Stanowisko do projektu ustawy o krajowym systemie cyberbezpieczeństwa
2017-11-20
Na wstępie sygnalizujemy, że szczegółowa analiza przedstawionego projektu ustawy prowadzi do jednoznacznego wniosku, że projekt ustawy wymaga dalszych prac legislacyjnych, zarówno w warstwie jego podstawowych celów i narzędzi proponowanej regulacji, jak również warstwy ściśle merytorycznej i legislacyjnej. Dalsze analizy i dialog z kluczowymi interesariuszami, uzasadnia przede wszystkim kluczowy dla gospodarki i obywateli zakres poruszanych zagadnień, jak również potencjalny, istotny wpływ na swobodę działalności gospodarczej.Podniesienie poziomu krajowego cyberbezpieczeństwa bez wątpienia stanowi kluczowe wyzwanie, zarówno dla sektora publicznego, jak również dla prywatnych przedsiębiorców. Niestety jednak, proponowany model realizacji zadań państwa w obszarze cyberbezpieczeństwa może okazać się z jednej strony niewystarczająco efektywny, a z drugiej zbytnio ingerujący w sferę działalności podmiotów gospodarczych. Tym samym, nasze kluczowe wątpliwości dotyczą ustalenia:
· czy faktycznie projektowane rozwiązania przyczynią się do podniesienia poziomu cyberbezpieczeństwa krajowego oraz
· czy zakres przewidzianych rozwiązań nie wprowadza, zbytniego niekontrolowanego wpływu państwa na podmioty gospodarcze, rozszerzając uprawnienia władcze organów państwowych wobec podmiotów gospodarczych
· potencjalnego negatywnego wpływu na konkurencyjność polskiej gospodarki.
I. Biorąc to pod uwagę, przedstawiamy następujące uwagi o charakterze ogólnym:1. Brak precyzyjnych zasad funkcjonowania jednostek zależnych od organów państwowych funkcjonujących również na rynku komercyjnym, w tym m.in. brak ograniczeń prowadzenia działalności komercyjnej przez jednostki wykonujące zadania CSIRT, w zakresie wynikającym z ustawy. W naszej ocenie podmiot pełniący funkcję CSIRT, powinien realizować wyłącznie zadania o charakterze publicznych i niekomercyjnym. Jego funkcjonowanie na rynku konkurencyjnym, budzi istotne wątpliwości, szczególnie w sytuacji gdy możliwość pozyskiwania (z mocy prawa) informacji od innych podmiotów stawia go w uprzywilejowanej pozycji rynkowej.
2. Brak ograniczenia zakresu uprawnień nadzorczych organów nadzoru i kontroli wyłącznie do obszaru związanego bezpośrednio ze świadczeniem usług kluczowych.
3. Brak określania wymagań dla „specjalistów" angażowanych przez organów nadzorczych na potrzeby prowadzonych przez te organy kontroli.
4. Bardzo szerokie uprawnienia, CSIRT-ów w zakresie możliwości żądania od operatorów telekomunikacyjnych udostępnienia informacji dot. ich działalności oraz przyjętych rozwiązań organizacyjno-technicznych, a także przyznania organom nadzoru prawa do wydawania wiążących zaleceń. Wprowadzenie takich rozwiązań, w szczególności z pominięciem analizy ryzyka i bez uwzględnienia zasady adekwatności stosowanych zabezpieczeń do zidentyfikowanych ryzyk, może w istotnym zakresie ograniczać swobodę działalności gospodarczej, a jednocześnie obniżać efektywność prowadzonych działań w obszarze cyberbezpieczeństwa.
5. Brak publikacji kluczowych aktów wykonawczych. Uwzględniając, że nowe obowiązki oraz ograniczenia prowadzenia działalności gospodarczej mogą być wprowadzane wyłącznie w drodze ustawowej, wątpliwości budzi fakt, że do konsultacji nie zostały skierowane projekty obligatoryjnych rozporządzeń, których postanowienia będą bardzo istotne dla całego systemu ochrony cyberprzestrzeni, a tym samym mają kluczowy wpływ na ocenę całości proponowanych rozwiązań. W naszej ocenie, ustawa powinna być konsultowana i procedowana w pakiecie wraz ze wszystkimi (przynajmniej obligatoryjnymi) aktami wykonawczymi. Dodatkowo zwracamy uwagę, że trudno ustalić faktyczne i merytoryczne przesłanki uzasadniające decyzje o regulacji pewnych zagadnień na poziomie ustawowym, a część na poziomie aktów wykonawczych. Przykładowo, bardzo szczegółowo definiuje się wymagania funkcjonalne na system teleinformatyczny wspomagający obsługę incydentów, pozostawiając jednocześnie do regulacji w drodze rozporządzenia wydawanego przez ministra ds. informatyzacji istotne z punktu widzenia obrotu gospodarczego wymagania dla podmiotów świadczących usługi outsourcingu w zakresie cyberbezpieczeństwa. W tym kontekście, jako niespotykaną dotychczas praktykę odbieramy określenie w regulacji ustawowej (z zasady mało elastycznej i trudniejszej do zmiany) precyzyjnych wymagań dla systemu informatycznego i jego funkcjonalności (co wydaje się materią typowo wykonawczą), podczas gdy sam projekt ustawy nie określa w sposób jasny i precyzyjny podstawowego pojęcia, jakim ma być „incydent poważny".
