Czaplicki Kamil (red.), Gryszczyńska Agnieszka (red.), Szpor Grażyna (red.), Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz

Komentarze
Opublikowano: WKP 2019
Stan prawny: 1 lutego 2019 r.
Autorzy komentarza:

Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz

Autorzy fragmentu:

Wprowadzenie

1.Geneza regulacji

Cyberprzestępczość odnosi się do szerokiego zakresu różnych działań przestępczych, w których jako podstawowe narzędzie lub jako główny cel są wykorzystywane komputery i systemy informacyjne . Może ona obejmować przestępstwa tradycyjne (np. oszustwo, fałszerstwo, kradzież), przestępstwa związane z treścią (np. rozpowszechnianie pornografii dziecięcej w Internecie lub nawoływanie do nienawiści) oraz przestępstwa charakterystyczne wyłącznie dla komputerów i systemów informacyjnych (np. ataki na systemy teleinformatyczne, ataki odmowy usługi, przejmowanie mocy obliczeniowej, tworzenie i dystrybucję złośliwego oprogramowania) .

Cyberbezpieczeństwo zwykle wiązane było z zabezpieczeniami i działaniami, które można wykorzystać zarówno w sferze cywilnej, jak i wojskowej w celu zachowania dostępności i integralności sieci, infrastruktury informacyjnej oraz poufności informacji w nich zawartych . Według nowej polskiej ustawowej definicji jest to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.

W prawie międzynarodowym cyberbezpieczeństwo nie stało się przedmiotem kompleksowej, wiążącej regulacji o zasięgu globalnym. Jest ono natomiast przedmiotem wielu rezolucji Zgromadzenia Ogólnego Organizacji Narodów Zjednoczonych, które są zaleceniami adresowanymi do państw członkowskich, niezawierającymi norm prawnie wiążących. Już rezolucja nr 45/121 93 z 14.12.1990 r. odnosiła się do zwalczania przestępstw komputerowych. W rezolucji nr 56/121 z 19.12.2001 r. wzywano państwa członkowskie do wprowadzenia regulacji obejmujących zwalczanie przestępstw dokonywanych z użyciem technologii informacyjnych oraz gwarantujących skuteczną ochronę integralności i dostępności danych w systemach komputerowych. Na jej podstawie zorganizowano – we współdziałaniu z Międzynarodowym Związkiem Telekomunikacyjnym [ITU] – Światowy Szczyt Społeczeństwa Informacyjnego. Szczyt odbywał się w dwóch fazach w grudniu 2003 r. w Genewie i w listopadzie 2005 r. w Tunisie, a przyjęte na nim deklaracje i kolejne rezolucje Zgromadzenia Ogólnego ONZ, m.in. nr 58/199 z 23.12.2003 r. i nr 64/211 z 21.12.2009 r., zalecały działania zorientowane szerzej, na „globalną kulturę cyberbezpieczeństwa” i kompleksowe wzmacnianie ochrony „informacyjnej infrastruktury krytycznej” . Platformą współdziałania różnych grup interesariuszy po Światowym Szczycie stało się Forum Zarządzania Internetem (ang. Internet Governance Forum, IGF), organizator dorocznych konferencji światowych i krajowych .

Wcześniejsze postulaty opracowania globalnych strategii i planów skonkretyzowano rezolucją Zgromadzenia Ogólnego ONZ nr 65/230 z 21.12.2010 r., powierzając Biuru Narodów Zjednoczonych ds. Narkotyków i Przestępczości [UNODC] opracowanie i wdrożenie globalnego programu zwalczania cyberprzestępczości. W kolejnej dekadzie Zgromadzenie Ogólne ONZ przedłużyło mandat udzielony w Tunisie IGF na wypracowywanie dobrych praktyk w dziedzinie bezpieczeństwa w Internecie. Ramy międzynarodowej współpracy mającej na celu zwiększenie zaufania i bezpieczeństwa w społeczeństwie informacyjnym wyznaczała nadal ITU – agenda wyspecjalizowana ONZ ds. technologii informacyjnych i komunikacyjnych, zrzeszająca państwa i podmioty sektora prywatnego działające w obszarze łączności elektronicznej. Nie powiodły się natomiast próby uzgodnienia międzynarodowej regulacji traktatowej odnoszącej się do cyberprzestrzeni w ramach powołanej w 2004 r. Grupy Ekspertów Rządowych ONZ, której działalność ujawniła trudności w odnoszeniu do cyberprzestrzeni zasad międzynarodowego prawa humanitarnego i zróżnicowanie interesów państw członkowskich .

