Subskrybuj newsletter
Więcej
Language flag
Logowanie Logowanie
Dodaj ogłoszenie Dodaj Ogłoszenie Dodaj firmę Dodaj firme
MarinePoland.pl MarinePoland.com
    • <
Kongres Polskie Porty 2030 edycja 2024

Prawnie o cyberbezpieczeństwie MFW na polskich obszarach morskich

Prawnie o cyberbezpieczeństwie MFW na polskich obszarach morskich - GospodarkaMorska.pl

Mateusz Romowicz

25.07.2023 22:40
Zobacz następny artykuł
Strona główna Prawo Morskie, Finanse Morskie, Ekonomia Morska Prawnie o cyberbezpieczeństwie MFW na polskich obszarach morskich

Partnerzy portalu

Od kilkunastu miesięcy coraz mocniej wybrzmiewa w dyskusjach i na konferencjach kwestia cyberbezpieczeństwa infrastruktury krytycznej na morzu. Z uwagi na powyższe warto przeanalizować, czy inwestycje związane z morską energetyką wiatrową na polskich obszarach morskich, a w szczególności ochrona tych obiektów, przygotowana jest na ewentualne ataki z przestrzeni cybernetycznej. Kluczowym zagadnieniem w tym zakresie analizy będzie to, czy i jakie służby kompetencyjnie są uprawnione do działań związanych z zapewnieniem cyberbezpieczeństwa m.in. MFW na polskich obszarach morskich.

Krajowy system cyberbezpieczeństwa bez definicji legalnej


Najważniejszym, z punktu widzenia zakresu tematycznego niniejszego artykułu, aktem prawnym jest ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913). To właśnie ten akt prawny określa organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu, sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy oraz zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. 

Co więcej, ten akty prawny wyznacza cel ogólny krajowego systemu cyberbezpieczeństwa jako zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów.

Istotnym zaznaczenia jest fakt, iż krajowy system cyberbezpieczeństwa nie został zdefiniowany w ustawie. 

Chcąc określić czym jest krajowy system cyberbezpieczeństwa należy się przede wszystkim zastanowić czemu ten system ma służyć. Na zasadzie analogi może posłużyć schemat definiowania systemu zastosowanym w Ustawie z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej (t.j. Dz. U. z 2022 r. poz. 2057). Otóż w myśl art. 2 pkt 4 tegoż aktu prawnego, ilekroć w ustawie jest mowa o krajowym systemie ratowniczo-gaśniczym, to należy przez to rozumieć integralną część organizacji bezpieczeństwa wewnętrznego państwa, obejmującą, w celu ratowania życia, zdrowia, mienia lub środowiska, prognozowanie, rozpoznawanie i zwalczanie pożarów, klęsk żywiołowych lub innych miejscowych zagrożeń; system ten skupia jednostki ochrony przeciwpożarowej, inne służby, inspekcje, straże, instytucje oraz podmioty, które dobrowolnie w drodze umowy cywilnoprawnej zgodziły się współdziałać w akcjach ratowniczych. 

Zestawiając powyższe z normami zawartymi w Ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa można wskazać, iż krajowy system cyberbezpieczeństwa jest integralną częścią krajowego systemu bezpieczeństwa oraz europejskiego systemu bezpieczeństwa sieci i systemów informacyjnych, wyodrębnioną w celu efektywnego (sprawnego, niezakłóconego) wykonywania zadań publicznych, usług kluczowych i usług cyfrowych poprzez ustalanie strategii i jej realizację, w której podmioty objęte systemem wypełniają przypisane im dla ochrony interesu publicznego obowiązki ustawowe.

