Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Podziel się...

Ochrona zabytków w...

02 Wrzesień 2020 
Ponad 4 mln zł przeznaczył samorząd województwa podkarpackiego na dotacje dla zabytków w...

Serwis e-budownictwo

02 Wrzesień 2020 
2 sierpnia 2020 r. ruszył serwis e-budownictwo (e-budownictwo.gunb.gov.pl).

Sprawozdanie z działalności...

02 Wrzesień 2020 
W sierpniu br. Krajowa Rada Regionalnych Izb Obrachunkowych przedstawiła „Sprawozdanie z...

Zamówienia publiczne na usługi cyberbezpieczeństwa

Data publikacji: 01-04-2020 Autor: Agnieszka Wachowska, Joanna Jastrząb, Piotr Nepelski

Zakup usług z obszaru cyberbezpieczeństwa stwarza liczne problemy. Zamawiający zobowiązani do stosowania pzp dysponują jednak pewnymi instrumentami i możliwościami, które pozwalają im uzyskać takie usługi, pozostając jednocześnie w zgodzie z wymogami prawa.
 

Na wstępie należy podkreślić, że obowiązek podejmowania działań w zakresie cyberbezpieczeństwa przez jednostki administracji publicznej wynika wprost z regulacji ustawowych, tj. przede wszystkim z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560 ze zm.; dalej: uksc), która weszła w życie 28 sierpnia 2018 r. Nie mniej istotne są tutaj przepisy ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jedn. DzU z 2019 r., poz. 700 ze zm., dalej: ustawa o informatyzacji) i wydane na jej podstawie rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Inter­operacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jedn. DzU z 2017 r., poz. 2247; dalej: KRI).

 

Nowe regulacje w zakresie bezpieczeństwa

 

Ustawa o krajowym systemie cyberbezpieczeństwa, stanowiąca implementację unijnej dyrektywy NIS1, jest zasadniczo pierwszą kompleksową regulacją, która ustanawia ramy krajowego systemu cyberbezpieczeństwa celem zapewnienia „odporności systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (tj. zapewnienia cyberbezpieczeństwa, zgodnie z definicją przewidzianą w art. 2 pkt 4 uksc). Ustawa ta wyznacza również obowiązki w zakresie zapewnienia odpowiednich środków mających na celu ograniczenie podatności i incydentów systemów informacyjnych, a także – w przypadku kiedy one już wystąpią – ustanawia zasady zarządzania nimi. Warto w tym miejscu zaznaczyć, że uksc w art. 4 wprost stanowi, że krajowy system cyberbezpieczeństwa obejmuje „jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077 oraz z 2018 r. poz. 62, 1000 i 1366)”, a także m.in. Narodowy Bank Polski, Bank Gospodarstwa Krajowego, jak również organy właściwe do spraw cyberbezpieczeństwa, czyli w praktyce ministrów właściwych dla danych sektorów, bądź Komisję Nadzoru Finansowego (właściwą dla sektora bankowości i infrastruktury rynków finansowych). Kwestia objęcia sektora publicznego tą regulacją nie budzi zatem żadnych wątpliwości.

W dalszej części przepisów uksc (rozdział 5, art. 21–25) ustawodawca wyznaczył obowiązki podmiotów publicznych w zakresie zadań publicznych zależnych od systemów informacyjnych (systemów teleinformatycznych). Obejmują one jednak głównie kwestie organizacyjne (np. wyznaczenie osoby kontaktowej dla innych podmiotów krajowego systemu cyberbezpieczeństwa) bądź zadania w zakresie zarządzania i obsługi incydentu, w tym przekazywania zgłoszeń do właściwych zespołów reagowania. W przeciwieństwie do przepisów dotyczących dostawców usług cyfrowych bądź operatorów usług kluczowych (o czym niżej) uksc nie wymaga wprost wdrożenia przez podmioty będące jednostkami sektora finansów publicznych, niebędących jednocześnie operatorami usług kluczowych, odpowiednich środków organizacyjnych czy technicznych celem zapewnienia cyberbezpieczeństwa systemów informacyjnych wykorzystywanych przez nie do realizacji zadań publicznych.

Założyć można, że powodem do przyjęcia takiego podejścia jest fakt, że podmioty publiczne zobowiązane są do wdrożenia takich środków na podstawie ustawy o informatyzacji i KRI, które określają m.in. minimalne wymagania dla systemów informatycznych podmiotów publicznych. Powyżej wspomniane regulacje nakładają na takie jednostki obowiązki w zakresie wdrażania i utrzymywania systemu zarządzania bezpieczeństwem informacji, które są zresztą bardziej szczegółowe w porównaniu z regulacją uksc, gdyż obejmują bardzo konkretne wymogi, np. obowiązek ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość czy też gwarancję bezzwłocznej zmiany uprawnień w przypadku zmiany zadań osób zaangażowanych w proces przetwarzania informacji.

 

Podmiot publiczny jako operator usługi kluczowej

 

Jednostki sektora publicznego, jeśli tylko spełniają odpowiednie kryteria, tj. świadczą usługi mające kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, np. uzdatnianie lub dostarczanie wody, zarządzanie drogami, dystrybucja ciepła czy usługi w zakresie inteligentnych systemów transportowych2, mogą zostać również uznane na podstawie uksc za operatorów usług kluczowych. W Polsce proces uznawania danego podmiotu za operatora usługi kluczowej ma charakter mocno sformalizowany i następuje w wyniku wydania decyzji administracyjnej poprzez organ właściwy do spraw cyberbezpieczeństwa. W ramach takiego postępowania organ bada zwłaszcza, czy dana jednostka świadczy usługę kluczową w rozumieniu ustawy, a także czy dla tej usługi spełnione są odpowiednie progi wskazane w rozporządzeniu Rady Ministrów, dotyczące skutku zakłócającego dla świadczenia usługi kluczowej3. Co jednak istotne, podmiot publiczny uznany za operatora usługi kluczowej zgodnie z art. 25 uksc musi spełnić także, oprócz wymogów KRI, szereg wymagań określonych w rozdziale 3 uksc, takich jak przygotowanie i wdrożenie odpowiedniej dokumentacji dotyczącej cyberbezpieczeństwa, wprowadzenie systemu zarządzania incydentami zgodnie z ustawą czy też wdrożenie systemu monitorowania w trybie ciągłym.

 

Specyfika zamówień z zakresu cyberbezpieczeństwa

 

Mając na uwadze powyższe regulacje, podmioty publiczne stają przed koniecznością zamówienia zróżnicowanych usług w zakresie cyberbezpieczeństwa celem wypełnienia obowiązków nałożonych na nie wyżej opisanymi przepisami, np. w zakresie zakupu:

  •     usług obejmujących audyt bezpieczeństwa (wymagany na gruncie KRI bądź uksc);
  •     dedykowanego zabezpieczenia służącego ochronie samego systemu;
  •     systemu monitorowania rozwiązań informatycznych wykorzystywanych przez zamawiającego;
  •     usług wsparcia w zakresie przeprowadzenia szacowania ryzyka.

 

[...]

 

Agnieszka Wachowska
radca prawny i partner w Kancelarii Traple Konarski Podrecki i Wspólnicy

Joanna Jastrząb
radca prawny w Kancelarii Traple Konarski Podrecki i Wspólnicy

Piotr Nepelski
radca prawny w Kancelarii Traple Konarski Podrecki i Wspólnicy

 

Artykuł pochodzi z miesięcznika: Przetargi Publiczne

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

All rights reserved © 2019 Presscom / Miesięcznik Przetargi Publiczne