Analiza strategiczna ustawy o krajowym systemie cyberbezpieczeństwa

Polska do tej pory nie należała do krajów identyfikujących wagę cyberbezpieczeństwa jako wyzwania strategicznego. Ten trend szczęśliwie powoli się zmienia. Dzieje się tak m.in. za sprawą unijnej Dyrektywy NIS (w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych), która wymaga od krajów Unii Europejskiej konkretnych działań, uporządkowania sfery cyberbezpieczeństwa na poziomie podstawowym. Polska implementuje NIS w Ustawie o Krajowym Systemie Cyberbezpieczeństwa.

We wrześniu ubiegłego roku przedstawiłem analizę strategiczną “polskiego RODO”, czyli Rozporządzenia Ogólnego o Ochronie Danych (RODO) implementującego w Polsce GDPR, unijną reformę ochrony danych (prywatności). O pomysłach Polski na NIS już zabierałem głos, jednak bliski koniec prac to dobry moment na analizę. Ograniczę się jednak do kilku punktów.

Kluczowym fundamentem NIS jest identyfikacja operatorów usług kluczowych - bardzo ważnych dla państwa. Zostaną na nich nałożone obowiązki zapewniania odpowiedniego poziomu cyberbezpieczeństwa. NIS to jednak także pewne rozwiązania ogólne.

Strategia Cyberbezpieczeństwa

NIS wymaga od krajów stworzenie strategii cyberbezpieczeństwa. Dotychczas Polska nie miała szczęścia do strategicznego podejścia w cyberbezpieczeństwie. O ile dobrze pamiętam, podejść do tematu było nawet więcej niż siedem, a w jednym miałem okazję brać udział. Tym razem jednak musi się udać. W Polskiej implementacji strategia ma zostać przyjęta do 31 października 2019.

Odpowiedzialność

Powołuje się Zespół do Spraw Incydentów Krytycznych, a także Pełnomocnika Rządu ds Cyberbezpieczeństwa. Dotychczas w przypadku kryzysów istniało ryzyko tworzenia zespołów zadaniowych “z doskoku”. Dobrze więc, że temat zostanie uporządkowany, a sytuacja w kwestii odpowiedzialności będzie jaśniejsza. Jednym z wyzwań będzie jednak dobór ludzi - czyli kompozycja tych nowych ciał, ich pewna izolacja - wg ich projektu będą to ciała statyczne. Ten wybór ma też zalety - będą to zespoły umocowane na wysokim poziomie.

Nadzór, kary

Istotnych i odpowiedzialnych za cyberbezpieczeństwo ma być nawet osiem podmiotów (ministerstw właściwych ds X, Y, Z, …, m.in. gospodarki wodnej, transportu, spraw wewnętrznych itd). Do ich zadań ma należeć m.in. weryfikacja poziomu cyberbezpieczeństwa w konkretnych sektorach (np. energii), oraz zachęcanie do podejmowania działań naprawczych. Włącznie z nakładaniem kar. Te najwyższe (m.in. za zaniedbania niosące ryzyko spowodowania zagrożenia dla mienia czy zdrowia i życia) to nawet 1 000 000 PLN.
Czy to dużo? Na tle innych krajów UE - niekoniecznie. Wielka Brytania postawiła sprawę jasno chcąc być liderem w cyberbezpieczeństwie; maksymalne kary w UK wynoszą do 17 mln funtów. Ale i w krajach bliżej Polski są ciekawe rozwiązania. Przykładowo na Słowacji ma być to nawet kwota nawet do 2% rocznych obrotów firm.

Wysokość kwot oznacza, że w praktyce dla cyberbezpieczeństwa w Polsce większe znaczenie może mieć GDPR (RODO), z karami na poziomie €20 mln lub nawet 4% rocznych obrotów. Trzeba jednak pamiętać, że specyfika GDPR jest jednak inna, i naruszenia działają na innych zasadach.

Budżet - czyli wyłączanie cyberbezpieczeństwa państwa

Innym ciekawym rozwiązaniem w polskiej Ustawie jest możliwość wyłączenia cyberbezpieczeństwa. Ma to następować gdy zabraknie środków. Wg Ustawy każde ministerstwo ma mieć przypisany na sztywno budżet - niezmienny do 2027. To ciekawe, ponieważ w wielu państwach środki przeznaczane na cyberbezpieczeństwo sukcesywnie rosną. Być może takie zapisy wynikają z założenia, że świat nie ulegnie zmianom w ciągu 10 lat, co stanowiłoby ciekawy punkt widzenia.

Co gdy przekroczone zostaną limity w danym roku? Wtedy np. może dojść nawet do zaprzestania przetwarzania incydentów cyberbezpieczeństwa, ograniczenia brania udziału w ćwiczeniach ("rezygnacji z organizowania bądź uczestnictwa w ćwiczeniach w zakresie cyberbezpieczeństwa organizowanych w Rzeczypospolitej Polskiej lub w Unii Europejskiej"), czy nawet ograniczenia działania zespołów cyberbezpieczeństwa ("ograniczeniu finansowania działalności sektorowego zespołu cyberbezpieczeństwa"). To są bardzo ciekawe, (ekscentryczne nawet) rozwiązania.

Audyty

Bardzo dobrze, że Ustawa wymaga przeprowadzania regularnych audytów cyberbezpieczeństwa. Mają być one przeprowadzane minimum co dwa lata. Powstaje więc pytanie czy ten okres zawsze jest adekwatny do specyficznego rodzaju firm, w specyficznych sektorach gdzie ewolucja zagrożeń następuje szybko. Czy nie można było uzależnić tego - choćby tak jak w RODO - od rozwoju sytuacji zewnętrznej, lub zmian w systemach?

Podsumowanie

W Europie mamy obecnie do czynienia z szeregiem zmian strategicznych w cyberbezpieczeństwie. To nie tylko GDPR, NIS, European Cybersecurity Act, ale także inne specyficzne regulacje w odniesieniu do cyberbezpieczeństwa. Zmiany następują szybko, jakby w odpowiedzi na szybkie tempo zmian technologii i nowego rodzaju zagrożenia. Sam projekt polskiej Ustawy można znaleźć tutaj.

Zainteresowała Cię tematyka tego problem? Masz pytania lub wątpliwości? Zachęcam do kontaktu (lukasz.w3c@gmail.com).