli.
W jaki sposób operator usługi kluczowej zapewnia dostęp właściwemu zespołowi CSIRT do informacji o rejestrowanych incydentach? Czy prawo dostępu dotyczy wszystkich zarejestrowanych incydentów (w tym tych, które nie zostały sklasyfikowane jako poważne)?
Operator usługi kluczowej ma obowiązek zapewnić właściwemu zespołowi CSIRT dostęp do wszystkich zarejestrowanych przez siebie incydentów w zakresie, w jakim jest to niezbędne do realizacji przez zespół zadań. Sposób realizacji tego obowiązku należy do decyzji CSIRT. Nie może on jednak, powodować dodatkowych obciążeń po stronie operatora. Cel dostępu jest uzasadniony przez zadania zespołów CSIRT.
W przypadku wymogów określonych w rozporządzeniu w stosunku do wskazanych w nich systemów bezpieczeństwa należy posługiwać się terminem "stopień", a nie "klasa", który to termin odnosi się tylko do zabezpieczeń mechanicznych a nie elektronicznych.
W § 2 ust. 1 pkt 1 i pkt 2 rozporządzenia chodzi o system alarmowy lub kontroli dostępu, którego klasa/stopień w wersji anglojęzycznej normy określany został jako „Grade 2”.
WYMOGI DOTYCZĄCE POMIESZCZEŃ
Jak rozumieć termin „prawo do wyłącznego korzystania z pomieszczeń? Czy chodzi o prawo do wyłącznego korzystania z pomieszczeń z wyłączeniem pracowników niewchodzących w skład wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, czy może chodzi o prawo do wyłącznego korzystania z pomieszczeń z wyłączeniem dostępu podmiotów zewnętrznych?
Celem użycia terminu „dysponowanie prawem do wyłącznego korzystania z pomieszczeń” było umożliwienie różnych podstaw prawnych do korzystania z pomieszczeń. Nie musi to być własność ani najem, może być inna podstawa prawna, w tym umowa nienazwana, o ile zapewnia ona operatorowi wyłączne korzystanie z pomieszczeń – tzn. jest jedynym korzystającym. Celem było wyłączenie sytuacji typu strefy coworkingowe, biura współdzielone czy biura funkcjonujące wyłączenie w oparciu o pracę zdalną pracowników, bez stałej siedziby. Prawo do wyłącznego korzystania może więc wynikać nie tylko z prawa własności, użytkowania, ale również najmu, dzierżawy bądź innej podstawy prawnej.
Ten zapis ma na celu zapewnienie, aby bez nadzoru w pomieszczeniach mogły przebywać jedynie osoby uprawnione, wykonujące zadania z zakresu usług cyberbezpieczeństwa. Nie ma znaczenia forma prawna korzystania z pomieszczeń (własność, najem etc.), o ile ten warunek jest spełniony.
Czy pomieszczenia muszą być własnością danego podmiotu?
Nie, przepis wyraźnie mówi o posiadaniu prawa do dysponowania, a nie o prawie do własności – tzn. szerzej.
Czy obowiązki związane z zabezpieczeniem pomieszczeń obejmują wszystkie pomieszczenia podmiotu, czy też tylko pomieszczenia służące do świadczenia usług z zakresu cyberbezpieczeństwa?
Chodzi o pomieszczenia, w których przebiegają procesy związane ze świadczeniem usługi cyberbezpieczeństwa.
Czy pomieszczenia, o których w rozporządzeniu w sprawie warunków organizacyjnych (par. 2 ust. 1) to te same pomieszczenia o których mowa w art. 14 pkt. 2 ust 2 ustawy?
Tak, pomieszczenia, o których mowa w rozporządzeniu to pomieszczenia, o których mowa w art. 14 ust. 2 pkt 2 ustawy (tj. pomieszczenia służące do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi).
Czy „wyłączne korzystanie” oznacza również brak możliwości wejścia na teren administratora/właściciela wynajmującego dane pomieszczenia w sytuacjach awaryjnych?
Wejście na teren pomieszczeń osób nieposiadających stałego uprawnienia do przebywania w danym pomieszczeniu musi odbywać się w towarzystwie osoby uprawnionej i musi podlegać rejestrowaniu. Odrębną sprawą jest wejście do takiego pomieszczenia osoby nieuprawnionej w stanie wyższej konieczności (np. strażaka podczas akcji gaszenia pożaru).
Czy wymogi wskazane w rozporządzeniu Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo dotyczące pomieszczeń odnoszą się do wszystkich pomieszczeń użytkowanych przez podmioty świadczące usługi z zakresu cyberbezpieczeństwa czy do pomieszczeń, w których świadczone są te usługi?
Wymagania określone w rozporządzeniu dotyczą pomieszczeń, w których przebiegają procesy związane ze świadczeniem usług cyberbezpieczeństwa.