Przeciwdziałanie przestępczości komputerowej było też przedmiotem regionalnych aktów prawa międzynarodowego. Rada Europy już Zaleceniem nr R(89) 9 z 13.9.1989 r. wzywała kraje członkowskie do uwzględnienia w prawodawstwie krajowym minimalnej listy przestępstw komputerowych . Po następnej dekadzie została sporządzona 23.11.2001 r. w Budapeszcie Konwencja Rady Europy o cyberprzestępczości, przyjęta po 13 latach także przez Polskę, która stała się stroną tej umowy jako 40 państwo członkowskie Rady Europy .

Do wzrostu znaczenia konwencji budapesztańskiej przyczyniał się także stan prawa Unii Europejskiej, w którym – odsyłając do niej jako podstawy międzynarodowej współpracy – problematykę cyberbezpieczeństwa podejmowano długo głównie w aktach o charakterze programowym oraz regulacjach fragmentarycznych. Skupianie się na ogromnych korzyściach, które przynosi cyfrowy świat, przesłaniało jego podatność na zagrożenia. Dopiero przed kilku laty wzrastająca w alarmującym tempie liczba zamierzonych bądź przypadkowych incydentów naruszających bezpieczeństwo w Internecie, zmieniła to podejście .

W unijnej strategii cyberbezpieczeństwa z 2013 r. zwrócono uwagę, że zagrożenia mogą mieć różne źródła – w tym przestępcze, motywowane politycznie, terrorystyczne lub inicjowane przez państwo, jak również mogą być efektem klęsk żywiołowych i niezamierzonych błędów. Zauważono, że mogą powodować zakłócenia nie tylko w sferze wirtualnej, ale i realnej, w świadczeniu podstawowych usług, np. dostaw wody, opieki zdrowotnej, telefonii komórkowej czy dostaw energii elektrycznej. Wskazano, że nasilenie szpiegostwa gospodarczego i działań inicjowanych przez państwa w cyberprzestrzeni stanowi nową kategorię zagrożeń dla administracji rządowych i przedsiębiorstw, a rządy na całym świecie zaczęły opracowywać strategie cyberbezpieczeństwa, toteż nadszedł czas, aby także UE zintensyfikowała działania. Konstatując, że wolny od granic i wielowarstwowy Internet stał się jednym z najpotężniejszych instrumentów umożliwiających globalny postęp bez nadzoru i regulacji ze strony administracji rządowych, uznano, że sektor prywatny powinien w dalszym ciągu odgrywać w tworzeniu i zarządzaniu nim wiodącą rolę. Jednak stwierdzono, że równocześnie coraz bardziej oczywista staje się konieczność wprowadzenia wymogów w zakresie przejrzystości, odpowiedzialności i bezpieczeństwa, tak aby uczynić środowisko internetowe w UE najbezpieczniejszym na świecie, w oparciu o skuteczną ochronę i wspieranie praw obywateli. Wyjaśniając w strategii zasady, którymi należy się kierować przy opracowywaniu polityki w zakresie cyberbezpieczeństwa w UE i na arenie międzynarodowej, podkreślono, że podstawowe wartości UE mają zastosowanie w świecie cyfrowym w taki sam sposób, jak w świecie fizycznym, a przepisy i normy mające zastosowanie w innych obszarach naszego codziennego życia mają również zastosowanie w odniesieniu do cyberprzestrzeni .

2.Dyrektywa NIS

Komentowana ustawa w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6.07.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.Urz. UE L 194, s. 1).

Dyrektywa NIS powstała w wykonaniu postanowień przyjętej 7.02.2013 r. „Strategii bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń”, odnoszącej ogólnie bezpieczeństwo cybernetyczne do zabezpieczeń i działań, które mogą być wykorzystywane do ochrony „domeny cybernetycznej”, zarówno cywilnej, jak i wojskowej, przed tymi zagrożeniami, które dotyczą jej współzależnych sieci i infrastruktury informacyjnej oraz które mogą te sieci i tę infrastrukturę uszkodzić. Prace zmierzające do przyjęcia tego aktu prawa europejskiego trwały ponad 3 lata. Zmiany pierwotnego projektu objęły m.in. dodanie trzech rozdziałów, znaczne zwiększenie liczby motywów preambuły, zwiększenie liczby definicji, wprowadzenie pojęć operatorów usług kluczowych, dodanie odrębnego rozdziału poświęconego normalizacji i dobrowolnemu zgłaszaniu incydentów oraz dodanie trzeciego załącznika, odnoszącego się do rodzajów usług cyfrowych. Zmieniono także pierwotny tytuł: słowo information zostało zastąpione w wersji angielskiej przez information systems .

Dyrektywa NIS zawiera obszerną preambułę (75 motywów), 7 rozdziałów: rozdział I „Przepisy ogólne” (art. 1–6), rozdział II „Ramy krajowe w zakresie bezpieczeństwa sieci i systemów informatycznych” (art. 7–10), rozdział III „Współpraca” (art. 11–13), rozdział IV „Bezpieczeństwo sieci i systemów informatycznych operatorów usług kluczowych” (art. 14–15), rozdział V „Bezpieczeństwo sieci i systemów informatycznych dostawców usług cyfrowych” (art. 16–18), rozdział VI „Normalizacja i dobrowolne zgłaszanie incydentów” (art. 19– 20), rozdział VII „Przepisy końcowe” (art. 21–27). Załączniki określają: wymogi dotyczące Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) i ich zadania (zał. 1), wykazy podmiotów operatorów usług kluczowych („Rodzaje podmiotów do celów art. 4 pkt 4”) (zał. 2) oraz rodzaje usług cyfrowych do celów art. 4 pkt 5 (zał. 3).

W tytule i tekście dyrektywy NIS w języku angielskim występuje określenie information systems. W innych państwach, w których językach występują słowa „informacja” i „informatyka”, w oficjalnych wersjach dyrektywy NIS dostępnych w systemie eur-lex także występuje określenie „systemy informacyjne” . Natomiast w urzędowym tłumaczeniu dyrektywy na język polski wprowadzono zawężające określenie „system informatyczny”, co należy uznać za wadliwe formalnie, skoro w polskim języku prawnym określenie „system informacyjny” także występuje, oraz istotne merytorycznie jako potencjalne zagrożenie zawężeniem zakresu przepisów implementujących: skupienie na infrastrukturze technicznej zamiast zorientowania na zasoby informacyjne (content). Postuluje się skorygowanie oficjalnego przekładu tej dyrektywy na język polski: zastąpienie określenia „system informatyczny” określeniem „system informacyjny” . W celu uniknięcia odstępstw od aktualnie obowiązującego polskiego tekstu urzędowego dyrektywy, w tekście niniejszego komentarza wykorzystuje się skrót SI.

3.Proces legislacyjny

W art. 25 dyrektywy NIS z 6.07.2016 r. określono, że państwa członkowskie przyjmują i publikują przepisy ustawowe, wykonawcze i administracyjne niezbędne do jej wykonania w terminie do 9.05.2018 r. Prace nad projektem polskiej ustawy podjęto w Ministerstwie Cyfryzacji wkrótce po jej opublikowaniu. Między innymi ze względu na próby powiązania transpozycji z wykraczającym poza jej wymogi „stworzeniem efektywnego sposobu zarządzania bezpieczeństwem teleinformatycznym w państwie” nie udało się jej przyjąć we wskazanym terminie.

Zgłoszony przez Ministra Cyfryzacji projekt ustawy z 2.11.2017 r. został skierowany do uzgodnień i konsultacji publicznych, w ramach których ponad 550 uwag zgłosiły: Business Centre Club, Federacja Przedsiębiorców Polskich, Fundacja Bezpieczna Cyberprzestrzeń, Instytut Audytorów Wewnętrznych IIA Polska, Instytut Kościuszki, Instytut Logistyki i Magazynowania, Izba Gospodarcza Gazownictwa, Konfederacja Lewiatan, Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji, Krajowa Izba Komunikacji Ethernetowej, Krajowa Spółdzielcza Kasa Oszczędnościowo-Kredytowa, Krajowy Związek Banków Spółdzielczych, 2 osoby fizyczne, Polska Izba Informatyki i Telekomunikacji, Polska Izba Komunikacji Elektronicznej, Polska Izba Radiodyfuzji Cyfrowej, Polska Izba Ubezpieczeń, Polska Organizacja Przemysłu i Handlu Naftowego, Polskie Towarzystwa Przesyłu i Rozdziału Energii Elektrycznej, Pracodawcy RP, Związek Banków Polskich oraz Związek Pracodawców Mediów Elektronicznych i Telekomunikacji. Część uwag została uwzględniona . Od początku 2018 r. projekt był kolejno przekazywany do Komitetu Rady Ministrów do Spraw Cyfryzacji, Komitetu do Spraw Europejskich, Stałego Komitetu Rady Ministrów oraz do Komisji Prawniczej. Ostatecznie, 26.04.2018 r. Rada Ministrów przyjęła projekt ustawy o krajowym systemie cyberbezpieczeństwa .

Projekt wpłynął do Sejmu 30.04.2018 r. (druk sejm. nr 2505), a 8.05.2018 r. został skierowany do I czytania, które nastąpiło na posiedzeniu Sejmu Nr 63 w dniu 5 czerwca. Projekt skierowano wówczas do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej, która powołała podkomisję, a następnie przedstawiła sprawozdanie (druk nr 2659) i wniosek (sprawozdawca: poseł Tadeusz Dziuba). Drugie czytanie odbyło się na posiedzeniu Sejmu Nr 66 w dniu 3 lipca, na którym projekt skierowano ponownie do komisji, która przedstawiła sprawozdanie (druk nr 2659-A) i wniosek, aby przyjąć część poprawek. Na tym samym 66 posiedzeniu 5.07.2018 r. odbyło się III czytanie i Sejm uchwalił ustawę. W głosowaniu nad całością projektu ustawy oddano 270 głosów za, 155 przeciw i 5 wstrzymujących się (głosowanie nr 189). W dniu 6 lipca ustawę przekazano Prezydentowi i Marszałkowi Senatu. Senat zajął stanowisko na posiedzeniu 13.07.2018 r., nie wnosząc poprawek. Prezydent podpisał przekazaną mu 17 lipca ustawę 1.08.2018 r. Została opublikowana w Dz.U. poz. 1560 z 13.08.2018 r. Na mocy art. 94 ustawa weszła w życie po upływie 14 dni od dnia ogłoszenia, tzn. 28.08.2018 r.

W dokumentach parlamentarnych wskazuje się, że projekt dotyczy implementacji dyrektywy NIS, a ponadto projektowana ustawa wpisuje się w cel 5 Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017–2022: osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów informatycznych istotnych dla funkcjonowania państwa (szerzej por. kom. do art. 69, 70).

4.Struktura ustawy

Ustawa zawiera ogółem 94 artykuły. Podzielona jest na 15 rozdziałów: rozdział 1 „Przepisy ogólne” (art. 1–4), rozdział 2 „Identyfikacja i rejestracja operatorów usług kluczowych” (art. 5–7), rozdział 3 „Obowiązki operatorów usług kluczowych” (art. 8–16), rozdział 4 „Obowiązki dostawców usług cyfrowych” (art. 17–20), rozdział 5 „Obowiązki podmiotów publicznych” (art. 21–25), rozdział 6 „Zadania CSIRT MON, CSIRT NASK i CSIRT GOV” (art. 26–36), rozdział 7 „Zasady udostępniania informacji i przetwarzania danych osobowych” (art. 37–40), rozdział 8 „Organy właściwe do spraw cyberbezpieczeństwa” (art. 41–44), rozdział 9 „Zadania ministra właściwego do spraw informatyzacji” (art. 45–50), rozdział 10 „Zadania Ministra Obrony Narodowej” (art. 51–52), rozdział 11 „Nadzór i kontrola operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów świadczących usługi w zakresie cyberbezpieczeństwa” (art. 53–59), rozdział 12 „Pełnomocnik i Kolegium” (art. 60–67), rozdział 13 „Strategia” (art. 68–72), rozdział 14 „Przepisy o karach pieniężnych” (art. 73–76), rozdział 15 „Zmiany w przepisach, przepisy przejściowe, dostosowujące i końcowe” (art. 77–94). Rozdziały merytoryczne są zróżnicowane objętościowo, liczą 2–10 artykułów, a rozdział ostatni – 18 artykułów.

5.Ustawy zmieniane

Dla osiągnięcia należytej skuteczności regulacji istotne jest harmonijne powiązanie rozproszonych w różnych aktach przepisów dotyczących bezpieczeństwa. W tym celu wprowadzono zmiany w 6 ustawach.