Zakres podmiotowy krajowego systemu cyberbezpieczeństwa


Pomimo braku definicji legalnej krajowego systemu cyberbezpieczeństwa przytoczony powyżej akt prawny wskazuje podmioty objęte tymże systemem. W myśl przepisów krajowy system cyberbezpieczeństwa złożony jest m.in. z:

  • operatorów usług kluczowych;
  • dostawców usług cyfrowych;
  • Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej (CSIRT MON);
  • Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy (CSIRT NASK);
  • Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV);
  • Narodowy Bank Polski;
  • Bank Gospodarstwa Krajowego;
  • Urząd Dozoru Technicznego;
  • Polską Agencję Żeglugi Powietrznej;
  • Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;
  • Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej "Pełnomocnikiem";
  • Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej "Kolegium".

Tak mnogie wyliczenie podmiotów włączonych w system cyberbezpieczeństwa poprzez ich szczegółowe wyliczenie oraz przypisanie im rozmaitych uprawnień i obowiązków nie zaspokaja potrzeby czytelnej i zarazem funkcjonalnej struktury systemu. W tym celu należałoby określić:

  • administrację systemu: organy i inne podmioty administrujące oraz relacje między nimi;
  • uczestników: operatorów usług kluczowych i dostawców usług cyfrowych oraz podmioty publiczne jako adresatów obowiązków;
  • podmioty wspierające uczestników: podmioty świadczące usługi z zakresu cyberbezpieczeństwa i akredytowane jednostki oceniające.

Dokonanie takiego rozróżnienia jest trudne, bowiem podmioty administrujące występują zwykle w podwójnej roli – jako ponoszące odpowiedzialność za cyberbezpieczeństwo swoje i za bezpieczeństwo innych podmiotów.

Kto będzie odpowiedzialny za Cyberbezpieczeństwo MFW?


W myśl Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, organem administracji rządowej, odpowiedzialnym za cyberbezpieczeństwo w sektorze energii, jest minister właściwy ds. energii. Obecnie jest to Minister Klimatu i Środowiska, którego szczegółowy zakres działania, zgodnie z art. 33 ust. 1 pkt 1 ustawy o Radzie Ministrów (Dz. U. z 2022 r. poz. 1188), wynika z rozporządzenia Prezesa Rady Ministrów z dnia 27 października 2021 r. w sprawie szczegółowego zakresu działania Ministra Klimatu i Środowiska (Dz. U. poz. 1949) oraz rozporządzenia Rady Ministrów z dnia 10 listopada 2020 r. w sprawie przekształcenia Ministerstwa Klimatu i Środowiska (Dz. U. poz. 2005). Zgodnie z regulacjami zawartymi w tych rozporządzeniach, Minister Klimatu i Środowiska kieruje działami administracji rządowej – energia, klimat i środowisko. 

Analizując przepisy Ustawy o krajowym systemie cyberbezpieczeństwa, można zauważyć, iż Ustawodawca krajowy zdecydował się zatem na rozproszony model organów właściwych, w którym tę funkcję pełni kilka organów, zajmujących się sprawami merytorycznie odpowiadającymi specyfice działania operatorów usług kluczowych i dostawców usług cyfrowych.

Zastosowanie takiego modelu możliwe było na podstawie artykułu 8 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. U. UE. L. z 2016 r. Nr 194, str. 1; Dyrektywa NIS). 

W myśl bowiem tego przepisu  każde państwo członkowskie wyznacza jeden lub większą liczbę właściwych organów krajowych ds. bezpieczeństwa sieci i systemów informatycznych, obejmujących co najmniej sektory, o których mowa w załączniku II (sektor energii, transportu, bankowego i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji, infrastruktury cyfrowej, a także dostawców usług cyfrowych), i usługi, o których mowa w załączniku III (internetowa platforma handlowa, wyszukiwarka internetowa, usługa przetwarzania w chmurze). Należy w tym miejscu wskazać, iż zadania ministra ds. energii, w zakresie cyberbezpieczeństwa mają charakter administracyjny. Jest on bowiem na mocy ustawy o krajowym systemie cyberbezpieczeństwa, organem uprawnionym m.in. do:

