Miesięcznik informatyków i menedżerów IT sektora publicznego

Agnieszka Wachowska, Joanna Jastrząb, Piotr Nepelski

Zamówienia publiczne na usługi cyberbezpieczeństwa

Zakup usług z obszaru cyberbezpieczeństwa stwarza liczne problemy. Zamawiający zobowiązani do stosowania PZP dysponują jednak instrumentami i możliwościami, które pozwalają im uzyskać takie usługi, pozostając jednocześnie w zgodzie z wymogami prawa.

Na wstępie należy podkreślić, że obowiązek podejmowania działań w zakresie cyberbezpieczeństwa przez jednostki administracji publicznej wynika wprost z regulacji ustawowych, tj. przede wszystkim z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560 ze zm.; dalej: uksc), która weszła w życie 28 sierpnia 2018 r. Nie mniej istotne są tutaj przepisy ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jedn. DzU z 2019 r., poz. 700 ze zm., dalej: ustawa o informatyzacji) i wydane na jej podstawie rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jedn. DzU z 2017 r., poz. 2247; dalej: KRI).

Nowe regulacje w zakresie bezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeństwa, stanowiąca implementację unijnej dyrektywy NIS1, jest zasadniczo pierwszą kompleksową regulacją, która ustanawia ramy krajowego systemu cyberbezpieczeństwa, celem zapewnienia „odporności systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (tj. zapewnienia cyberbezpieczeństwa, zgodnie z definicją przewidzianą w art. 2 pkt 4 uksc). Ustawa ta wyznacza również obowiązki w zakresie zapewnienia odpowiednich środków mających na celu ograniczenie podatności i incydentów systemów informacyjnych, a także – w przypadku kiedy one już wystąpią – ustanawia zasady zarządzania nimi. Warto w tym miejscu zaznaczyć, że uksc w art. 4 wprost stanowi, że krajowy system cyberbezpieczeństwa obejmuje „jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077 oraz z 2018 r. poz. 62, 1000 i 1366)”, a także m.in. Narodowy Bank Polski, Bank Gospodarstwa Krajowego, jak również organy właściwe do spraw cyberbezpieczeństwa, czyli w praktyce ministrów właściwych dla danych sektorów, bądź Komisję Nadzoru Finansowego (właściwą dla sektora bankowości i infrastruktury rynków finansowych). Kwestia objęcia sektora publicznego tą regulacją nie budzi zatem żadnych wątpliwości.

W dalszej części przepisów uksc (rozdział 5, art. 21–25) ustawodawca wyznaczył obowiązki podmiotów publicznych w zakresie zadań publicznych zależnych od systemów informacyjnych (systemów teleinformatycznych). Obejmują one jednak głównie kwestie organizacyjne (np. wyznaczenie osoby kontaktowej dla innych podmiotów krajowego systemu cyberbezpieczeństwa) bądź zadania w zakresie zarządzania i obsługi incydentu, w tym przekazywania zgłoszeń do właściwych zespołów reagowania. W przeciwieństwie do przepisów dotyczących dostawców usług cyfrowych bądź operatorów usług kluczowych (o czym niżej) uksc nie wymaga wprost wdrożenia przez podmioty będące jednostkami sektora finansów publicznych, niebędących jednocześnie operatorami usług kluczowych, odpowiednich środków organizacyjnych czy technicznych celem zapewnienia cyberbezpieczeństwa systemów informacyjnych wykorzystywanych przez nie do realizacji zadań publicznych.

Założyć można, że powodem do przyjęcia takiego podejścia jest fakt, że podmioty publiczne zobowiązane są do wdrożenia takich środków na podstawie ustawy o informatyzacji i KRI, które określają m.in. minimalne wymagania dla systemów informatycznych podmiotów publicznych. Powyżej wspomniane regulacje nakładają na takie jednostki obowiązki w zakresie wdrażania i utrzymywania systemu zarządzania bezpieczeństwem informacji, które są zresztą bardziej szczegółowe w porównaniu z regulacją uksc, gdyż obejmują bardzo konkretne wymogi, np. obowiązek ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość czy też gwarancję bezzwłocznej zmiany uprawnień w przypadku zmiany zadań osób zaangażowanych w proces przetwarzania informacji.