Doprecyzowując, wymagania dotyczą wszystkich pomieszczeń wykorzystywanych do świadczenia usług cyberbezpieczeństwa, a nie tylko tych, w których umiejscowiono systemy teleinformatyczne. Należy również wziąć pod uwagę pokoje pracy specjalistów, pomieszczenia przeznaczone na przechowywanie dokumentacji i nośników informacji. Wymagania nie obejmują innych pomieszczeń.
Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz. U. 1780)
Czy obsługa incydentów może mieć miejsce wyłącznie z pomieszczeń, które spełniają wymogi rozporządzenia dot. warunków technicznych dla wewnętrznych struktur? Czy może istotne jest tylko dysponowanie prawem do wyłącznego korzystania z tych pomieszczeń, a obsługa incydentów – w sytuacji gdy nie wpływa to na efektywność obsługi incydentu – możliwa jest również z innych miejsc?
Ratio legis ustanowienia wymogów bezpieczeństwa jest zapewnienie bezpieczeństwa informacji pozyskiwanych od podmiotu, dla którego usługa jest świadczona, a także dla informacji przekazywanych do tego podmiotu. Mając na względzie, że w związku z tym iż w trakcie obsługi incydentu ze strony usługobiorcy mogą być przekazywane informacje stanowiące tajemnicę przedsiębiorstwa, dane osobowe lub inne informacje prawnie chronione muszą być zastosowane środki ochrony tych informacji.
Ponadto w trakcie obsługi incydentu do usługobiorcy mogą być przekazywane informacje mogące oddziaływać na funkcjonowanie jego systemów, a zatem muszą to być informacje wiarygodne. Jeżeli w trakcie obsługi incydentu dochodzi do zabezpieczenia śladów kryminalistycznych, to tak zabezpieczony materiał musi być przechowywany w sposób uniemożliwiający jego kompromitację. Jeżeli w trakcie obsługi incydentu wykonywane są czynności związane z fizycznym dostępem do systemu usługobiorcy, to oczywistym jest, że czynności takie będą wykonywane poza pomieszczeniami usługodawcy. Również czynności pomocnicze, które nie wymagają przetwarzania informacji prawnie chronionych mogą odbywać się poza pomieszczeniami, o których mowa w rozporządzeniu.
Niedopuszczalne jest jednak aby w pomieszczeniach, o których mowa, przebywały osoby postronne bez nadzoru osób uprawnionych.
Co oznaczają pojęcia „zewnętrzne (drzwi, okna i ściany) oraz „wewnętrzne” (drzwi i ściany)? Czy chodzi o oddzielające wszystkie pomieszczenia podmiotu od zewnętrza budynku czy oddzielające strefę świadczenia usług z zakresu cyberbezpieczeństwa od reszty pomieszczeń tego podmiotu?
Pojęcia „wewnętrzne” i „zewnętrzne” odnoszą się do pomieszczeń, w których przebiegają procesy związane ze świadczeniem usług z zakresu cyberbezpieczeństwa.
Czy w świetle rozporządzenia regulującego warunki techniczne dla wewnętrznych struktur organizacyjnych dopuszczalne jest przykładowo posiadanie dwóch par drzwi zewnętrznych o klasie RC3 zamiast jednej pary drzwi zewnętrznych o klasie RC4 jak wymaga tego rozporządzenie? Czy dopuszczalne jest stosowanie środków, które dają analogiczne lub lepsze zabezpieczenie, ale nie są to jednak wprost środki określone w rozporządzeniu?
Takie rozwiązanie jest możliwe, albowiem istotą przepisu jest wymóg zastosowania zabezpieczenia technicznego zapewniającego określony przez normę czas opóźnienia na uzyskanie przez intruza dostępu do pomieszczenia.
Czy są znane dokumenty (normy) pozwalające dokonać oceny zgodności z wymogiem odporności ścian na włamanie adekwatnej do klasy odporności drzwi, o którym mowa w rozporządzeniu, oraz pozwalające znaleźć odpowiedniki odporności muru ceglanego o grubości 25 cm dla innych materiałów budowlanych?
W odniesieniu do drzwi i okien prawodawca przywołując normy. kierując się tym, że wyroby te dostępne są na rynku jako wyroby posiadające stosowne certyfikaty albo deklaracje zgodności.
Ściany, jako wyroby jednorazowe, trudno jest poddawać certyfikacji, zatem wskazane zostało jako odnośnik przykładowe wykonanie takiej ściany, co nie oznacza, że ściana taka musi być wykonana w postaci muru z cegły.
Jeśli chodzi o normy to kwestię odporności ścian reguluje Polska Norma PN-EN 1627 Drzwi, okna, ściany osłonowe, kraty i żaluzje - Odporność na włamanie - Wymagania i klasyfikacja.