6. Brak jednego punktu zgłoszeń incydentów na poziomie krajowym, do którego można byłoby zgłaszać incydenty, a do którego odpowiedzialności należałoby odpowiednie przekierowanie incydentu wg właściwości. Takie rozwiązanie wydaje się efektywniejsze, niż zaproponowany, dość skomplikowany model zgłaszania poszczególnych kategorii incydentów w Polsce. Warto w tym kontekście zauważyć, że liczba organów, do których przedsiębiorca powinien zgłaszać ewentualne incydenty, w ostatnim okresie, wraz ze stopniowym wprowadzaniem nowych rozwiązań legislacyjnych, znacząco wzrasta. Aktualnie obowiązki takie istnieją już w zakresie zgłoszeń do: UKE, GIODO, ministra ds. informatyzacji (odnośnie usług zaufania). Dodatkowo wprowadzony zostanie obowiązek wobec CSIRT NASK (odnośnie incydentów istotnych przy usługach cyfrowych), odpowiedni CSIRT (w zakresie incydentów poważnych przy usługach kluczowych). Liczne obowiązku sprawozdawcze, ograniczają funkcjonowanie przedsiębiorcom, a same w sobie nie przyczyniają się do zwiększenia poziomu cyberbezpieczeństwa użytkowników.
7. Brak jednoznacznego i nie budzącego wątpliwości określenia odpowiedzialności za obsługę incydentu poważnego - z jednej strony odpowiedzialność za obsługę incydentu spoczywa na operatorze, z drugiej strony projekt ustawy przewiduje wprost uprawnienia CSIRT w zakresie obsługi incydentów poważnych, nie wskazując przy tym zasad przejmowania przez CSIRT incydentów do obsługi oraz przyznając CSIRT pewne uprawnienia „władcze" wobec operatora (np. wezwanie za pośrednictwem organu właściwego operatora do usunięcia podatności, żądanie informacji itd.). Tym samym, CSIRT miałby możliwość ingerencji w działalność jednostkowego operatora z pominięciem jakiejkolwiek odpowiedzialności za podejmowane wobec operatora działania.
Uszczegóławiając powyższe, zwracamy uwagę, że zgodnie z projektowanym art. 12 ust. 1 pkt 6 operator ma zapewnić obsługę incydentu poważnego i incydentu krytycznego we współpracy z właściwym CSIRT, w tym poinformować o usunięciu podatności, które doprowadziły lub mogły doprowadzić do poważnego incydentu.
Na wniosek operatora CSIRT może zapewnić wsparcie w obsłudze lub obsługę poważnych incydentów (art. 28 ust.2), przy czym odpowiednio - zgodnie z projektowanym art. 28 ust. 2 - zadaniem CSIRT jest realizacja zadań na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także zapewnienie koordynację obsługi poważnych incydentów.
Natomiast zgodnie z projektowanym art. 28 ust. 5, 6 i 7 do zadań CSIRT należy obsługa lub koordynacja obsługi incydentów zgłaszanych przez wskazane w ustawie podmioty. Z tym uprawnieniem korelują uprawnienia CSIRT wskazane w art. 34, zgodnie z którym CSIRT może: „wykonywać niezbędne działania techniczne, związane z monitorowaniem zagrożeń, obsługa incydentów poważnych (...), a także dokonywać analiz (...)", „wystąpić do organu właściwego z wnioskiem o wezwanie operatora, aby w wyznaczonym terminie usunął podatności, które doprowadziły lub mogłyby doprowadzić do poważnego incydentu" oraz „może wystąpić bezpośrednio do operatora o udostępnienie informacji technicznych związanych z incydentem, które będą niezbędne do przeprowadzenia analizy zdarzenia lub obsługi incydentu"
W praktyce może to oznaczać, że dla jednego incydentu, właściwe będą dwa ośrodki, co w praktyce znacznie utrudni, o ile nie uniemożliwi jego właściwą obsługę. Po drugie, istnieje znaczące ryzyko, że CSIRT może definiować względem operatora nieadekwatne wymagania, które mogą generować nadmierne obciążenia kosztowe, jednocześnie nie stanowiąc najbardziej efektywnego rozwiązania zaistniałego problemu.
8. Pragniemy zwrócić uwagę, iż w polskim kodeksie karnym wciąż brak jest takich pojęć jak cyberprzestępczość, przestępczość komputerowa, czy przestępczość internetowa. Biorąc pod uwagę potrzebę kompleksowego zmierzenia się ze zjawiskiem cyberprzestępczości, groźnym dla obywateli, przedsiębiorców, organów państwa oraz ekonomicznych interesów państwa, postulujemy pilne podjęcie prac, dzięki którym wszelkie nieautoryzowane działania przy zabezpieczeniach systemów byłyby ścigane z mocy prawa. Można byłoby, m.in. wzorować się na rozwiązaniach przyjętych w Stanach Zjednoczonych, gdzie próba naruszenia stosowanych przez przedsiębiorców zabezpieczeń jest przestępstwem federalnym.
