Cyberbezpieczeństwo w sektorze bankowości i rynków finansowych

22 listopada 2017

31 października 2017 r. Ministerstwo Cyfryzacji przedstawiło projekt ustawy
o krajowym systemie cyberbezpieczeństwa. Projekt przewiduje szereg nowych obowiązków m.in. dla podmiotów z branży bankowości i rynków finansowych, które powinny przygotować swoje działy IT do jej wprowadzenia. Nowe przepisy są też istotne dla branży e-commerce i dostawców usług w chmurze.

Projekt stanowi implementację dyrektywy europejskiej w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, tzw. dyrektywy NIS. Ogólnym celem ustawy jest stworzenie systemu identyfikowania i reagowania na incydenty z zakresu cyberbezpieczeństwa – takich jak ataki hakerskie czy wirusy komputerowe.

Nowa ustawa będzie miała zastosowanie do przedsiębiorców z sektorów, gdzie ochrona przed takimi zagrożeniami i zachowanie ciągłości działania systemów IT jest kwestią priorytetową – takich jak dostarczanie energii, usługi transportowe czy służba zdrowia. Do tych sektorów należy też bankowość oraz infrastruktura rynków finansowych. Według projektowanych przepisów, poszczególne podmioty z tych branż mogą zostać, w drodze decyzji administracyjnej wydawanej przez organ właściwy dla danego sektora (w przypadku podmiotów sektora bankowego i infrastruktury rynków finansowych – minister takim organem będzie minister właściwy do spraw instytucji finansowych), uznane za tzw. operatorów usług kluczowych, co nakłada na nie szereg obowiązków, m.in., co do:

  • identyfikowania, rejestrowania i obsługi (usunięcia skutków) incydentów dotyczących cyberbezpieczeństwa,
  • zgłaszania poważnych incydentów do właściwego tzw. CSIRT, tj. zespołu reagowania na incydenty bezpieczeństwa komputerowego (ang. computer security incident response team) – ustawa przewiduje powołanie CSIRT m.in. przy NASK,
  • wdrożenia tzw. systemu zarządzania bezpieczeństwem – kompleksowego zestawu działań i instrukcji postępowania dla zapewnienia bezpieczeństwa infrastruktury operatora. System będzie musiał zapewniać m.in. zbieranie informacji o podatnościach systemów IT na incydenty, stosowanie środków zapobiegających im i ograniczających ich wpływ na bezpieczeństwo systemów, odpowiednie środki zarządzania ryzykiem,
  • opracowania dokumentacji dotyczącej cyberbezpieczeństwa wykorzystywanych systemów IT,
  • przeprowadzania, nie rzadziej niż raz na dwa lata, audytu bezpieczeństwa teleinformatycznego

Co istotne, ustawa ma znaczenie nie tylko dla operatorów kluczowych, ale także dla dostawców usług cyfrowych, czyli niektórych, wskazanych
w projekcie kategorii przedsiębiorców internetowych – operatorów wyszukiwarek, platform handlowych oraz "usług przetwarzania w chmurze". Te ostatnie rozumiane są jako "dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników". Za usługę przetwarzania w chmurze można uznać np. hosting plików bądź stron internetowych, ale zasięg tego pojęcia jest potencjalnie bardzo szeroki.

Zgodnie z projektem dostawcy usług cyfrowych również są zobowiązani do zachowania cyberbezpieczeństwa swoich usług, choć nie mają tylu obowiązków, co operatorzy usług kluczowych. Dostawcy usług muszą także informować CSIRT NASK o istotnych incydentach.

W projekcie przewidziano szerokie uprawnienia kontrolne, które będą wykonywać ministrowie odpowiedzialni za poszczególne branże (np. dla sektora bankowego – minister właściwy do spraw instytucji finansowych), a także minister właściwy ds. informatyzacji. Kontrolerzy będą mieli m.in. prawo wstępu na teren podmiotu kontrolowanego, wglądu do dokumentów (z możliwością ich kopiowania) oraz oględzin sprzętu IT. Kontroli będzie można nie zapowiadać z wyprzedzeniem. Po jej zakończeniu minister może wydać zalecenia pokontrolne, nakazujące usunięcie znalezionych nieprawidłowości.

Przewiduje się kary pieniężne dla operatorów usług kluczowych, którzy nie realizują obowiązków wynikających z ustawy. Wysokość kar może sięgać do 200.000 zł.

Projekt jest obecnie na początkowym etapie prac legislacyjnych, dlatego może ulegać jeszcze znaczącym zmianom. Uchwalenia ustawy można oczekiwać w ciągu najbliższych miesięcy – zgodnie z dyrektywą NIS powinno to nastąpić do 10 maja 2018 r.