Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa nakłada obowiązki z zakresu cyberbezpieczeństwa na podmioty kluczowe oraz podmioty ważne w kilkunastu sektorach gospodarki. Do podstawowych obowiązków należy wprowadzenie systemu zarządzania bezpieczeństwem informacji w systemach informacyjnych służących w procesach świadczenia usług.
Przykładowo może to dotyczyć obsługi systemów produkujących leki czy służących zarządzaniu hurtownią leków. Wdrożone przez podmiot środki techniczne i organizacyjne mają być adekwatne i proporcjonalne dla wielkości podmiotu, charakteru świadczonych usług, czy uwzględniać najnowszy stan wiedzy.
W praktyce chodzi o to, aby przenalizować potencjalne zagrożenia, które mogą wpływać na posiadane dane i sprzęt, wprowadzić adekwatne zabezpieczenia przeciw tym zagrożeniom, a w sytuacji gdyby wydarzył się incydent – mieć przygotowane i przećwiczone procedury obsługi tego incydentu.
Pamiętać należy, że incydent cyberbezpieczeństwa (którego źródłem może być działanie zewnętrzne, jak i wewnętrzne, a także błąd ludzki czy awaria techniczna) może spowodować przestój w świadczeniu usług – czyli dany podmiot nie będzie mógł zarabiać – oraz wyrządzić bardzo poważne straty wizerunkowe dla danego podmiotu.
Produkcja i dystrybucja leków jest przy tym istotną usługą dla całego społeczeństwa – zakłócenie ciągłości łańcucha dostaw leków negatywnie wpływa na zdrowie publiczne.
Ważnym aspektem projektowanej nowelizacji jest zapewnienie bezpieczeństwa łańcuchów dostaw. W przypadku wielu incydentów atak był dokonywany nie bezpośrednio na podmiot tylko na oprogramowanie dostarczanego przez jego dostawcę.
Zgodnie z projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, podmiot kluczowy oraz podmiot ważny jest obowiązany wdrożyć adekwatne i proporcjonalne środki techniczne i organizacyjne mające zapewnić bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi, z uwzględnieniem związków pomiędzy bezpośrednim dostawcą sprzętu lub oprogramowania a podmiotem kluczowym lub podmiotem ważnym. W ramach tego procesu należy uwzględnić podatności związane z dostawcą sprzętu lub oprogramowania jak i ogólną jakość produktów ICT, usług ICT i procesów ICT pochodzących od dostawcy sprzętu lub oprogramowania.
Wpisuje się to w proces zarządzania ryzykiem łańcuchów dostaw opisany w poradniku Agencji Unii Europejskiej do Spraw Cyberbezpieczeństwa. Podmioty kluczowe i podmioty ważne powinny m.in.:
- znać swój łańcuch dostaw, w tym swoich dostawców oraz ryzyka związane z nimi,
- dbać o odpowiednie wymagania z zakresu cyberbezpieczeństwa w umowach, a w przypadku umów adhezyjnych z globalnymi dostawcami wybierać tych, którzy posiadają certyfikację z zakresu cyberbezpieczeństwa własnych produktów i usług,
- inwentaryzować swoje zasoby, monitorować podatności związane z wykorzystywanym sprzętem i oprogramowaniem, np. poprzez sprawdzanie na stronach internetowych baz podatności, mitygować zidentyfikowane podatności, np. poprzez aktualizację oprogramowania, jeśli jest dostępna.
Projekt przewiduje dla ministra właściwego do spraw informatyzacji uprawnienie do wszczęcia postępowania w celu identyfikacji dostawcy wysokiego ryzyka.
Po pierwsze należy wskazać, że tacy dostawcy mogą występować w różnych sektorach gospodarki.
Po drugie dostawcą wysokiego ryzyka jest dostawca, który stwarza zagrożenie dla podstawowego interesu bezpieczeństwa państwa – on w szczególny sposób zagraża istnieniu państwa, społeczeństwa i gospodarki. W takiej sytuacji państwo nie może być bezbronne i powinno mieć prawne możliwości do przeciwdziałania tej sytuacji.
Projekt nie przewiduje tutaj automatyzmu – minister będzie musiał przeprowadzić złożone postępowanie administracyjne i zasięgnąć opinii Kolegium. Decyzja będzie mogła być zaskarżona do sądu administracyjnego. Ponadto skutkiem decyzji będzie 7 letni okres wycofania sprzętu i oprogramowania pochodzącego od dostawcy wysokiego ryzyka (4 letni w przypadku funkcji krytycznych dla sieci i usług telekomunikacyjnych), a więc podmioty dostaną czas na wymianę sprzętu i oprogramowania – która to wymiana też jest naturalnym etapu cyklu życia oprogramowania.
Projekt nie wprowadza szczególnych, odmiennych wymagań wobec przedsiębiorców z branży farmaceutycznej.
W przepisach ustawy jest zawarta możliwość uznania za podmiot kluczowy np. małego przedsiębiorcę, który jako jedyny świadczy w kraju usługę, która ma kluczowe znaczenia dla krytycznej działalności społecznej lub gospodarcze. Wynika to wprost z art. 2 ust. 2 lit. b dyrektywy NIS 2.