II. Uwagi do poszczególnych artykułów projektu ustawy:
1. Zgodnie z Dyrektywą ustawa ma być przyjęta do 9 maja a stosowana od 10 maja włącznie z tym, że operatorzy usług kluczowych mają być wskazani najpóźniej do 9 listopada.
Ustawa ma vacatio legis tylko 14 dni. Pozostaje bardzo mało czasu na wdrożenie jakichkolwiek obowiązków wynikających z ustawy.
Oczywiście niektóre podmioty mają zapewne już wdrożone wewnątrz organizacji część z obowiązków, jednak, nawet sam czas rekrutowania stanowiska specjalistycznego w cyberbezpieczeństwie, to nawet nie licząc ograniczeń finansowych, w Polsce około 6-9 miesięcy, a na świecie nawet bliżej roku. Przy obecnym vacatio legis dostosowanie się do zapisów ustawy w wymaganym terminie przez podmioty do tego zobowiązane wydaje się wątpliwym.
2. Art. 2 pkt 5 - należy dodać definicję ‘danego poziomu zaufania'
3. Art. 2 punkty 8-12 - definicje incydentów powinny umożliwiać dokładną ich klasyfikację.
Przy obecnie podanych definicjach, podmiot komercyjny dokonujący klasyfikacji będzie miał ogromny problem, aby ocenić, czy dany incydent skutkuje ‘znaczną szkodą dla [..], zaufania do instytucji publicznych [...]'.
4. W art. 4. skreślić pkt. 5 - przedsiębiorców telekomunikacyjnych.
Brak jest wymienienia przedsiębiorców telekomunikacyjnych w przywoływanej Dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148. Przedsiębiorcy telekomunikacyjni nie powinni zatem być wymienieni też w Ustawie. W konsekwencji należy zatem także wykreślić art. 61;
5. W Art. 4 Należy dodać Policję jako element systemu cyberbezpieczeństwa
Pominięcie Policji jako istotnego elementu systemu cyberbezpieczeństwa wydaje się niedopatrzeniem, ponieważ to właśnie Policja prowadzi sprawy, w których poszkodowanymi z uwagi na cyberprzestępczość są obywatele czy przedsiębiorcy. Policja jest co najmniej źródłem informacji o typach cyberprzestępstw zgłaszanych, gdzie występują, jaka jest ich skala.
6. Art. 5 ust. 1 oraz ust. 2 pkt 1
Sugerujemy, iż zawartość decyzji o uznaniu za operatora usługi kluczowej powinna doprecyzować jakie usługi kluczowe realizuje operator usługi kluczowej, które są objęte tymi przepisami.
W wykazie usług kluczowych powinny być sprecyzowane usługi kluczowe dla poszczególnych obszarów działalności w celu precyzyjnego określenia zakresu w jakim dostawcy usług mają wdrożyć wymagania ustawy.
7. Art 5 ust 5
Podjęcie decyzji o tym, że jakiś podmiot jest operatorem usługi kluczowej, wydaje się być szybkie do przeprocedowania, natomiast dla tego podmiotu oznaczać to może niezwykle wysokie wydatki i długi czas na dostosowanie do wszystkich wymagań ustawy.
Taka decyzja nie może zatem mieć skutku natychmiastowego. W zależności od skali oczekiwanych zmian wydaje się, że podmiot takiej decyzji powinien mieć czas na przygotowanie się do realizacji zapisów ustawy lub mieć czas na wycofanie się ze świadczenia usługi kluczowej (wypowiedzenie umów, etc).
Po podjęciu decyzji, że dany podmiot świadczy usługę kluczową, podmiot ten powinien mieć np. 3 miesiące na poinformowanie podmiotu wydającego decyzję, że z uwagi na koszty lub inne przyczyny podejmuje decyzję o zaprzestaniu świadczenia tej usługi i określa czas potrzebny na to nie dłuższy niż 1 rok (może być zależny od branży) lub określa zakres prac, które musi przeprowadzić i określa czas (nie dłużej niż 1 rok) potrzebny mu na ich zrealizowanie.
Proponujemy usunięcie Art. 5 ust. 5.
8. Art. 6 i Art. 7 ust 1
Zmiany tych rozporządzeń będą miały ogromne znaczenie dla przedsiębiorców i mogą mieć znaczący wpływ na swobodę prowadzenia działalności. Wiele usług kluczowych realizowanych przez przedsiębiorców wymaga bowiem planowania na wiele lat naprzód. Nagła zmiana przepisów może radykalnie zaburzyć modele biznesowe tych podmiotów gdyż będzie wymagać od nich nowych wydatków i znacznych nakładów pracy.
Wiele z takich podmiotów realizuje swoje plany m.in. w oparciu o kredyty lub dotacje celowe z programów krajowych lub europejskich, co związane jest z określonymi zobowiązaniami realizowania tychże planów. Z uwagi na potencjalnie bardzo znaczące skutki takich zmian legislacyjnych, powinny być one oparte o ustawę, a nie o rozporządzanie.
9. Art. 7 ust. 1
Należy dodatkowo zmienić treść tego ustępu nadając mu brzmienie: „Minister właściwy do spraw informatyzacji we współpracy z organami właściwymi, dyrektorem Rządowego Centrum Bezpieczeństwa - dodać - oraz operatorami usługi kluczowej (...)".
