Cyberbezpieczeństwo 5.0 - Transport lotniczy w obliczu cyfrowej rewolucji

Transport lotniczy jako jeden z sektorów kluczowych

Krajowy system bezpieczeństwa obejmuje przede wszystkim operatorów usług kluczowych. Są to podmioty oferujące usługi mające kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej. Jednym z sektorów usług kluczowych jest transport, w tym transport lotniczy. Projekt nowelizacji nie wprowadza zmian w tym zakresie, natomiast uchyla pojęcie „operatorów usług kluczowych” na rzecz wprowadzenia „podmiotów kluczowych”. Oznacza to, że przewoźnicy lotniczy, zarządzający lotniskami oraz podmioty świadczące usługi na rzecz przewoźników lub użytkowników statków powietrznych będą klasyfikowane podmioty kluczowe.

Cyberbezpieczeństwo 5.0 – nowe obowiązki podmiotów kluczowych

Pojawianie się nowych cyberzagrożeń oraz wzrost katalogu usług publicznych dostępnych online, powodują, że podmioty prywatne odpowiedzialne za cyberbezpieczeństwo będą zmuszone do wdrożenia w życie szeregu obowiązków:

1. Dokonanie samorejestracji w wykazie podmiotów kluczowych – dotychczas operatorzy usług kluczowych byli wyznaczani w drodze decyzji administracyjnej. Projekt przewiduje wprowadzenie obowiązku samorejestracji podmiotów w wykazie prowadzonym przez Ministra właściwego do spraw informatyzacji. Oznacza to, że podmiot, będzie zobowiązany do przeprowadzenia samodzielnej oceny w zakresie kwalifikacji do podmiotu kluczowego.
2. Wdrożenie systemu zarządzania bezpieczeństwem - system zostanie wdrożony w systemach informacyjnych wykorzystywanych w procesach świadczenia usług przez podmiot kluczowy. System powinien obejmować w szczególności: systematyczne szacowanie ryzyka wystąpienia incydentu, środki techniczne i organizacyjne, zbieranie informacji o cyberzagrożeniach i podatnościach, zarządzanie incydentami a także środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu. Nie jest to nowość, ponieważ takie rozwiązanie wprowadziła obowiązująca Ustawa KSC, jednak na kanwie nowelizacji powstanie obowiązek dostosowania już istniejących systemów do nowych wytycznych.
3. Wymóg opracowania, stosowania i aktualizowania dokumentacji - projekt zakłada obowiązek prowadzenia dokumentacji normatywnej i dokumentacji operacyjnej. Dokumentacja normatywna ma zawierać informacje dotyczące systemu zarządzania bezpieczeństwem informacji, ochrony infrastruktury, systemu zarządzania ciągłością działania, a także opis świadczonej usługi. Dokumentacja operacyjna ma za to uwzględniać zapisy potwierdzające wykonywanie czynności opisanych w dokumentacji normatywnej. Podmiot kluczowy powinien również zadbać o odpowiednie zabezpieczenie wskazanej dokumentacji.
4. Obowiązki podmiotów kluczowych i ważnych względem innych podmiotów - podmiot zostanie zobowiązany do wyznaczenia dwóch osób odpowiedzialnych za kontakt z innymi podmiotami krajowego systemu bezpieczeństwa. Podmioty kluczowe powinny także zapewnić użytkownikowi usługi dostęp do informacji pozwalającej na zrozumienie cyberzagrożeń i stosowania proporcjonalnych zabezpieczeń. Co więcej, każdy użytkownik ma mieć zapewnioną możliwość zgłoszenia podmiotowi ewentualnych powstałych cyberzagrożeń, podatności lub incydentów.
5. Wprowadzenie wieloetapowej procedury zgłaszania incydentów - W razie wystąpienia incydentu poważnego, podmiot kluczowy będzie zobowiązany do zgłoszenia wczesnego ostrzeżenia CSIRT sektorowemu za pośrednictwem systemu S46, nie później niż w ciągu 24 godzin od momentu wykrycia zajścia. Ostrzeżenie powinno zawierać dane zgłaszającego i informacje o chwili wystąpienia incydentu. Podmiot wraz ze zgłoszeniem może złożyć wniosek o wskazanie niezbędnych wytycznych lub o udzielenie dodatkowego wsparcia technicznego. 
   Nie później niż w ciągu 72 godzin od chwili wykrycia incydentu, podmiot powinien sporządzić wstępną ocenę zajścia, uwzględniając jego dotkliwość, przyczyny i podjęte w związku z nim działania i na tej podstawie dokonać zgłoszenia incydentu poważnego.
   