Ustawą o KSC zmienia się: w art. 77 – ustawę z 7.09.1991 r. o systemie oświaty (Dz.U. z 2018 r. poz. 1457), w art. 78 – ustawę z 4.09.1997 r. o działach administracji rządowej (Dz.U. z 2018 r. poz. 762 ze zm.), w art. 79 – ustawę z 24.05.2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz.U. z 2018 r. poz. 2387 ze zm.), w art. 80 – ustawę z 29.01.2004 r. – Prawo zamówień publicznych (Dz.U. z 2018 r. poz. 1986 ze zm.), w art. 81 – ustawę z 16.07.2004 r. – Prawo telekomunikacyjne (Dz.U. z 2018 r. poz. 1954 ze zm.) oraz w art. 82 – ustawę z 26.04.2007 r. o zarządzaniu kryzysowym (Dz.U. z 2018 r. poz. 1401). Rozdział 15 poza zmianami w przepisach wymienionych ustaw (art. 77–82) obejmuje także przepisy przejściowe, dostosowujące i końcowe (art. 83–94).

6.Delegacje ustawowe

Mankamentem polskiego prawa są częste nowelizacje ustaw, przy dużej stabilności aktów wykonawczych. Dlatego ważne jest staranne formułowanie upoważnień do wydania aktów wykonawczych, zapewniające lokowanie w nich elementów zmiennych.

Ustawa o KSC zawiera 6 delegacji do wydania rozporządzeń, w tym 4 dla Rady Ministrów i 2 dla ministra właściwego do spraw informatyzacji, a ponadto delegacje do wydania rozporządzeń pojawiają się w przepisach zmieniających dwie ustawy.

Zgodnie z zasadami techniki prawodawczej w przepisach upoważniających do wydania rozporządzenia wskazuje się: organ właściwy do wydania, rodzaj aktu, zakres spraw przekazywanych do uregulowania i wytyczne dotyczące treści (§ 63 z.t.p.).

Artykuł 6 stanowi, że Rada Ministrów określi, w drodze rozporządzenia:

1)

wykaz usług kluczowych, o których mowa w art. 5 ust. 2 pkt 1, kierując się przyporządkowaniem usługi kluczowej do danego sektora, podsektora i rodzaju podmiotu wymienionych w załączniku nr 1 do ustawy oraz znaczeniem usługi dla utrzymania krytycznej działalności społecznej lub gospodarczej;

2)

progi istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych, wymienionych w wykazie usług kluczowych, uwzględniając:

a)

liczbę użytkowników zależnych od usługi kluczowej świadczonej przez dany podmiot,

b)

zależność innych sektorów, o których mowa w załączniku nr 1 do ustawy, od usługi świadczonej przez ten podmiot,

c)

wpływ, jaki mógłby mieć incydent, ze względu na jego skalę i czas trwania na działalność gospodarczą i społeczną lub bezpieczeństwo publiczne,

d)

udział podmiotu świadczącego usługę kluczową w rynku,

e)

zasięg geograficzny obszaru, którego mógłby dotyczyć incydent,

f)

zdolność podmiotu do utrzymywania wystarczającego poziomu świadczenia usługi kluczowej, przy uwzględnieniu dostępności alternatywnych sposobów jej świadczenia,

g)

inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują – kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.

Artykuł 10 ust. 5 stanowi, że Rada Ministrów określi, w drodze rozporządzenia, rodzaje dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, uwzględniając Polskie Normy oraz potrzebę zapewnienia cyberbezpieczeństwa podczas świadczenia usług kluczowych i ciągłości świadczenia tych usług.

Na mocy art. 11 ust. 4 Rada Ministrów określa, w drodze rozporządzenia, progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w załączniku nr 1 do ustawy, uwzględniając:

1)

liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej;

2)

czas oddziaływania incydentu na świadczoną usługę kluczową;

3)

zasięg geograficzny obszaru, którego dotyczy incydent;

4)

inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują – kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.

Artukuł 14 ust. 4 stanowi, że minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, warunki organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, uwzględniając Polskie Normy oraz konieczność zapewnienia bezpieczeństwa dla wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo i podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych, a także konieczność zapewnienia bezpieczeństwa informacji przetwarzanych w tych strukturach albo podmiotach.

Według delegacji z art. 15 ust. 8 Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wykaz certyfikatów uprawniających do przeprowadzenia audytu, uwzględniając zakres wiedzy specjalistycznej wymaganej od osób legitymujących się poszczególnymi certyfikatami.

Według art. 66 ust. 9 Rada Ministrów określi, w drodze rozporządzenia, szczegółowy zakres działania oraz tryb pracy Kolegium, mając na uwadze charakter zadań Kolegium oraz konieczność zapewnienia jego sprawnej pracy.