Opracowanie progów istotności może w przyszłości w zauważalny sposób wpłynąć na koszty funkcjonowania przedsiębiorcy związane z obsługą usług kluczowych, stąd udział przedsiębiorców w procesie ich opracowania jest w pełni zasadny.
10. Art. 7 ust 3
Dodatkowo zapis „Progi istotności skutku zakłócającego dla świadczenia usług kluczowych przyjmuje Rada Ministrów w drodze uchwały" należy zmienić na „(...) przyjmuje Rada Ministrów w drodze rozporządzenia". Progi istotności skutku zakłócającego dla świadczenia usług kluczowych będą mieć wpływ na koszty funkcjonowania przedsiębiorcy. W przypadku, gdy będą przyjmowane w formie uchwał Rady Ministrów, ich opracowywanie odbywać się będzie poza jakąkolwiek wiedzą bezpośrednio zainteresowanych przedsiębiorców, co jest niezasadne i wpłynie negatywnie na skuteczność systemu cyberbezpieczeństwa.
Progi nie powinny mieć charakteru niejawnego, ponieważ podmioty realizujące obowiązki wynikające z ustawy lub planujące wejść w dany zakres usług muszą mieć możliwość zapoznania się z nimi w celu określenia własnego planu działania. Nie ma też wymogu, aby podmioty realizujące usługi kluczowe podlegały przepisom ustawy o ochronie informacji niejawnych. Nieznajomość progu zakłócającego dla świadczenia usług kluczowych uniemożliwia bowiem podmiotowi świadczącemu taką usługę przeprowadzenie analizy ryzyka i zaplanowanie odpowiednich środków zaradczych.
11. Art. 8 ust 6
Informacje z wykazu operatorów usług kluczowych powinny być też udostępniane wszystkim podmiotom wchodzącym w skład krajowego systemu cyberbezpieczeństwa, ponieważ może to być brane przez nich pod uwagę przy wyborze partnera biznesowego (jeśli świadczę usługę kluczową to chciałbym korzystać z usług podmiotu, który też świadczy taką usługę, gdyż daje to większe bezpieczeństwo własnej usługi kluczowej - szczególnie jeśli jedna zależy od drugiej).
12. Obowiązek zapewnienia przez operatora usługi kluczowej bezpieczeństwa świadczonych usług kluczowych oraz ich ciągłości (art. 10)
Sygnalizujemy brak odwołania do Polskich Norm, zgodnie, z którymi ww. wymaganie uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm - proponujemy wprowadzenie odpowiedniego uzupełnienia.
13. Art. 10 ust.2 punkt 5
Użyte w przepisie pojęcie trybu ciągłego jest niewystarczająco precyzyjne. Prosimy o doprecyzowanie jakie elementy infrastruktury teleinformatycznej powinny być objęte ciągłym monitorowaniem. Proponujemy doprecyzowanie zapisu.
14. Art. 11 ust.1 i ust. 2
Należy zmienić treść „w ciągu sześciu miesięcy od otrzymania decyzji" na „w ciągu sześciu miesięcy od otrzymania prawomocnej decyzji". Brak zapisu o prawomocności decyzji może skutkować tym, iż mimo wszczętego przez przedsiębiorcę procesu odwoławczego w stosunku do otrzymanej decyzji, operator usługi kluczowej będzie zmuszony przystąpić niezwłocznie do opracowania dokumentacji dotyczącej cyberbezpieczeństwa systemów informacyjnych.
Dodatkowo okres 6 miesięcy jest realny do dotrzymania, jeżeli podmiot już wcześniej dostosował się do zapisów ustawy. W innym przypadku powinien obowiązywać czas na dostosowanie, jaki podmiot zadeklaruje na potrzeby przygotowania swoich systemów i procedur do działania w zgodzie z przepisami ustawy.
Istnieje ryzyko niedotrzymania terminu przygotowania wymaganej dokumentacji dot. cyberbezpieczeństwa w sytuacji opóźnienia w wydaniu rozporządzenia RM, o którym mowa w art. 11 ust. 3 ustawy. Rekomendujemy przedstawienie do konsultacji projektu rozporządzenia, a także wprowadzenie w projekcie ustawy odpowiedniego przepisu uzależniającego aktualizację obowiązku, o którym mowa w projektowanych art. 11 ust. 1 od wydania rozporządzenia, o którym mowa w art. 11 ust. 3, wraz z odpowiednio długim okresem przejściowym na przygotowanie tej dokumentacji wg wymagań rozporządzenia. Jest to szczególnie istotne, gdyż niewykonanie obowiązku zagrożone jest karą pieniężną.
Proponujemy wprowadzenie rocznego okresu dostosowania do przepisów, i konsekwentnie zmianę brzmienia art. 11 ust. 1 w następujący sposób:
Proponujemy następujące brzmienie art. 11 ust. 1:
Art. 11. 1 Operatorzy usług kluczowych opracowują dokumentację dotyczącą cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych, w ciągu roku od otrzymania decyzji o uznaniu za operatora usługi kluczowej, oraz przechowują tę dokumentację przez okres 5 lat liczonych od początku roku następującego po roku jej wytworzenia.
Dodatkowo zwracamy uwagę na to, że Ust. 1 odnosi się do systemów informatycznych wykorzystywanych do świadczenia usług kluczowych. Z kolei ust. 2 odnosi się do obiektów infrastruktury krytycznej, co może być węższym zakresem niż wskazany w ustępie 1.Proponujemy doprecyzowanie zakresu obowiązywania przepisów w przypadku ust. 1 i ust. 2 poprzez jednoznaczne określenie w jakim zakresie do operatorów usług kluczowych, o których mowa w ust. 2 przywołanego przepisu nie stosuje się przepisów ust. 1.
15. Art. 12 ust. 1 pkt 4Dostawca usługi kluczowej może nie być w stanie zebrać i przekazać wartościowych informacji w tak krótkim czasie jak 24 godziny. Proponujemy wydłużenie tego czasu do 48 godzin.
Proponujemy następujące brzmienie art. 12 ust. 1 pkt 4:
Art. 12. 1. Operatorzy usług kluczowych są obowiązani:
... 4) zgłaszać incydent poważny niezwłocznie, nie później niż w ciągu 48 godzin od momentu wykrycia, za pośrednictwem systemu teleinformatycznego, o którym mowa w art. 42 ust. 1, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV
Art. 12 ust. 2Poprosimy o doprecyzowanie na czym miała by polegać zwiększona odpowiedzialność operatora usługi kluczowej od której będzie on zwolniony, przepis jest w tym zakresie niejasny. Proponujemy doprecyzowanie zapisu.
16. Obowiązek zgłaszania incydentów poważnych (art. 13 ust. 1 pkt 4 lit. f oraz pkt 7)
Zgodnie z projektowanym art. 13 ust. 1 pkt 6 na operatorze spoczywa obowiązek zgłaszania „incydentu, który mógł mieć wpływ na usługi kluczowe", czyli potencjalnie każdego incydentu. W praktyce może to stanowić znaczące rozszerzenie spoczywającego na operatorze obowiązku notyfikacyjnego. W związku z tym rekomendujemy wykreślenie zapisu.
Ponadto sygnalizujemy, że zakresy obowiązków informacyjnych zdają się nakładać. Zgodnie z projektowanym pkt 4 lit. f należy wskazać m.in. przyczynę zaistnienia incydentu, a zgodnie z ust. 7 mamy podać przyczynę i źródło incydentu, jeżeli są one znane w chwili zgłoszenia. W naszej ocenie należy pozostawić obowiązek określony w pkt. 7.
Czas 24 godzin na opisanie przyczyny, przebiegu, i skutków incydentu jest niewytaczający. Prosimy o zmianę w art. 12 ust. 1 pkt 4 na 48 godzin.
Nowe brzmienie ma związek z zaproponowaną powyżej zmiana brzmienia art. 12 ust. 1 pkt 4.
17. Przekazywanie przez operatorów usług kluczowych do właściwego CSIRT informacji o zagrożeniach, szacowaniach ryzyka, podatnościach, wykorzystywanych technologiach (art. 14)
Z uwagi na brak szczególnego uzasadnienia, brak określenia sposobu wykorzystywania danych przez CSIRT, a także fakultatywny charakter projektowanego art. 14 rekomendujemy usuniecie zapisu.
18. Art. 15 ust. 1 pkt 2
Ustęp ten może wnieść korzyści np. w sektorze bankowości. Jednakże w sektorze energii elektrycznej koszty zapewnienia dostępu do wiedzy mogą być wysokie, a korzyści niewielkie gdyż użytkownicy nie są wstanie przeciwdziałać atakom na infrastrukturę elektroenergetyczną.
Proponujemy następujące brzmienie art. 15 ust. 1 pkt 2:
Art. 15. 1. Operatorzy usług kluczowych są obowiązaniu do:
... 2) zapewnienia użytkownikowi usługi kluczowej, o ile użytkownik ma wpływ na ciągłość świadczonej usługi kluczowej, dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.
19. Obowiązek zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowania skutecznych sposobów zabezpieczania (art. 15 ust. 2 )
Obowiązek prowadzenia działalności edukacyjnej powinien spoczywać przede wszystkim na CSIRT oraz przez organach państwa koordynujących kwestie cyberbezpieczeństwa na poziomie krajowym. Działalność operatorów usług kluczowych, w tym zakresie powinna mieć wyłącznie subsydiarny charakter. Jest to uzasadnione faktem, że wiedza o zagrożeniach cyberbezpieczeństwa powinna obejmować pełne spektrum zagrożeń i zabezpieczeń oraz dawać użytkownikowi całościowy obraz, a nie ograniczać się do pojedynczych usług. Uważamy, że to zadanie powinno być to realizowane przez wskazane w ustawie CSiRT'y lub MC, które dysponują wiedzą kompleksową na temat zagrożeń w cyberprzestrzeni i posiadają dane statystyczne
Do prowadzenia takiej działalności predestynuje te podmioty również zakres informacji pozyskiwanych przez CSIRT-y oraz organy właściwe o incydentach, ale również o stosowanych zabezpieczeniach stosowanych przez operatorów, itd.. Tego typu informacje, w formie dostosowanej do potrzeb edukacyjnych, zagregowanej i zanonimizowanej mogłyby być wykorzystywane właśnie w działalności edukacyjnej. Zwiększyłoby to istotnie proporcjonalność wykorzystania pozyskanych od podmiotów rynkowych danych.
20. Art. 16 ust. 1
Organizacja certyfikowanego audytu jest dodatkowym kosztem dla operatorów. Wzorem audytu energetycznego sugerujemy wyznaczyć częstotliwość audytu raz na 4 lata. Pozwoli to lepiej rozłożyć koszty oraz wysiłek jakie musi włożyć operator w przeprowadzenie audytu.
Proponujemy następujące brzmienie art. 16 ust. 1:
Art. 16. 1. Operatorzy usług kluczowych przeprowadzają co najmniej raz na cztery lata audyt bezpieczeństwa teleinformatycznego, zwany dalej „audytem".
21. Art. 16 ust 2
Nie jest określone kto ma akredytować jednostkę audytującą. Należy to bardzo precyzyjnie określić w zapisach ustawy.
Należy w szczególności zmienić zapis „Audyt jest przeprowadzany przez akredytowana jednostkę oceniającą zgodność systemu bezpieczeństwa i zarządzania ciągłością działania" na „Audyt jest przeprowadzany przez akredytowaną jednostkę oceniającą zgodność systemu bezpieczeństwa i zarządzania ciągłością działania, która otrzymała akredytacje od Polskiego Centrum Akredytacji" -Ustawowy wymóg przeprowadzania co najmniej raz na dwa lata audytu bezpieczeństwa teleinformatycznego powinien być bowiem realizowany przez podmioty, których akredytacje nie budzą wątpliwości prawnych i merytorycznych.
Nie został określony sposób akredytacji jednostek, które mają prowadzić audyty u operatorów usług kluczowych. Z uwagi na zagrożenie karą pieniężną, kluczowe jest również doprecyzowanie, zasady prowadzenia samego audytu, a także oczekiwanych jego efektów, które zostaną uznane za spełnienie ustawowych wymagań.
Proponujemy doprecyzować, że posiadanie przez operatora usług kluczowych aktualnego certyfikatu ISO/IEC 27001 (np. w zakresie cyberbezpieczeństwa) będącego wynikiem audytu systemu zarządzania bezpieczeństwem informacji zwalnia operatora usług kluczowych z obowiązku poddawania się ww. audytowi.
Wątpliwości budzi ponadto zapis w ust. 3, że „Celem audytu jest potwierdzenie, na podstawie przeprowadzonej analizy ryzyka, że operatorzy usług kluczowych spełniają wymogi określone w ustawie.". Wnosimy o doprecyzowanie podmiotu, który ma przeprowadzać tę analizę ryzyka oraz zasad jej wykonywania.
Ponadto brakuje korelacji między obowiązkiem przeprowadzenia audytu (w praktyce na koszt operatora) z obowiązkiem przekazania kopii sprawozdania z audytu organowi właściwemu, a obowiązkiem poddania się kontroli, o której mowa w rozdziale VIII. Skoro bowiem nakłada się na operatora obowiązek poddania się regularnemu audytowi to proponujemy w związku z tym ograniczenie uprawnień kontrolnych organu nadzorczego (audyt zastępuje kontrolę).
22. Prawo organu do wydawania wiążących poleceń wprowadzenia środków zaradczych w odniesieniu do stwierdzonych w audycie uchybień wyłącznie na podstawie kopii sprawozdania z przeprowadzonego audytu (art. 16 ust. 6)Z uwagi na konieczność zapewnienia możliwości obiektywnej oceny sytuacji, w szczególności z zachowaniem prawa podmiotu audytowanego do wypowiedzenia się oraz bycia wysłuchanym, w sprawach, które dotyczą jego istotnych interesów, wnosimy o wprowadzenie zapisów wskazujących na obowiązek „organu właściwego" do zapoznania się z odniesieniem podmiotu audytowanego do wyników audytu. Niedopuszczalna jest w naszej ocenie sytuacja, w której wyniki audytu (biorąc pod uwagę fakt braku precyzji przepisów w tym zakresie) miałyby bezpośrednio i bez jakiegokolwiek trybu odwoławczego, a nawet wysłuchania, skutkować nałożeniem, w trybie władczego rozstrzygnięcia, obowiązków na podmiot audytowany, które dodatkowo zagrożone są możliwością nałożenia kary pieniężnej do 50.000 zł w sytuacji niezastosowania się do ww. poleceń.
23. Uprawnienia CSIRT w zakresie pozyskiwania od operatora informacji (art. 34)
Postulujemy doprecyzowanie, że obowiązek przekazania informacji CSIRT nie dotyczy informacji prawnie chronionych.
