ENERGETYKA, RYNEK ENERGII - CIRE.pl - energetyka zaczyna dzień od CIREPrawo
Właścicielem portalu jest ARE S.A.
ARE S.A.

SZUKAJ:



PANEL LOGOWANIA

X
Portal CIRE.PL wykorzystuje mechanizm plików cookies. Jeśli nie chcesz, aby nasz serwer zapisywał na Twoim urządzeniu pliki cookies, zablokuj ich stosowanie w swojej przeglądarce. Szczegóły.


PATRON MERYTORYCZNY
Kancelaria prawnicza Wardyński i Wspólnicy

Prawo

Nie tylko RODO - ustawa o krajowym systemie cyberbezpieczeństwa nakłada nowe obowiązki na przedsiębiorców
23.08.2018r. 11:24

Anna Flaga-Martynek - radca prawny, partner, współzarządzająca praktyką projektów infrastrukturalnych i Magdalena Czenko - aplikant radcowski, praktyka projektów infrastrukturalnych, kancelaria WKB Wierciński, Kwieciński, Baehr
Wchodząca w życie już 28 sierpnia ustawa o krajowym systemie cyberbezpieczeństwa nakłada nowe obowiązki na wszystkie podmioty, których funkcjonowanie jest istotne z punktu widzenia bezpieczeństwa państwa (w tym podmioty z branży energetycznej). Spółki objęte tą regulacją powinny więc jak najszybciej rozpocząć przygotowania do wdrożenia w swoich organizacjach nowych przepisów, przeprowadzić audyty wewnętrzne oraz przygotować stosowną dokumentację. Dotyczy to w szczególności operatorów usług kluczowych, ale nie tylko - wraz z wejściem w życie ustawy nowe obowiązki obejmą także inne spółki, które wykonują zadania z zakresu użyteczności publicznej.
W dniu 9 maja 2018 r. upłynął termin na implementację do przepisów krajowych Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, czyli Dyrektywy NIS. W Polsce wdrożenie Dyrektywy nastąpi ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która wejdzie w życie 28 sierpnia 2018 r. Co to oznacza? Nowe obowiązki nie tylko dla podmiotów publicznych oraz podmiotów, które zostaną uznane za operatorów usług kluczowych, ale również tych, które wykonują zadania z zakresu użyteczności publicznej. Z uwagi na zakres obowiązków, jak i sankcje, jakie grożą za niewykonanie obowiązków wynikających z ustawy, podmioty których ona dotyczy powinny zacząć przygotowywać się już teraz.

Kogo dotyczą nowe przepisy?

Krajowy system cyberbezpieczeństwa, którego celem jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, obejmuje m.in.:
  • podmioty publiczne;
  • operatorów usług kluczowych;
  • spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu ustawy z dnia 20 grudnia 1996 r. ustawy o gospodarce komunalnej.
Należy pamiętać, że są to odrębne kategorie podmiotów, posiadające odmienne obowiązki.

Usługa kluczowa to "usługa, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymieniona w wykazie usług kluczowych". Jeżeli spółka wykonująca zadania o charakterze użyteczności publicznej jest jednocześnie operatorem usług kluczowych, to stosuje się do niej przepisy dot. tej drugiej grupy podmiotów.

Kim jest operator usługi kluczowej?

Zgodnie z treścią ustawy operatorem usługi kluczowej jest "podmiot, o którym mowa w załączniku nr 1 do ustawy, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej". Załącznik nr 1 do ustawy określa sektory, podsektory oraz rodzaje takich podmiotów. W ramach tego załącznika uwzględnione są m.in.:
  • podmioty prowadzące działalność gospodarczą w zakresie wydobywania kopalin;
  • przedsiębiorstwa energetyczne;
  • przedsiębiorstwa wodociągowo-kanalizacyjne.
Obowiązki operatora usługi kluczowej

Podstawowym obowiązkiem operatora usługi kluczowej jest wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. System taki powinien zapewnić ochronę przed incydentami, przez co rozumie się każde zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo (rozumiane jako odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy).

Operator usługi kluczowej:
  • będzie zobowiązany do prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem, wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, zbierania informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty, zarządzania incydentami oraz stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemów informacyjnych;
  • będzie zobowiązany do opracowania, stosowania i aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej oraz do ustanowienia nadzoru nad tą dokumentacją;
  • w celu realizacji zadań wymienionych w ustawie musi powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa;
  • będzie miał także obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego.
Operator usługi kluczowej a operator infrastruktury krytycznej

Z uwagi na istotność kwestii cyberbezpieczeństwa dla infrastruktury krytycznej z dużą dozą prawdopodobieństwa można powiedzieć, że operatorzy infrastruktury krytycznej zostaną również uznani za operatorów usług kluczowych.