Wszystkim powyższym upoważnieniom do wydania rozporządzenia nadano charakter obligatoryjny, co w świetle § 68 z.t.p. oznacza, że ich wydanie uznaje się za niezbędne do funkcjonowania ustawy. Swobody rozstrzygnięcia co do tego, czy i kiedy wydać rozporządzenie, nie pozostawia się organowi upoważnianemu także w delegacjach ustanowionych w przepisach ustaw zmienianych.

W art. 79 zmieniającym ustawę z 24.05.2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, ust. 9 zawiera upoważnienie dla Prezesa Rady Ministrów do określenia, w drodze rozporządzenia, warunków i trybu prowadzenia, koordynacji i wdrażania systemu ostrzegania, w szczególności określenia czynności niezbędnych do jego uruchomienia i utrzymania oraz wzoru porozumienia, o którym mowa w ust. 7, kierując się potrzebą zapewnienia bezpieczeństwa systemów teleinformatycznych istotnych z punktu widzenia ciągłości funkcjonowania państwa. Ponadto art. 81 wprowadza w ustawie z 16.07.2004 r. – Prawo telekomunikacyjne art. 175a ust. 2a w brzmieniu: „Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, kryteria uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług, biorąc pod uwagę w szczególności wartość procentową użytkowników, na których naruszenie bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych miało wpływ, czas trwania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych powodującego niedostępność lub ograniczenie dostępności sieci lub usług telekomunikacyjnych oraz rekomendacje i wytyczne Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji (ENISA)”.

Upoważnienia do stanowienia aktów wykonawczych są zasadniczo zgodne z zasadami techniki prawodawczej. Zakres spraw przekazywanych do uregulowania w rozporządzeniu wydaje się określony w sposób wystarczająco precyzyjny, spełniający wymogi § 65 z.t.p. Wytyczne dotyczące treści rozporządzeń są – gdy rozpatrujemy je na tle § 66 z.t.p. – zróżnicowane. Niektóre pozostawiają stanowiącym je organom znaczną swobodę, ale można przyjąć, że stopień szczegółowości wytycznych jest dostosowany do rodzaju spraw przekazywanych do uregulowania w rozporządzeniu.

W wykonaniu omówionych upoważnień wydano: na podstawie art. 6 ustawy o KSC rozporządzenie Rady Ministrów z 11.09.2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz.U. poz. 1806), na podstawie art. 10 ust. 5 – rozporządzenie Rady Ministrów z 16.10.2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz.U. poz. 2080), na podstawie art. 11 ust. 4 – rozporządzenie Rady Ministrów z 31.10.2018 r. w sprawie progów uznania incydentu za poważny (Dz.U. poz. 2180), na podstawie art. 14 ust. 4 – rozporządzenie Ministra Cyfryzacji z 10.09.2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz.U. poz. 1780), na podstawie art. 15 ust. 8 – rozporządzenie Ministra Cyfryzacji z 12.10.2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz.U. poz. 1999), na podstawie art. 66 ust. 9 rozporządzenie Rady Ministrów z 2.10.2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa (Dz.U. poz. 1952). Zatem wszystkie upoważnienia zostały zrealizowane.

Ponadto na podstawie art. 175a ust. 2a pr. telekom. wydane zostało rozporządzenie Ministra Cyfryzacji z 20.09.2018 r. w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług (Dz.U. poz. 1830). Ukazało się także rozporządzenie Ministra Cyfryzacji z 20.09.2018 r. w sprawie wzoru formularza do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług (Dz.U. poz. 1831).

Autor fragmentu:
Art. 1art(1)Zakres przedmiotowy ustawy

1.

W art. 1 ust. 1 określa się w trzech punktach zakres przedmiotowyustawy o KSC. Punkt 3 odnosi się do rozdziału 13 „Strategia”, obejmującego art. 68–72. Punkt 2 bezspornie dotyczy do rozdziału 11 „Nadzór i kontrola operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów świadczących usługi w zakresie cyberbezpieczeństwa” obejmującego art. 53–59. Jednak uwzględniając znaczenie nadawane w nauce prawa administracyjnego terminom „kontrola” i „nadzór”, można też przyjąć, że regulacja sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy obejmuje dodatkowo przepisy rozproszone w wielu innych rozdziałach. W konsekwencji należy przyjąć, że punkt 1, stanowiący, że ustawa wyznacza „organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu” odnosi się do pozostałych rozdziałów ustawy, ale nie wyczerpuje ich zakresu. Stwierdzając, że zakres przedmiotowy ustawy został...

Pełna treść dostępna po zalogowaniu do LEX