Stanowisko Konfederacji Lewiatan wobec projektu rozporządzenia Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych

  Stanowisko Konfederacji Lewiatan wobec projektu rozporządzenia Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (nr w wykazie prac legislacyjnych RM - RC39) oraz projektu rozporządzenia Rady Ministrów w sprawie progów uznania incydentu za poważny (nr w wykazie prac legislacyjnych RM - RC RC38)

I.            Projekt rozporządzenia Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych - projekt z 30 maja 2018 r.

1.     Dla Przedsiębiorstwo energetyczne, o którym mowa w art. 3 pkt 25 ustawy z dnia 10 kwietnia 1997 r. - Prawo energetyczne, posiadające koncesję na wykonywanie działalności gospodarczej w zakresie dystrybucji energii elektrycznej, podana została tylko nazwa usługi kluczowej „Dystrybucja energii elektrycznej"

Brakuje definicji usługi. „Dystrybucja energii elektrycznej"

2.     Dla Przedsiębiorstwo energetyczne, o którym w art. 3 pkt 12 ustawy z dnia 10 kwietnia 1997 r. - Prawo energetyczne, posiadające koncesję na wykonywanie działalności gospodarczej w zakresie obrotu energią elektryczną, podana została tylko nazwa usługi kluczowej „Obrót energią elektryczną"

Brakuje definicji usługi „Obrót energią elektryczną"

3. Uwaga dot. Infrastruktury cyfrowej

Proponowaną definicję IXP można odczytywać w ten sposób, że usługa IP Transit będzie usługą IXP. Z tego powodu KL proponuje zmianę definicji, podkreślając najważniejszą cechę IXP tj. współdzielenie zasobów:

„Podmiot prowadzący punkt wymiany ruchu internetowego (IXP), posiadający stanowiący obiekt element sieciowy umożliwiający połączenie i współdzielenie , który umożliwia połączenie międzysystemowe pomiędzy więcej niż dwoma niezależnymi systemami autonomicznymi innych podmiotów, głównie do celów ułatwienia wymiany ruchu internetowego."

II.            Projekt rozporządzenie Rady Ministrów w sprawie progów uznania incydentu za poważny - projekt z 30 maja 2018 r.

Rozporządzenie w sprawie progów uznania incydentu za poważny, będzie bardzo istotną podstawą dla operatorów usług kluczowych do klasyfikacji incydentów w procesie ich zgłaszania i obsługi. Zgodnie z delegacją z projektu ustawy o krajowym systemie (art. 11 ust. 4) w rozporządzeniu progi uznania incydentu za poważny, powinny określać:

·         liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej,

·         czas trwania oddziaływania incydentu na świadczoną usługę kluczową,

·         zasięg geograficzny związany z obszarem, którego dotyczy incydent,

·         inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują.

1.       W zakresie infrastruktury cyfrowej

W zakresie infrastruktury cyfrowej przyjęto jednak, że każdy incydent, który doprowadził do braku poufności, integralności czy dostępności usługi jest incydentem poważnym. Przyjmując rozumienie atrybutów poufności, dostępności czy integralności norm rodziny ISO 27000 oznaczać to będzie mogło, że praktycznie każdy incydent dot. usługi będzie musiał być uznany za incydent poważny i będzie wymagał raportowania.

Trudno uznać to za rozwiązanie, które z jednej strony jest zgodne z delegacją ustawową, a z drugiej jako rozwiązanie racjonalne i  prawidłowe.  Przyjęcie bowiem takiego podejścia w konsekwencji oznaczałoby niezasadność raportowania, nadmiarowość i niewspółmierność  obowiązków,  a w efekcie niepotrzebne koszty po stronie operatora usługi kluczowej w obszarze infrastruktury cyfrowej.   

Ponadto nie jest zrozumiałe, co projektodawca miał na myśli pisząc o incydencie polegającym na „braku poufności usługi", które to pytanie staje się szczególnie uzasadnione w kontekście usługi polegającej na rejestracji internetowych nazw domen w ramach domeny najwyższego poziomu (TLD). Wszelkie obowiązki nakładane na podmioty powinny być zrozumiałe i nie pozostawiać pola dla wątpliwości, w szczególności w sytuacji, gdy ich niedopełnienie jest zagrożone karą.

2.       W zakresie sektora energii

a)  Definicja incydentu w sektorze energii elektrycznej jest określona tylko dla operatora systemu przesyłowego - nie zdefiniowano incydentu krytycznego dla pozostałych podmiotów.       

b)- relacja pomiędzy poszczególnymi kryteriami wymienionymi w rozporządzeniu nie została określona, tj. nie wskazano czy kryteria te powinny być spełnione łącznie. Nie można tej relacji również zdefiniować na podstawie dyspozycji ustawowej (art. 12 ust. 4 projektu ustawy o krajowym systemie cyberbezpieczeństwa),

- określone w projekcie rozporządzenia progi w większości przypadków nie wypełniają swoim zakresem dyspozycji ustawowej (art. 12 ust. 4 projektu ustawy o krajowym systemie cyberbezpieczeństwa), tj. nie definiują liczby użytkowników, których dotyczy zakłócenie, czasu trwania oddziaływania incydentu i zasięgu geograficznego,

- w załączniku do rozporządzenia w ramach sektora „Energia", podsektora „Energia elektryczna" zdarzenie „Incydent dotyczący zmniejszenia możliwości operacyjnych" jest tożsamy ze zdarzeniem „Incydent dotyczący utraty kontroli nad systemami sterowania". W kontekście obowiązku określonego w art. 12 ust. 1 projektu ustawy (tj. wymagań dotyczących zgłoszenia incydentu poważnego) szczegółowe różnicowanie kategorii zawartych w kolumnie „Zdarzenie" nie ma uzasadnienia, bowiem operator usługi kluczowej nie posługuje się taką informacją w kontaktach z CSIRT. Istotne znaczenie mają natomiast skutki oddziaływania określone w kolumnie „Progi". Stąd też różnicowanie „Zdarzeń" o takich samych skutkach („Progach") nie ma uzasadnienia.

- podobne uwagi dotyczą podsektora „Ciepło",

- w załączniku do projektu rozporządzenia w sprawie progów uznania incydentu za poważny stosuje się zbitkę „i / lub". Spójnik „lub" oznacza alternatywę łączną, tj. zawiera w sobie możliwość równoczesnego spełnienia więcej niż jednego warunku.

Pobierz stanowisko >>>