Co zmienia nowelizacja UKSC? Część 3

To trzeci wpis z cyklu artykułów o planowanej nowelizacji UKSC. Poprzednio nakreśliliśmy tło nowelizacji i przedstawiliśmy najważniejsze założenia, omówiliśmy zakres podmiotowy , a dzisiaj skupimy się na obowiązku zgłoszenia w wykazie podmiotów kluczowych i podmiotów ważnych.

Cele wykazu

Podmiot, świadomy dotyczących go obowiązków wynikających z UKSC, w tym „przyznanego” mu statusu podmiotu kluczowego lub ważnego, ma obowiązek dokonać zgłoszenia w tzw. wykazie podmiotów kluczowych i podmiotów ważnych, którego dotyczy art. 7 i nast. ustawy. Wykaz ten ma trzy podstawowe zadania:

• identyfikować podmioty kluczowe i ważne;
• zapewnić wymianę informacji dotyczących cyberbezpieczeństwa oraz
• umożliwić nadzór nad podmiotami kluczowymi i ważnymi.

Rejestr uwzględniać ma szereg danych istotnych z punktu widzenia ustawy. Nie tylko zawierać będzie dane identyfikujące podmiot (nazwę, adres, NIP, REGON), określać sektor i podsektor, w którym działa, ale będzie także informował o zawarciu przez podmiot porozumienia w sprawie wymiany informacji dotyczących cyberbezpieczeństwa czy precyzował właściwy dla niego CSIRT sektorowy i organ do spraw cyberbezpieczeństwa.

Elementy zgłoszenia

Zdecydowanie większa część danych zawartych w wykazie pochodzić będzie od samego podmiotu kluczowego lub ważnego. Będą to głównie informacje o nazwie, siedzibie czy nadanych podmiotowi numerach (NIP, REGON) i wykorzystywanych na co dzień domenach internetowych. Organizacja będzie musiała ponadto złożyć deklarację dotyczącą rozmiaru przedsiębiorstwa, poinformować o krajach członkowskich UE, w których wykonuje działalność czy o ustanowieniu przez siebie przedstawiciela, a także podać dane osób, jakie w imieniu organizacji będą kontaktowały się z podmiotami z krajowego systemu cyberbezpieczeństwa. Co istotne, wniosek o wpis będzie musiał zostać opatrzony oświadczeniem kierownika podmiotu o zgodności danych z prawdą oraz o świadomości odpowiedzialności karnej za złożenie fałszywego oświadczenia, wynikającej z art. 233 § 6 Kodeksu karnego.

Uzupełnienie danych przez ministra

Ustawa określa również zakres danych, które nie będą przekazywane przez samą organizację, lecz zostaną uzupełnione przez ministra właściwego do spraw informatyzacji. Dotyczy to m.in. informacji o uznaniu podmiotu za krytyczny (w rozumieniu dyrektywy CER), a także danych wskazujących właściwy CSIRT lub organ do spraw cyberbezpieczeństwa. Dodatkowo, w przypadku niektórych kategorii podmiotów – takich jak przedsiębiorcy telekomunikacyjni czy podmioty publiczne – minister wpisze również część danych identyfikujących (nazwę, adres siedziby oraz nadane numery). Dane te będą pozyskiwane z rejestrów publicznych, bazy adresów elektronicznych lub od właściwych organów nadzorczych.

Złożenie za pośrednictwem S46

Wniosek o wpis powinien zostać złożony za pośrednictwem systemu teleinformatycznego znanego jako „S46” (gdzie „46” jest nawiązaniem do art. 46 z ustawy o krajowym systemie cyberbezpieczeństwa, w oparciu o który system został stworzony), za pomocą którego prowadzony będzie wykaz.

Zawiadomienie i zaświadczenie o wpisie

Po dokonaniu wpisu, minister właściwy do spraw informatyzacji poinformuje o tym podmiot kluczowy lub ważny. Wpis do wykazu, jak również zmiana wpisu ze wskazaniem aktualnych danych w nim zawartych, będą mogły być także dokumentowane wydanym przez niego zaświadczeniem. Zaświadczenie przyjmie formę dokumentu elektronicznego, będzie opatrzone kwalifikowaną pieczęcią elektroniczną i wydane za pomocą S46 na żądanie pomiotu wpisanego do wykazu.

Charakter zgłoszenia

Jak informuje UKSC, zarówno wpis, jak i jego zmiana czy wykreślenie z wykazu będą czynnościami materialno-technicznymi i miały charakter deklaratoryjny. Oznacza to, że samo dokonanie wpisu będzie jedynie potwierdzać nadany organizacji status podmiotu kluczowego lub ważnego, a nie go tworzyć – a tym samym unikanie dokonania wpisu nie może stanowić furtki do uniknięcia objęcia obowiązkami z UKSC.

Termin zgłoszenia

UKSC wyznacza podmiotom trzymiesięczny termin na złożenie wniosku o wpis do wykazu. Termin ten liczy się od dnia, w którym spełnią one przesłanki uznania za podmiot kluczowy albo ważny. W praktyce oznacza to, że podmioty spełniające te przesłanki już w dniu wejścia ustawy w życie będą musiały złożyć wniosek w ciągu trzech miesięcy od tego dnia.

Niejawność wykazu i udostępnienie danych

Do wykazu nie będą stosowane przepisy ustawy o dostępie do informacji publicznej oraz ustawy o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego. Tym samym dane w nim zawarte będą miały charakter niejawny, co jest uzasadnione troską o bezpieczeństwo podmiotów, których te dane dotyczą i ich prawnie chronionych interesów. Równocześnie jednak minister właściwy do spraw informatyzacji będzie miał obowiązek publikowania w serwisie dane.gov.pl informacji o liczbie podmiotów kluczowych lub ważnych, z podziałem na sektory, podsektory i rodzaj działalności. Dane te mają podlegać aktualizacji nie rzadziej niż raz na kwartał.
Minister będzie także uprawniony do udostępnienia danych zawartych w wykazie:

• CSIRT MON, CSIRT NASK i CSIRT GOV oraz CSIRT sektorowemu w zakresie sektora lub podsektora, dla którego został ustanowiony,
• organowi właściwemu do spraw cyberbezpieczeństwa w zakresie nadzorowanego sektora lub podsektora.

Do udostępnienia będzie dochodzić także na rzecz szeregu innych podmiotów, w związku ze złożonym wnioskiem i w zakresie niezbędnym do realizacji ustawowych zadań. Wśród podmiotów ustawa wymienia między innymi Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Najwyższą Izbę Kontroli, Straż Graniczną czy prokuraturę i sądy.

Jak możemy pomóc?

Jeżeli poszukujesz wsparcia w procesie dostosowania Twojej organizacji do wymogów wynikających z nowelizacji UKSC – zapraszamy do kontaktu. Nasze wsparcie oferujemy w każdym etapie tego procesu: asystując nie tylko przy samoocenie, ale także przy wdrożeniu odpowiednich środków technicznych z zakresu cyberbezpieczeństwa, co jest możliwe dzięki współpracy z partnerem technologicznym kancelarii.