Ustawa przewiduje w tym zakresie zwolnienie operatora IK, który posiada zatwierdzony plan ochrony infrastruktury krytycznej, z obowiązku opracowania dokumentacji, o której mowa powyżej. Jednocześnie jednak wprowadzono zmiany do ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, zgodnie z którymi operatorzy infrastruktury krytycznej, będący jednocześnie operatorami usług kluczowych, powinni uwzględnić w planach ochrony infrastruktury krytycznej dokumentację dotyczącą cyberbezpieczeństwa systemów informacyjnych infrastruktury krytycznej. Szczegółowe postanowienia dotyczące tej dokumentacji znajdą się w rozporządzeniu Rady Ministrów.

Powyższe będzie zapewne oznaczać konieczność dostosowania obowiązujących u operatora IK procedur, w tym także rozszerzenia POIK o dodatkową dokumentację, zgodną z przepisami ustawy oraz w/w rozporządzenia.

Obowiązki spółki prawa handlowego wykonującej zadania o charakterze użyteczności publicznej

Każda spółka wykonująca zadania o charakterze użyteczności publicznej, w której realizowanie zadań jest uzależnione od systemów informacyjnych, jest zobowiązana - jako podmiot publiczny - m.in. do zapewnienia zarządzania incydentem oraz jego obsługi, zgłoszenia incydentu do odpowiednich organów, jak również do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Szczegółowe obowiązki podmiotów publicznych opisane zostały w rozdziale 5 ustawy. Należy zwrócić uwagę na to, iż są to obowiązki niezależne od tego, czy dana spółka wykonująca zadania o charakterze użyteczności publicznej zostanie uznana za operatora usługi kluczowej, w związku z czym takie spółki już w tej chwili powinny przygotować się do tego, aby w sposób właściwy wykonywać nałożone na nie obowiązki. Z uwagi na to, że ustawa wchodzi w życie już 28 sierpnia, podmioty te nie maja wiele czasu, aby przygotować się do wykonywania nowych obowiązków.

Terminy na zastosowanie się do nowych obowiązków oraz sankcje

Zgodnie z art. 86 ustawy organy właściwe do spraw cyberbezpieczeństwa wydadzą decyzje o uznaniu za operatora usługi kluczowej do 9 listopada 2018 r. Wprawdzie ustawa wchodzi w życie w terminie 14 dni od dnia jej ogłoszenia, jednakże na podstawie art. 6 ustawy operatorzy usług kluczowych będą mieli 3 lub 6 miesięcy na dostosowanie się do nowych obowiązków, licząc od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, za wyjątkiem obowiązku przeprowadzenia audytu bezpieczeństwa, na którego wykonanie będzie rok od dnia doręczenia decyzji.

Sankcjami za niewykonanie obowiązków operatora usługi kluczowej są kary pieniężne nakładane w drodze decyzji administracyjnej przez właściwy organ. Organ właściwy może także nałożyć karę pieniężną na kierownika operatora usługi kluczowej. Wysokość kar pieniężnych jest zależna od rodzaju naruszonego obowiązku i wynosi od 1 000 do nawet 1 000 000 zł.

Istotne zmiany w innych ustawach

Ustawą wprowadzono także szereg modyfikacji do obowiązujących już aktów prawnych. Interesująca jest m.in. zmiana wprowadzona do ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, zgodnie z którą w celu zapobiegania, przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy samoistnych i posiadaczy zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej lub danych przetwarzanych w tych systemach oraz zapobiegania i wykrywania przestępstw o charakterze terrorystycznym w tym obszarze oraz ścigania ich sprawców, ABW wdroży w tych podmiotach system wczesnego ostrzegania o zagrożeniach występujących w sieci Internet. Wdrożenie będzie następować zgodnie z rocznym planem wdrożenia, opracowywanym przez Szefa ABW.

Ustawa wprowadza też zmianę do art. 89 ust. 1 ustawy z dnia 29 stycznia 2004 r. - Prawo zamówień publicznych, który stanowi o przesłankach odrzucenia oferty. Zgodnie z nowym brzmieniem tego przepisu zamawiający odrzuca ofertę, jeżeli jej przyjęcie naruszałoby bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa, w tym bezpieczeństwo podmiotów objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a tego bezpieczeństwa lub interesu nie można zagwarantować w inny sposób.

DODAJ KOMENTARZ
Redakcja portalu CIRE informuje, że publikowane komentarze są prywatnymi opiniami użytkowników portalu CIRE. Redakcja portalu CIRE nie ponosi odpowiedzialności za ich treść.

Przesłanie komentarza oznacza akceptację Regulaminu umieszczania komentarzy do informacji i materiałów publikowanych w portalu CIRE.PL
Ewentualne opóźnienie w pojawianiu się wpisanych komentarzy wynika z technicznych uwarunkowań funkcjonowania portalu. szczegóły...

Podpis:


Poinformuj mnie o nowych komentarzach w tym temacie




cire
©2002-2018
Agencja Rynku Energii S.A.
mobilne cire
IT BCE