Prawo
NIS2, Ustawa o KSC czyli cyberbezpieczeństwo w telekomunikacji
W przestrzeni medialnej pojawia się mnóstwo informacji o cyberbezpieczeństwie. Są to na ogół ogłoszenia o super doradcach – wszyscy znają się na cyberbezpieczeństwie. Można odnieść wrażenie, że aktualnie prawie wszyscy znają się na cyberbezpieczeństwie. Pojawia się również mnóstwo opracowań, artykułów, wywiadów, prezentacji na różnym poziomie merytorycznym. Bardzo dobrze, że jest dużo informacji na ten temat. W niniejszym materiale przedstawiamy w sposób przystępny wymagania
z zakresu cyberbezpieczeństwa stawiane przed przedsiębiorcami telekomunikacyjnymi.
Co to jest cyberbezpieczeństwo?
Czy dla telekomów to zupełnie nowe obowiązki
Najprościej ujmując, to pod pojęciem cyberbezpieczeństwa rozumiemy bezpieczeństwo wszelkiej informacji będącej w dyspozycji organizacji (przedsiębiorcy, urzędu, itp.) mającej nawet minimalne znaczenie na funkcjonowanie tej organizacji, ze szczególnym zwróceniem uwagi na te przetwarzane w systemach informatycznych.
Praktycznie każdy podmiot dysponuje informacjami o bardzo różnych wymaganiach ochronnych:
– informacje powszechnie (publicznie) dostępne, opowieści, plotki, ustny przekaz itp., niewymagające żadnej ochrony,
– informacje powszechnie dostępne, ale takie, których ochrona polega na kontrolowanej ich redakcji, zmianach itp. Takimi informacjami są np. nazwa podmiotu, opis tego podmiotu, informacje zamieszczane na stronie WWW itp.
– trzecią grupą są informacje podlegające ochronie ze względu na ich istotne znaczenie dla funkcjonowania podmiotu. Ochrona takich informacji polega na zapewnieniu ich autentyczności, poufności, dostępności i integralności. Informacjami z tej grupy są w szczególności dane osobowe, tajemnica przedsiębiorstwa, tajemnica komunikacji elektronicznej, informacje niejawne.
Przedsiębiorca telekomunikacyjny od dawna jest ustawowo zobowiązany do zapewnienia ochrony przetwarzanej informacji. Obowiązki te wynikają z przepisów ustawy Prawo telekomunikacyjne obowiązujące w różnych edycjach od 2000 do 2024 r.
Przepisy Działu VIIa Ustawy z dnia 26 lipca 2004 r. Prawo telekomunikacyjne oraz Rozporządzenie Ministra Cyfryzacji z dnia 22 czerwca 2020 r. w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług (Dz.U. poz. 1130), nakładają na przedsiębiorcę telekomunikacyjnego obowiązek zapewnienia bezpieczeństwa sieci, usług oraz danych.
Obowiązki te w dużej części pokrywają się z obowiązkami określonymi w Ustawie o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażającej Dyrektywę NIS2 do polskiego systemu prawnego.
Przepisy Działu VIIa przestają obowiązywać z dniem wejścia w życie Ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Co to jest NIS2?
Dyrektywa NIS2 to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS2).
Dyrektywy, w odróżnieniu od rozporządzeń, nie są stosowane bezpośrednio w państwach członkowskich, ale wymagają, aby państwa członkowskie włączyły ich przepisy do swoich krajowych systemów prawa. Na podstawie tej Dyrektywy opracowano nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Pamiętać należy, że na podstawie Dyrektywy NIS2 wydano kilka rozporządzeń, które nie wymagają transpozycji do krajowego systemu prawnego i należy stosować je bezpośrednio, np. znane już rozporządzenia DORA.
Czy przedsiębiorcę telekomunikacyjnego dotyczą przepisy NIS2 i rozporządzeń wydanych na jej podstawie?
Wszyscy przedsiębiorcy, którzy są umieszczeni w Rejestrze Przedsiębiorców Telekomunikacyjnych UKE, z urzędu zostaną objęci obowiązkami wynikającymi z NIS2, a określonymi w znowelizowanej Ustawie o Krajowym Systemie Cyberbezpieczeństwa (uKSC). Staną się, w myśl przepisów uKSC, podmiotami
kluczowymi lub ważnymi.
Przedsiębiorcy telekomunikacyjni świadczący usługi na rzecz instytucji finansowej obowiązani są przestrzegać zasad określonych w rozporządzeniu DORA1,
które obowiązuje od 17 stycznia 2025 r. Wielu telekomów zostało już „uszczęśliwionych”
nowymi umowami lub aneksami do umów świadczenia usług na rzecz
podmiotów finansowych. Sugerują bardzo dokładnie przeczytać.