   W ciągu miesiąca od dokonania zgłoszenia, podmiot ma sporządzić sprawozdanie końcowe z obsługi incydentu zawierające szczegółowy opis incydentu, rodzaj zagrożenia lub pierwotną przyczynę jego wystąpienia, działania podjęte przez podmiot oraz ewentualnie transgraniczne skutki incydentu. Jeśli incydent w tym czasie nie został rozwiązany to we wskazanym terminie podmiot składaja sprawozdanie z postępu prac, a sprawozdanie końcowe powinno zostać dostarczone w ciągu miesiąca od zakończenia obsługi incydentu. CSIRT sektorowy może również zobowiązać podmiot do złożenia sprawozdania okresowego w trakcie obsługi incydentu poważnego.
   
6. Audyt dotyczący systemu informacyjnego wykorzystywanego przez podmiot kluczowy - podmiot w terminie 24 miesięcy od chwili spełnienia przesłanek kwalifikujących go jako podmiot kluczowy ma przeprowadzić audyt bezpieczeństwa systemu informacyjnego. Audyt musi zostać przeprowadzony przez organ posiadający odpowiednią akredytację lub przez CSIRT sektorowy. W terminie3 dni roboczych od otrzymania raportu z audytu, podmiot powinien raport ten przekazać organowi właściwemu do spraw cyberbezpieczeństwa. Taki audyt ma być przeprowadzany co najmniej  raz na 3 lata, a organ właściwy będzie mógł nakazać przeprowadzenie audytu doraźnego.
7. Ustanowienie kierownika podmiotu w zakresie cyberbezpieczeństwa – podmiot kluczowy ma ustanowić organ odpowiedzialny za realizację obowiązków w zakresie zarządzania          bezpieczeństwem informacji. Do zadań kierownika należeć będzie podejmowanie decyzji w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania    bezpieczeństwem informacji, planowanie adekwatnych środków finansowych na realizację obowiązków podmiotu, zapoznanie personelu z obowiązującymi przepisami, a także              zapewnienie zgodności działań podmiotu z regulacjami. Organ kierowniczy powinien raz w roku odbyć szkolenie z wykonywania zadań z zakresu cyberbezpieczeństwa.

To tylko część obowiązków podmiotów kluczowych

Cyberbezpieczeństwo 5.0 nadaje Radzie Ministrów upoważnienie fakultatywne do ustalenia w drodze rozporządzenia szczegółowych wymagań w zakresie bezpieczeństwa informacji. Akty wykonawcze mają dotyczyć poszczególnych działalności w celu uwzględnienia specyfiki konkretnych sektorów i wskazania odpowiednich rozwiązań.

6 miesięcy na dostosowanie się do przepisów.

Od chwili, gdy podmiot spełni wymogi niezbędne do uzyskania statusu podmiotu kluczowego, będzie miał tylko 6 miesięcy na dostosowanie się do obowiązków. Jest to szczególnie ważne, z uwagi na to, że projekt regulacji przewiduje wysokie kary finansowe, a także stosowanie okresowych kar pieniężnych za opóźnienie w realizacji obowiązków. Pomimo, że dyskusje na temat ostatecznej wersji nowelizacji wciąż trwają, to wejście w życie przepisów implementujących Dyrektywę jest nieuniknione. Podmioty kluczowe, a w tym przewoźnicy lotniczy, zarządzający lotniskami oraz podmioty świadczące usługi na rzecz przewoźników lub użytkowników statków powietrznych powinni już teraz rozpocząć konsultacje w celu spełnienia wszelkich wymogów, które prawdopodobnie już niedługo wejdą w życie.


Wiktoria Wilkowska, Paralegal, Eversheds Sutherland
Paweł Adamczyk, Senior Associate, Eversheds Sutherland
Maciej Jóźwiak, Partner, Eversheds Sutherland