Strona korzysta z plików cookies, zgodnie z ogólnie przyjętą praktyką oraz ustawieniami Twojej przeglądarki. Akceptuje, zamknij.

Artykuł

Prawnie o cyberbezpieczeństwie MFW na polskich obszarach morskich

Od kilkunastu miesięcy coraz mocniej wybrzmiewa w dyskusjach i na konferencjach kwestia cyberbezpieczeństwa infrastruktury krytycznej na morzu. Z uwagi na powyższe warto przeanalizować, czy inwestycje związane z morską energetyką wiatrową na polskich obszarach morskich, a w szczególności ochrona tych obiektów, przygotowana jest na ewentualne ataki z przestrzeni cybernetycznej. Kluczowym zagadnieniem w tym zakresie analizy będzie to, czy i jakie służby kompetencyjnie są uprawnione do działań związanych z zapewnieniem cyberbezpieczeństwa m.in. MFW na polskich obszarach morskich.

 

Krajowy system cyberbezpieczeństwa bez definicji legalnej

 

Najważniejszym, z punktu widzenia zakresu tematycznego niniejszego artykułu, aktem prawnym jest ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913). To właśnie ten akt prawny określa organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu, sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy oraz zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. 

 

Co więcej, ten akty prawny wyznacza cel ogólny krajowego systemu cyberbezpieczeństwa jako zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów.

 

Istotnym zaznaczenia jest fakt, iż krajowy system cyberbezpieczeństwa nie został zdefiniowany w ustawie. 

 

Chcąc określić czym jest krajowy system cyberbezpieczeństwa należy się przede wszystkim zastanowić czemu ten system ma służyć. Na zasadzie analogi może posłużyć schemat definiowania systemu zastosowanym w Ustawie z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej (t.j. Dz. U. z 2022 r. poz. 2057). Otóż w myśl art. 2 pkt 4 tegoż aktu prawnego, ilekroć w ustawie jest mowa o krajowym systemie ratowniczo-gaśniczym, to należy przez to rozumieć integralną część organizacji bezpieczeństwa wewnętrznego państwa, obejmującą, w celu ratowania życia, zdrowia, mienia lub środowiska, prognozowanie, rozpoznawanie i zwalczanie pożarów, klęsk żywiołowych lub innych miejscowych zagrożeń; system ten skupia jednostki ochrony przeciwpożarowej, inne służby, inspekcje, straże, instytucje oraz podmioty, które dobrowolnie w drodze umowy cywilnoprawnej zgodziły się współdziałać w akcjach ratowniczych. 

 

Zestawiając powyższe z normami zawartymi w Ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa można wskazać, iż krajowy system cyberbezpieczeństwa jest integralną częścią krajowego systemu bezpieczeństwa oraz europejskiego systemu bezpieczeństwa sieci i systemów informacyjnych, wyodrębnioną w celu efektywnego (sprawnego, niezakłóconego) wykonywania zadań publicznych, usług kluczowych i usług cyfrowych poprzez ustalanie strategii i jej realizację, w której podmioty objęte systemem wypełniają przypisane im dla ochrony interesu publicznego obowiązki ustawowe.

 

Zakres podmiotowy krajowego systemu cyberbezpieczeństwa

 

Pomimo braku definicji legalnej krajowego systemu cyberbezpieczeństwa przytoczony powyżej akt prawny wskazuje podmioty objęte tymże systemem. W myśl przepisów krajowy system cyberbezpieczeństwa złożony jest m.in. z:

 

operatorów usług kluczowych;

dostawców usług cyfrowych;

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej (CSIRT MON);

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy (CSIRT NASK);

Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV);

Narodowy Bank Polski;

Bank Gospodarstwa Krajowego;

Urząd Dozoru Technicznego;

Polską Agencję Żeglugi Powietrznej;

Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;

Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej "Pełnomocnikiem";

Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej "Kolegium".

Tak mnogie wyliczenie podmiotów włączonych w system cyberbezpieczeństwa poprzez ich szczegółowe wyliczenie oraz przypisanie im rozmaitych uprawnień i obowiązków nie zaspokaja potrzeby czytelnej i zarazem funkcjonalnej struktury systemu. W tym celu należałoby określić:

 

administrację systemu: organy i inne podmioty administrujące oraz relacje między nimi;

uczestników: operatorów usług kluczowych i dostawców usług cyfrowych oraz podmioty publiczne jako adresatów obowiązków;

podmioty wspierające uczestników: podmioty świadczące usługi z zakresu cyberbezpieczeństwa i akredytowane jednostki oceniające.

Dokonanie takiego rozróżnienia jest trudne, bowiem podmioty administrujące występują zwykle w podwójnej roli – jako ponoszące odpowiedzialność za cyberbezpieczeństwo swoje i za bezpieczeństwo innych podmiotów.

 

Kto będzie odpowiedzialny za Cyberbezpieczeństwo MFW?