Natomiast przedsiębiorcy telekomunikacyjni którzy będą (między innymi) administratorami serwerów DNS lub będą świadczyć usługi w sieci innego podmiotu (w infrastrukturze innego podmiotu) podlegać będą obowiązkom określonym w Rozporządzeniu Wykonawczym Komisji (UE) 2024/2690 z dnia 17 października 2024 r.2, które obowiązuje od 7 listopada 2024 r.
Jakie obowiązki wynikają z wdrożonych przepisów NIS2?
Ustawa o zmianie ustawy o KSC (uKSC) przewiduje nałożenie na podmiot kluczowy i ważny szeregu obowiązków, w tym opracowanie, wdrożenie, stosowanie i aktualizację dokumentów normatywnych i operacyjnych dotyczących bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie
świadczenia usług.
UKSC nakłada na podmiot kluczowy i/lub ważny szereg obowiązków w tym opracowanie, wdrożenie, stosowanie i aktualizację dokumentów normatywnych i operacyjnych dotyczących bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usług.
Do dokumentów normatywnych zaliczono wszelkie dokumenty dotyczące bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usług.
Warto zwrócić uwagę, że Dyrektywa NIS2, a za nią uKSC, posługuje się pojęciem „system informacyjny”, który nie jest tożsamy z „systemem informatycznym”.
System informacyjny to człowiek i przetwarzana przez niego informacja.
System informatyczny, to jedno z wielu narzędzi wykorzystywanych przez człowieka do przetwarzania informacji, składający się (pisząc najprościej) ze sprzętu komputerowego wyposażonego w odpowiednie oprogramowanie, linii telekomunikacyjnych łączących te komputery itp.
Dokumentację normatywną stanowią polityki, regulaminy, instrukcje, procedury, informacje, upoważnienia określające w szczególności:
− bezpieczeństwo przedsiębiorstwa,
− bezpieczeństwo informacji,
− bezpieczeństwo rodzajów informacji,
− bezpieczeństwo sieci i systemów informatycznych,
− bezpieczeństwo środowiskowe i fizyczne,
− obsługę incydentów,
− zarządzanie aktywami,
− bezpieczeństwo zasobów ludzkich,
− podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
− kontrolę dostępu, kryptografię i szyfrowanie,
− ciągłość działania i zarządzanie kryzysowe,
− bezpieczeństwo łańcucha dostaw,
− bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych,
− ocenę skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
– itp.
Dokumentację operacyjną natomiast stanowią zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej, w tym automatycznie generowane zapisy w dziennikach systemów informacyjnych. Rejestry zdarzeń, logowań itp.
Zarówno dokumentacja normatywna, jak i operacyjna może być prowadzona w postaci papierowej lub w postaci elektronicznej.
Należy jednak zapewnić właściwy nadzór nad tą dokumentacją, zapewniając:
− dostępność dokumentów wyłącznie dla osób upoważnionych,
− ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności,
− oznaczanie kolejnych wersji dokumentów,
− ewidencję zmian dokonanych w tych dokumentach.
Dokumenty dotyczące bezpieczeństwa systemu informacyjnego należy obowiązkowo przechowywać co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi, liczone od 1 stycznia roku następującego po roku, w którym wygasa okres jej przechowywania.
Zniszczenie wycofanej z użytkowania dokumentacji potwierdza się protokołem brakowania zawierającym w szczególności: datę protokołu, oznaczenie niszczonej dokumentacji, opis sposobu zniszczenia, dane osoby zatwierdzającej protokół. Protokoły brakowania dokumentacji są przechowywane w sposób trwały (bezterminowo).
Już tylko z powyższego opisu wynika, że obowiązki związane z bezpieczeństwem informacji podmioty kluczowe i ważne będą musiały wykonywać począwszy od dnia wejścia w życie przepisów wydanych na podstawie Dyrektywy NIS2.
Andrzej Fudala
Dariusz Fudala
SayF Sp. z o.o.
Eksperci ds. bezpieczeństwa informacji.
Audytorzy Wiodący Systemu Zarządzania Bezpieczeństwem Informacji
wg Normy PN-EN ISO/IEC 27001
1 ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011(DORA) (stosowanego od 17 stycznia 2025 r.) [DORA]
2 Rozporządzenia Wykonawczego Komisji (UE) 2024/2690 z dnia 17 października 2024 r. ustanawiającego zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowującego przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług
SayF
80-225 Gdańsk, ul. Józefa Wassowskiego 12/6
+48 663 321 901
Dariusz Fudala
kontakt@sayf.com.pl, sayf.com.pl