Podmiot publiczny jako operator usługi kluczowej

Jednostki sektora publicznego, jeśli tylko spełniają odpowiednie kryteria, tj. świadczą usługi mające kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, np. uzdatnianie lub dostarczanie wody, zarządzanie drogami, dystrybucja ciepła czy usługi w zakresie inteligentnych systemów transportowych2, mogą zostać również uznane na podstawie uksc za operatorów usług kluczowych. W Polsce proces uznawania danego podmiotu za operatora usługi kluczowej ma charakter mocno sformalizowany i następuje w wyniku wydania decyzji administracyjnej poprzez organ właściwy do spraw cyberbezpieczeństwa. W ramach takiego postępowania organ bada zwłaszcza, czy dana jednostka świadczy usługę kluczową w rozumieniu ustawy, a także czy dla tej usługi spełnione są odpowiednie progi wskazane w rozporządzeniu Rady Ministrów, dotyczące skutku zakłócającego dla świadczenia usługi kluczowej3. Co jednak istotne, podmiot publiczny uznany za operatora usługi kluczowej zgodnie z art. 25 uksc musi spełnić także, oprócz wymogów KRI, szereg wymagań określonych w rozdziale 3 uksc, takich jak przygotowanie i wdrożenie odpowiedniej dokumentacji dotyczącej cyberbezpieczeństwa, wprowadzenie systemu zarządzania incydentami zgodnie z ustawą czy też wdrożenie systemu monitorowania w trybie ciągłym.

Specyfika zamówień

Mając na uwadze powyższe regulacje, podmioty publiczne stają przed koniecznością zamówienia zróżnicowanych usług w zakresie cyberbezpieczeństwa, celem wypełnienia obowiązków nałożonych na nie wyżej opisanymi przepisami, np. w zakresie zakupu:

  • usług obejmujących audyt bezpieczeństwa (wymagany na gruncie KRI bądź uksc),
  • dedykowanego zabezpieczenia służącego ochronie samego systemu,
  • systemu monitorowania rozwiązań informatycznych wykorzystywanych przez zamawiającego,
  • usług wsparcia w zakresie przeprowadzenia szacowania ryzyka.

Może to rodzić sporo wyzwań na gruncie ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (tekst jedn. DzU z 2019 r., poz. 1843; dalej: pzp). Z jednej bowiem strony pzp opiera się na transparentności postępowań o udzielenie zamówienia, których głównym filarem jest jawność postępowania, z drugiej natomiast strony sfera dotycząca bezpieczeństwa systemów informacyjnych – w tym ich cyberbezpieczeństwa – w instytucji jest tym, czego zamawiający nie chcą w pełni ujawniać. Ujawnienie bowiem już samych danych na temat bezpieczeństwa systemów czy usług, jakie zamawiający z tego zakresu chce zamówić, co jednocześnie pośrednio pokazuje, że nie ma części z wdrożonych środków bezpieczeństwa, samo w sobie stanowić może zwiększenie podatności systemu na przyszłe ataki. Powstaje zatem pytanie, w jaki sposób zamawiać usługi w zakresie cyberbezpieczeństwa, aby pogodzić interes bezpieczeństwa (nie zwiększyć podatności na ataki), a przy tym nie spowodować naruszenia przepisów pzp?

Na wstępie należy zastrzec, że nie sposób udzielić blankietowej rekomendacji, która uniwersalnie będzie mogła zostać zastosowana do zakupu wszelkich usług z zakresu cyberbezpieczeństwa. Podjęcie odpowiednich działań zależne jest od lubianego przez prawników określenia „okoliczności faktyczne konkretnego przypadku”. W różnych formach synonimicznych wykorzystywane jest ono także przez Urząd Zamówień Publicznych w wydawanych przez niego opiniach, które mają na celu zapewnienie prawidłowej i jednolitej wykładni przepisów pzp. Skorzystanie z odpowiedniej drogi zamówienia usługi cyberbezpieczeństwa powinno przede wszystkim rozpocząć się od zidentyfikowania, jaki dokładnie produkt ma zostać zakupiony. Obowiązki nałożone na podmioty publiczne w zakresie cyberbezpieczeństwa są bowiem dosyć szerokie – celem ich spełnienia zamawiający może realizować tak odległe od siebie zakupy, jak zamówienie „pudełkowego” oprogramowania antywirusowego, aż po zamówienie usług audytu zabezpieczeń w organizacji zamawiającego.

[...]

Agnieszka Wachowska – radca prawny i partner w Kancelarii Traple Konarski Podrecki i Wspólnicy.
Joanna Jastrząb – radca prawny w Kancelarii Traple Konarski Podrecki i Wspólnicy.
Piotr Nepelski – radca prawny w Kancelarii Traple Konarski Podrecki i Wspólnicy.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej