Artykuł pochodzi z wydania: Kwiecień 2020
Realizowanie zadań z zakresu cyberbezpieczeństwa wymaga specjalistycznych umiejętności. Jednostki administracji, które chcą skorzystać ze wsparcia zewnętrznych podmiotów, muszą przygotować zgodne z przepisami umowy zabezpieczające ich interesy.
Podmioty administracji publicznej nierzadko muszą odpowiedzieć na pytanie: czy budować wewnętrzne kompetencje w obszarze IT, czy też zawrzeć umowę z dostawcą, który zajmie się w całości danym procesem, np. utrzymaniem oprogramowania? Podobne pytania powstają w przypadku kwestii cyberbezpieczeństwa, zwłaszcza że nierzadko wymaga ona specjalistycznej wiedzy i ciągłego dokształcania. Kiedy zapadnie decyzja o powierzeniu wykonania zadań wyspecjalizowanemu dostawcy, należy skupić się na przygotowaniu umowy zabezpieczającej potrzeby i interesy zamawiającego.
Obowiązki w zakresie cyberbezpieczeństwa
Jednostki sektora finansów publicznych są częścią krajowego systemu cyberbezpieczeństwa – ustanowionego na mocy ustawy z dnia
5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560 ze zm.; dalej: ustawa o ksc). Oznacza to, że podmioty publiczne muszą realizować określone ustawą zadania, w tym zwłaszcza:
- zapewnić zarządzanie incydentem;
- zgłaszać incydenty niezwłocznie do właściwego zespołu reagowania na incydenty
- bezpieczeństwa komputerowego;
- wyznaczyć osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
Powyższe obowiązki dotyczą wszystkich jednostek sektora finansów publicznych. Ustawa nie wprowadza przy tym żadnych ograniczeń, jeśli chodzi o możliwość powierzenia realizacji wskazanych wyżej obowiązków podmiotom trzecim. O ile w przypadku zgłaszania incydentów czy zapewnienia osoby kontaktowej nie będzie potrzeby outsourcowania zadań, to taka konieczność może zaistnieć w przypadku zarządzania incydentem, w tym jego obsługi. Ustawa wskazuje bowiem, że czynności w tym zakresie obejmują m.in. podejmowanie działań naprawczych i ograniczenie skutków incydentu, wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków wynikających z obsługi incydentu. Zadania te mogą więc wymagać specjalistycznej wiedzy.
Operatorzy usług kluczowych
Jednostka sektora finansów publicznych może być też zobowiązana do wykonania dalej idących obowiązków – jeśli zostanie uznana za operatora usług kluczowych w rozumieniu ustawy o ksc. Decyzję administracyjną w tym zakresie wydaje organ właściwy do spraw cyberbezpieczeństwa (którym jest co do zasady właściwy minister), jeśli przesądzi, że:
podmiot świadczy usługę kluczową(tj. usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych), świadczenie tej usługi zależy od systemów informacyjnych;
incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.
Wykaz usług kluczowych, o którym mowa powyżej, został dołączony do ustawy o ksc jako załącznik. Wyznaczenie jednostki sektora finansów publicznych jako operatora usługi kluczowej pociąga za sobą obowiązek wykonania dodatkowych prac, aby wypełnić obowiązki nałożone ustawą, dotyczące przede wszystkim:
- wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych,
- stosowania środków zapobiegających i ograniczających wpływ incydentów na
- bezpieczeństwo systemów IT,
- zarządzania incydentami, w tym zgłaszania ich odpowiednim CSIRT.
Co jest istotne, ustawodawca wprost przesądził w ustawie, że realizacja powyższych obowiązków może zostać powierzona specjalistom. W takim wypadku na jednostce sektora finansów publicznych ciąży obowiązek poinformowania organu właściwego do spraw cyberbezpieczeństwa o fakcie zawarcia umowy z podmiotem wyspecjalizowanym, podania jego danych kontaktowych i zakresu świadczonej usługi. Ustawa nie zawiera przy tym ograniczeń co do zakresu outsourcingu, dlatego operatorzy usług kluczowych posiadają swobodę w tej kwestii.
Zamówienia dotyczące cyberbezpieczeństwa
Po przesądzeniu zakresu oczekiwanego wsparcia od podmiotu wyspecjalizowanego w zakresie cyberbezpieczeństwa jednostki sektora finansów publicznych, w tym operatorzy usług kluczowych, powinny przeprowadzić postępowanie zakupowe, biorąc pod uwagę obowiązek stosowania przepisów ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (tekst jedn. DzU z 2019 r., poz. 1843; dalej: pzp).
[…]
Joanna Jastrząb
Autorka jest radcą prawnym w Kancelarii Traple Konarski Podrecki i Wspólnicy.