Projektowany art. 34 ust. 2 został określony w sposób zbyt ogólny i wymaga doprecyzowania poprzez wskazanie zamkniętego katalogu uprawnień. W swoim aktualnym brzmieniu umożliwiałby CSIRT wręcz nieograniczony zakres działań, w tym np. możliwość instalowania w sieci służącej świadczeniu publicznych usług telekomunikacyjnych i będącej własnością komercyjnego podmiotu, własnych urządzeń telekomunikacyjnych CSIRT, które pozostawałyby poza kontrolą właściciela tej sieci. Takie potencjalne działania skutkowałyby brakiem możliwości spełnienia przez operatora jego podstawowych obowiązków, np. w zakresie ochrony tajemnicy telekomunikacyjnej
Projektowany art. 34 ust. 3 w zakresie obowiązku usunięcia podatności w wyznaczonym przez właściwy organ terminie może oznaczać konieczność poniesienia wysokich kosztów oraz istotnej przerwy w świadczeniu podstawowej usługi. Dodatkowo może naruszać zasadę adekwatności zabezpieczeń w stosunku do ryzyk i w ten sposób ingerować w model biznesowy operatorów telekomunikacyjnych.
Podsumowując uprawnienia CSIRT określone w projektowanym art. 34 mogą skutkować naruszeniem regulacji związanych z ochroną tajemnicy telekomunikacyjnej oraz rozporządzenia RODO, a także duplikują istniejący mechanizm, który funkcjonuje dla służb ochrony państwa. Co więcej nie przewidziano żadnej niezależnej kontroli państwa nad tymi żądaniami, a w szczególności nie ma możliwości odwołania się od decyzji CSIRT, podczas gdy nawet dla działań ABW niezbędna jest zgoda sądu, a więc zapewnione są mechanizmy kontrolne przed nadużyciami uprawnień.
24. Organy właściwe (art. 38 ust. 1 pkt 7)
Sygnalizujemy, że w obszarze rynku telekomunikacyjnego może występować nakładanie się kompetencji ministra właściwego ds. informatyzacji oraz Prezesa UKE. Może to generować ryzyko nakładania się na siebie różnych, wykluczających się lub niespójnych obowiązków, a tym samym znacząco zwiększać ryzyko prowadzenia działalności gospodarczej.
25. Uprawnienia organu do żądania od operatora informacji (art. 39 ust. 2)
W naszej ocenie projektowany zapis w sposób zbyt szeroki określa uprawnienia organu właściwego, w szczególności nie zawężając tego uprawnienia do informacji związanych z usługą kluczową, jednocześnie w żaden sposób nie określając szczegółowych przesłanek, zakresu, czy możliwości odwołania od arbitralnego rozstrzygnięcia. Dodatkowo, obowiązek odnosi się do informacji, które organ może pozyskać ze sprawozdania z audytu przeprowadzonego u operatora oraz z wykonanych przez organ w odniesieniu do danego operatora czynności kontrolnych. Tym samym wnosimy o wykreślenie art. 39 ust. 2 z projektu.
26. Art. 42 ust 5
System informatyczny powinien zapewniać automatyczny (machine-2-machine) interfejs umożliwiający przekazanie informacji o incydentach z uwagi na to, że w trakcie trwania poważnego incydentu może nie być czasu na ręczne wypełnianie formularzy. U podmiotów posiadających systemy zarządzania incydentami powinno wystarczyć odpowiednie oznakowanie incydentu, aby automatycznie został przekazany do systemu, a także wszelkie aktualizacje danych dotyczących tego incydentu (ponieważ wiedza o incydencie będzie się zmieniać wraz z upływem czasu).
27. Art. 48 ust. 1
Proponujemy usunięcie wyłączenia art. 79 odnoszącego się do rozdziału 5 z ustawy o swobodzie działalności gospodarczej. Uważamy że przedsiębiorcy powinny mieć prawo do bycia powiadomionym o wszczęciu kontroli. Wcześniejsze zawiadomienie pozwala na prawidłową organizację, zapewnienie dostępności niezbędnego personelu i sprawny przebieg kontroli.
Proponujemy następujące brzmienie art. 48 ust. 1:
Art. 48. 1. Do kontroli, której zakres określony jest w art. 47 ust. 1 pkt 1, stosuje się przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej.
28. Art. 48 ust 2 punkt 1
Proponujemy usunięcie wyłączenia art. 79 odnoszącego się do rozdziału 5 z ustawy o swobodzie działalności gospodarczej. Uważamy że przedsiębiorcy powinny mieć prawo do bycia powiadomionym o wszczęciu kontroli. Wcześniejsze zawiadomienie pozwala na prawidłową organizację, zapewnienie dostępności niezbędnego personelu i sprawny przebieg kontroli.
Proponujemy następujące brzmienie art. 48 ust. 2 pkt 1:
Art. 48
... 2. Do kontroli, której zakres określony jest w art. 47 ust. 1 pkt 2 i 3, realizowanej wobec podmiotów:
1) będących przedsiębiorcami, stosuje się przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej,
29. Art. 49 pkt 1 i pkt 6
Nie jest realnym, aby osoba prowadząca czynności kontrolne nie miała przepustki do przemieszczania się po obiekcie jednostki kontrolowanej. Bez takowej, w większości przypadków nie będzie miała fizycznie możliwości przemieszczania się z uwagi na systemy kontroli dostępu, które są zresztą wymagane przez tę ustawę i wiele innych. Nie można też od początku określić pełnego zakresu dostępu fizycznego lub logicznego dla takiej osoby ponieważ może się to zmieniać w trakcie trwania czynności kontrolnych. Stosowny zapis powinien umożliwiać osobie kontrolującej dostęp tam, gdzie jest konieczny, ale sposób jego realizacji (przepustka, przewodnik, karta dostępu czy inna metoda) powinien być wybrany przez kontrolowany podmiot ponieważ silnie zależy od przyjętych w tym podmiocie zasad i technologii - np. podmiot może stosować dostęp na podstawie danych biometrycznych, a nie ma powodu, aby przetwarzał dane biometryczne osoby kontrolującej.
Podmioty świadczące usługi kluczowe, to np. energetyka. Kto weźmie odpowiedzialność za nieprzeszkoloną stanowiskowo osobę poruszającą się po elektrowni czy petrochemii? Nieznajomość sygnałów czy zasad obowiązujących na obiekcie produkcyjnym może prowadzić nawet do śmierci osoby kontrolującej (wysokie napięcie, para wodna, chemikalia, wyziewy, etc).
Wnosimy o wykreślenie zapisu wskazującego na brak konieczności uzyskania przepustki.
W projekcie należy wyraźnie zaznaczyć, że kontrola może dotyczyć wyłącznie pomieszczeń, dokumentów i systemów wykorzystywanych do świadczenia usługi kluczowej.
Dodatkowo w pkt 6 należy doprecyzować zakres działań związanych z „oględzinami urządzeń, nośników i systemów teleinformatycznych", w szczególności poprzez wskazanie, że takie „oględziny" nie mogą prowadzić do jakiejkolwiek ingerencji w działanie urządzeń, nośników i systemów (art. 49 pkt 6).
30. Art. 49 ust 4
Dane osobowe dla poszczególnych podmiotów mogą być również danymi chronionymi innymi tajemnicami - np. tajemnicą bankową, informacją niejawną, tajemnicą handlową (dla spółek giełdowych, etc.) a więc takie dane nie mogą być ujawnione, na podstawie tego zapisu osobie prowadzącej kontrolę. Należy zatem nałożyć na podmiot kontrolujący i osobę kontrolującą obowiązek zapewnienia takiego samego poziomu ochrony przekazanych informacji jaki wynika z przepisów dotyczących ochrony danych w danym sektorze.
31. Art. 53 ust. 2
Art. 53 ust. 2 wprowadza uprawnienie do włączenia do kontroli „specjalistów". Sygnalizujemy, że tego typu uprawnienie nie znajduje uzasadnienia oraz rodzi istotne ryzyka dla podmiotu kontrolowanego. Przede wszystkim pojęcie „specjalisty" nie zostało w żaden sposób zdefiniowane, podobnie jak sposób jego powoływania, tudzież jego obowiązki i odpowiedzialność w zakresie wykonywanych czynności, w tym np. kwestii działalności konkurencyjnej. W praktyce umożliwia to organowi włączenie do czynności kontrolnych jakiejkolwiek osoby, niekoniecznie nawet posiadającej upoważnienie do prowadzenia czynności kontrolnych. Należy wziąć pod uwagę, że w związku z kontrolą operator będzie musiał zazwyczaj udostępnić informacje stanowiące tajemnicę przedsiębiorstwa i dlatego nieograniczone uprawnienie w zakresie dopraszania do zespołu kontrolnego bliżej nieokreślonej kategorii „specjalistów" jest w naszej ocenie naruszeniem podstawowych praw podmiotu kontrolowanego.
Wnosimy o wykreślenie art. 53 ust. 2.
32. Art. 68 ust. 1 pkt 1
Okres 6 miesięcy jest niewystarczający na wdrożenie wymagań ustawy. Proponujemy wyznaczenie okresu roku.
Proponujemy następujące brzmienie art. 68 ust. 1 pkt 1:
Art. 68. 1. Operatorzy usług kluczowych realizują obowiązki określone w:
1) art. 10 ust. 2 pkt 5 i 8 oraz art. 12 ust. 1 - w terminie roku od dnia otrzymania decyzji o uznaniu za operatora usługi kluczowej
33. Art. 68 ustęp 1 punkt 2
Okres 3 miesięcy jest niewystarczający na wdrożenie wymagań ustawy. Proponujemy wyznaczenie okresu 6 miesięcy .
Proponujemy następujące brzmienie art. 68 ust. 1 pkt 2:
Art. 68. 1. Operatorzy usług kluczowych realizują obowiązki określone w:
2) art. 10 ust. 2 pkt 1-4, pkt 6-7 i pkt 9-11 oraz art. 15 ust. 1 - w terminie 6 miesięcy od dnia otrzymania decyzji o uznaniu za operatora usług kluczowych;
34. Pozostałe uwagi o charakterze legislacyjnym
· w art. 14 ust. 1 pkt 5 należy doprecyzować poprzez dodanie na końcu zdania zapisu: „związanych z cyberbezpieczeństwem";
· w art. 28 ust 5 pkt. 3 (str. 17) należy doprecyzować zapis umieszczony w nawiasie poprzez dodanie roku 2001 - po zmianie zapis powinien brzmieć: Dz. U. 2001 poz. 1320;
· w art. 29 ust 3 (str. 19) wskazano błędna datę ustawy o stanie wojennym - zamiast 22 sierpnia 2002 r. należy wpisać datę 29 sierpnie 2002 r.
Konfederacja Lewiatan, KL/475/161/2095/AM/2017