  • prowadzenia bieżącej analizy podmiotów w danym sektorze lub podsektorze pod kątem uznania ich za operatora usługi kluczowej lub niespełniania warunków kwalifikujących podmiot jako operatora usługi kluczowej;
  • wydawania decyzji o uznaniu podmiotu za operatora usługi kluczowej albo decyzje stwierdzające wygaśnięcie decyzji o uznaniu podmiotu za operatora usługi kluczowej;
  • niezwłocznego, po wydaniu decyzji o uznaniu za operatora usługi kluczowej albo decyzji stwierdzającej wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej, przekazaniu wniosku do ministra właściwego do spraw informatyzacji o wpisanie do wykazu operatorów usług kluczowych albo wykreślenie z tego wykazu;
  • składania wniosków o zmianę danych w wykazie operatorów usług kluczowych, nie później niż w terminie 6 miesięcy od zmiany tych danych;
  • monitorowania stosowania przepisów ustawy przez operatorów usług kluczowych i dostawców usług cyfrowych.

Jak widać z przedstawionych powyżej zadań ministra ds. energii próżno szukać wśród nich zadań stricte związanych z reagowaniem na ataki z cyberprzestrzeni. To zostało pozostawione w gestii CSIRT GOV. To właśnie Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego, został uczynionym odpowiedzialnym za m.in.:

  • monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym;
  • szacowanie ryzyka związanego z ujawnionym zagrożeniem cyberbezpieczeństwa oraz zaistniałymi incydentami, w tym prowadzenie dynamicznej analizy ryzyka;
  • przekazywanie informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa;
  • wydawanie komunikatów o zidentyfikowanych zagrożeniach cyberbezpieczeństwa;
  • reagowanie na zgłoszone incydenty;
  • klasyfikowanie incydentów, w tym incydentów poważnych oraz incydentów istotnych, jako incydenty krytyczne oraz koordynowanie obsługi incydentów krytycznych;

w zakresie jakim dotyczy to infrastruktury krytycznej, a więc i również MFW na polskich obszarach morskich, w momencie ich powstania.

Podsumowanie


Reasumując, należy wskazać, iż ponownie w tak newralgicznej sferze bezpieczeństwa gospodarki narodowej, jaką jest zapewnienie odpowiedniego poziomu cyberbezpieczeństwa infrastrukturze krytycznej na morzu dochodzi do zbyt dużego rozczłonkowania kompetencji oraz zadań organów administracji państwowej. 

Taki model funkcjonowania nieustannie grozi brakiem szybkiej oraz adekwatnej reakcji na zagrożenie pochodzące z przestrzeni cybernetycznej, której celem będzie infrastruktura na morzu. 

Mało tego ewidentnie widoczny jest brak pomysłu ustawodawcy na klasyfikacje zagrożeń z przestrzeni cybernetycznej oraz na wypracowanie modelu zapobiegającego ewentualnemu cyberatakowi na MFW, co powinno budzić niepokój biorąc pod uwagę ambitne plany w zakresie budowy MFW na polskich obszarach morskich w najbliższych latach.

Mateusz Romowicz – radca prawny

Przemysław Niewiński - prawnik

Prawnie o cyberbezpieczeństwie MFW na polskich obszarach morskich-GospodarkaMorska.pl Prawnie o cyberbezpieczeństwie MFW na polskich obszarach morskich-GospodarkaMorska.pl Prawnie o cyberbezpieczeństwie MFW na polskich obszarach morskich-GospodarkaMorska.pl
Prawnie o cyberbezpieczeństwie MFW na polskich obszarach morskich-GospodarkaMorska.pl
Prawnie o cyberbezpieczeństwie MFW na polskich obszarach morskich-GospodarkaMorska.pl
Prawnie o cyberbezpieczeństwie MFW na polskich obszarach morskich-GospodarkaMorska.pl

Tagi:
Mateusz Romowicz, Legal Consulting, Legal Marine, straż przybrzeżna, mew, infrastruktura krytyczna, bezpieczeństwo, bezpieczeństwo morskie, cyberbezpieczeństwo

Przeczytaj także:
Zatopić czy nie zatopić? – iluzoryczne bezpieczeństwo morskiej infrastruktury krytycznej 03.07.2023
Cyberbezpieczeństwo infrastruktury krytycznej - nowe wyzwania, znane problemy 27.06.2023
Pierwsze morskie farmy wiatrowe w Grecji zostaną zainstalowane w pięciu strefach na Morzu Egejskim 31.05.2023

GospodarkaMorska.tv

Katalog firm

Firmy A-Z

Stocznie, Przemysł stoczniowy, Przemysł morski, Przemysł offshore, Energetyka Morska, Budownictwo morskie, Budownictwo hydrotechniczne
Stocznie, Przemysł stoczniowy, Przemysł morski, Przemysł offshore, Energetyka Morska, Budownictwo morskie, Budownictwo hydrotechniczne wizytówki: 1231

Porty morskie, Terminale kontenerowe, Przeładunki portowe, Logistyka morska, Kontenery morskie, Shipchandlers, Wyposażenie portów
Porty morskie, Terminale kontenerowe, Przeładunki portowe, Logistyka morska, Kontenery morskie, Shipchandlers, Wyposażenie portów wizytówki: 284

Kooperanci lądowi- Prawo morskie, Towarzystwa klasyfikacyjne, Rzeczoznawcy morscy, Certyfikaty morskie, Ubezpieczenia morskie, Projekty morskie
Kooperanci lądowi- Prawo morskie, Towarzystwa klasyfikacyjne, Rzeczoznawcy morscy, Certyfikaty morskie, Ubezpieczenia morskie, Projekty morskie wizytówki: 308

Transport morski, Spedycja morska, Żegluga morska, Fracht morski, Transport intermodalny, Transport pasażerski, Transport śródlądowy
Transport morski, Spedycja morska, Żegluga morska, Fracht morski, Transport intermodalny, Transport pasażerski, Transport śródlądowy wizytówki: 362

Przemysł jachtowy, Stocznie Jachtowe, Sklepy żeglarskie, Mariny jachtowe, Rejsy turystyczne, Turystyka morska, Żeglarstwo morskie
Przemysł jachtowy, Stocznie Jachtowe, Sklepy żeglarskie, Mariny jachtowe, Rejsy turystyczne, Turystyka morska, Żeglarstwo morskie wizytówki: 234

Rybołówstwo morskie, Akwakultura, Przemysł rybny, Przetwórstwo rybne, Wędkarstwo morskie
Rybołówstwo morskie, Akwakultura, Przemysł rybny, Przetwórstwo rybne, Wędkarstwo morskie wizytówki: 139

Administracja morska, Urzędy morskie, Instytucje morskie, Służby morskie, Marynarka Wojenna, Morskie służby ratunkowe
Administracja morska, Urzędy morskie, Instytucje morskie, Służby morskie, Marynarka Wojenna, Morskie służby ratunkowe wizytówki: 124

Praca na morzu, Crewing, Praca na statkach, Praca w przemyśle stoczniowym, Praca w branżach morskich, Praca w przemyśle morskim
Praca na morzu, Crewing, Praca na statkach, Praca w przemyśle stoczniowym, Praca w branżach morskich, Praca w przemyśle morskim wizytówki: 104

Szkoły morskie, Kursy morskie, Szkolenia morskie, Edukacja morska, Szkolenia żeglarskie
Szkoły morskie, Kursy morskie, Szkolenia morskie, Edukacja morska, Szkolenia żeglarskie wizytówki: 72

Partnerzy portalu

Najnowsze wiadomości

Zobacz więcej
legal_marine_mateusz_romowicz_2023

Popularne

  • 3 dni
  • 7 dni
  • 30 dni
Zobacz więcej

Polecamy

Dziękujemy za wysłane grafiki.