 

W myśl Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, organem administracji rządowej, odpowiedzialnym za cyberbezpieczeństwo w sektorze energii, jest minister właściwy ds. energii. Obecnie jest to Minister Klimatu i Środowiska, którego szczegółowy zakres działania, zgodnie z art. 33 ust. 1 pkt 1 ustawy o Radzie Ministrów (Dz. U. z 2022 r. poz. 1188), wynika z rozporządzenia Prezesa Rady Ministrów z dnia 27 października 2021 r. w sprawie szczegółowego zakresu działania Ministra Klimatu i Środowiska (Dz. U. poz. 1949) oraz rozporządzenia Rady Ministrów z dnia 10 listopada 2020 r. w sprawie przekształcenia Ministerstwa Klimatu i Środowiska (Dz. U. poz. 2005). Zgodnie z regulacjami zawartymi w tych rozporządzeniach, Minister Klimatu i Środowiska kieruje działami administracji rządowej – energia, klimat i środowisko. 

 

Analizując przepisy Ustawy o krajowym systemie cyberbezpieczeństwa, można zauważyć, iż Ustawodawca krajowy zdecydował się zatem na rozproszony model organów właściwych, w którym tę funkcję pełni kilka organów, zajmujących się sprawami merytorycznie odpowiadającymi specyfice działania operatorów usług kluczowych i dostawców usług cyfrowych.

 

Zastosowanie takiego modelu możliwe było na podstawie artykułu 8 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. U. UE. L. z 2016 r. Nr 194, str. 1; Dyrektywa NIS). 

 

W myśl bowiem tego przepisu  każde państwo członkowskie wyznacza jeden lub większą liczbę właściwych organów krajowych ds. bezpieczeństwa sieci i systemów informatycznych, obejmujących co najmniej sektory, o których mowa w załączniku II (sektor energii, transportu, bankowego i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji, infrastruktury cyfrowej, a także dostawców usług cyfrowych), i usługi, o których mowa w załączniku III (internetowa platforma handlowa, wyszukiwarka internetowa, usługa przetwarzania w chmurze). Należy w tym miejscu wskazać, iż zadania ministra ds. energii, w zakresie cyberbezpieczeństwa mają charakter administracyjny. Jest on bowiem na mocy ustawy o krajowym systemie cyberbezpieczeństwa, organem uprawnionym m.in. do:

 

prowadzenia bieżącej analizy podmiotów w danym sektorze lub podsektorze pod kątem uznania ich za operatora usługi kluczowej lub niespełniania warunków kwalifikujących podmiot jako operatora usługi kluczowej;

wydawania decyzji o uznaniu podmiotu za operatora usługi kluczowej albo decyzje stwierdzające wygaśnięcie decyzji o uznaniu podmiotu za operatora usługi kluczowej;

niezwłocznego, po wydaniu decyzji o uznaniu za operatora usługi kluczowej albo decyzji stwierdzającej wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej, przekazaniu wniosku do ministra właściwego do spraw informatyzacji o wpisanie do wykazu operatorów usług kluczowych albo wykreślenie z tego wykazu;

składania wniosków o zmianę danych w wykazie operatorów usług kluczowych, nie później niż w terminie 6 miesięcy od zmiany tych danych;

monitorowania stosowania przepisów ustawy przez operatorów usług kluczowych i dostawców usług cyfrowych.

Jak widać z przedstawionych powyżej zadań ministra ds. energii próżno szukać wśród nich zadań stricte związanych z reagowaniem na ataki z cyberprzestrzeni. To zostało pozostawione w gestii CSIRT GOV. To właśnie Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego, został uczynionym odpowiedzialnym za m.in.:

 

monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym;

szacowanie ryzyka związanego z ujawnionym zagrożeniem cyberbezpieczeństwa oraz zaistniałymi incydentami, w tym prowadzenie dynamicznej analizy ryzyka;

przekazywanie informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa;

wydawanie komunikatów o zidentyfikowanych zagrożeniach cyberbezpieczeństwa;

reagowanie na zgłoszone incydenty;

klasyfikowanie incydentów, w tym incydentów poważnych oraz incydentów istotnych, jako incydenty krytyczne oraz koordynowanie obsługi incydentów krytycznych;

w zakresie jakim dotyczy to infrastruktury krytycznej, a więc i również MFW na polskich obszarach morskich, w momencie ich powstania.

 

Podsumowanie

 

Reasumując, należy wskazać, iż ponownie w tak newralgicznej sferze bezpieczeństwa gospodarki narodowej, jaką jest zapewnienie odpowiedniego poziomu cyberbezpieczeństwa infrastrukturze krytycznej na morzu dochodzi do zbyt dużego rozczłonkowania kompetencji oraz zadań organów administracji państwowej. 

 

Taki model funkcjonowania nieustannie grozi brakiem szybkiej oraz adekwatnej reakcji na zagrożenie pochodzące z przestrzeni cybernetycznej, której celem będzie infrastruktura na morzu. 

 

Mało tego ewidentnie widoczny jest brak pomysłu ustawodawcy na klasyfikacje zagrożeń z przestrzeni cybernetycznej oraz na wypracowanie modelu zapobiegającego ewentualnemu cyberatakowi na MFW, co powinno budzić niepokój biorąc pod uwagę ambitne plany w zakresie budowy MFW na polskich obszarach morskich w najbliższych latach.


Zapoznaj się z naszą ofertą obsługi marynarzy

Kontakt

Kancelaria Radcy Prawnego
Legal Consulting - Mateusz Romowicz


Sekretariat:
E: sekretariat@kancelaria-gdynia.eu
T: +48 58 688 80 30
T: +48 58 350 59 93
F: +48 58 746 33 95