Miesięcznik informatyków i menedżerów IT sektora publicznego

Joanna Jastrząb

Outsourcing usług bezpieczeństwa

Realizowanie zadań z zakresu cyberbezpieczeństwa wymaga specjalistycznych umiejętności. Jednostki administracji, które chcą skorzystać ze wsparcia zewnętrznych podmiotów, muszą przygotować zgodne z przepisami umowy zabezpieczające ich interesy.

Podmioty administracji publicznej nierzadko muszą odpowiedzieć na pytanie: czy budować wewnętrzne kompetencje w obszarze IT, czy też zawrzeć umowę z dostawcą, który zajmie się w całości danym procesem, np. utrzymaniem oprogramowania? Podobne pytania powstają w przypadku kwestii cyberbezpieczeństwa, zwłaszcza że nierzadko wymaga ona specjalistycznej wiedzy i ciągłego dokształcania. Kiedy zapadnie decyzja o powierzeniu wykonania zadań wyspecjalizowanemu dostawcy, należy skupić się na przygotowaniu umowy zabezpieczającej potrzeby i interesy zamawiającego.

Obowiązki w zakresie cyberbezpieczeństwa

Jednostki sektora finansów publicznych są częścią krajowego systemu cyberbezpieczeństwa – ustanowionego na mocy ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560 ze zm.; dalej: ustawa o ksc). Oznacza to, że podmioty publiczne muszą realizować określone ustawą zadania, w tym zwłaszcza:

  • zapewnić zarządzanie incydentem;
  • zgłaszać incydenty niezwłocznie do właściwego zespołu reagowania na incydenty bezpieczeństwa komputerowego;
  • wyznaczyć osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Powyższe obowiązki dotyczą wszystkich jednostek sektora finansów publicznych. Ustawa nie wprowadza przy tym żadnych ograniczeń, jeśli chodzi o możliwość powierzenia realizacji wskazanych wyżej obowiązków podmiotom trzecim. O ile w przypadku zgłaszania incydentów czy zapewnienia osoby kontaktowej nie będzie potrzeby out­sourcowania zadań, to taka konieczność może zaistnieć w przypadku zarządzania incydentem, w tym jego obsługi. Ustawa wskazuje bowiem, że czynności w tym zakresie obejmują m.in. podejmowanie działań naprawczych i ograniczenie skutków incydentu, wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków wynikających z obsługi incydentu. Zadania te mogą więc wymagać specjalistycznej wiedzy.

Operatorzy usług kluczowych

Jednostka sektora finansów publicznych może być też zobowiązana do wykonania dalej idących obowiązków – jeśli zostanie uznana za operatora usług kluczowych w rozumieniu ustawy o ksc. Decyzję administracyjną w tym zakresie wydaje organ właściwy do spraw cyberbezpieczeństwa (którym jest co do zasady właściwy minister), jeśli przesądzi, że:

  • podmiot świadczy usługę kluczową(tj. usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych),
  • świadczenie tej usługi zależy od systemów informacyjnych;
  • incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Wykaz usług kluczowych, o którym mowa powyżej, został dołączony do ustawy o ksc jako załącznik. Wyznaczenie jednostki sektora finansów publicznych jako operatora usługi kluczowej pociąga za sobą obowiązek wykonania dodatkowych prac, aby wypełnić obowiązki nałożone ustawą, dotyczące przede wszystkim:

  • wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych,
  • stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemów IT,
  • zarządzania incydentami, w tym zgłaszania ich odpowiednim CSIRT.

Co jest istotne, ustawodawca wprost przesądził w ustawie, że realizacja powyższych obowiązków może zostać powierzona specjalistom. W takim wypadku na jednostce sektora finansów publicznych ciąży obowiązek poinformowania organu właściwego do spraw cyberbezpieczeństwa o fakcie zawarcia umowy z podmiotem wyspecjalizowanym, podania jego danych kontaktowych i zakresu świadczonej usługi. Ustawa nie zawiera przy tym ograniczeń co do zakresu outsourcingu, dlatego operatorzy usług kluczowych posiadają swobodę w tej kwestii.

Zamówienia dotyczące cyberbezpieczeństwa

Po przesądzeniu zakresu oczekiwanego wsparcia od podmiotu wyspecjalizowanego w zakresie cyberbezpieczeństwa jednostki sektora finansów publicznych, w tym operatorzy usług kluczowych, powinny przeprowadzić postępowanie zakupowe, biorąc pod uwagę obowiązek stosowania przepisów ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (tekst jedn. DzU z 2019 r., poz. 1843; dalej: pzp). W tym zakresie zamawiający powinien zwrócić uwagę zwłaszcza na dwie istotne okoliczności:

  • obowiązek zapewnienia jawności postępowania oraz poszanowania konkurencji, a jednocześnie obowiązek ochrony cyberbezpieczeństwa, który powinien przejawiać się również w zapewnieniu poufności informacji dot. przykładowo posiadanych systemów informacyjnych;
  • w przypadku operatorów usług kluczowych – wybór podmiotu spełniającego wymagania nałożone na podstawie rozporządzenia Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (DzU z 2019 r., poz. 2479).

W tym kontekście zamawiający posiada szereg instrumentów w ramach zamówień klasycznych i sektorowych, a także w reżimie zamówień z dziedziny obronności i bezpieczeństwa, pozwalających zapewnić realizację powyższych wymagań. W szczególnie uzasadnionych przypadkach, kiedy stosowanie przepisów pzp mogłoby doprowadzić do naruszenia istotnego interesu bezpieczeństwa państwa (z uwagi na konieczność ujawnienia np. informacji szczególnie wrażliwych z perspektywy państwa), zamawiający może też skorzystać z wyłączenia stosowania przepisów pzp na podstawie art. 4 pkt 5 pzp. Powyższe kwestie zostały szczegółowo omówione w artykułach „Zamówienia publiczne na usługi cyberbezpieczeństwa”, „IT w Administracji” 2020, nr 1 oraz „Wyłączenia w zamówieniach usług cyberbezpieczeństwa”, „IT w Administracji” 2020, nr 2.

[...]

Autorka jest radcą prawnym w Kancelarii Traple Konarski Podrecki i Wspólnicy.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej