Cyberbezpieczeństwo – to nowe zagadnienie, z którym musi się zmierzyć branża wodociągowo-kanalizacyjna. Nowe zadania i obowiązki wynikające z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa wymuszą na przedsiębiorstwach wodociągowo-kanalizacyjnych wdrożenie kolejnych rozwiązań prawnych i organizacyjnych.

Wydawać by się mogło, że cyberbezpieczeństwo to pojęcie zupełnie niezwiązane z branżą wodociągowo-kanalizacyjną. O tym, że jest wprost przeciwnie świadczyć może atak hakerski na sieć wodociągową w miejscowości Onslow w Karolinie Północne, który miał miejsce w październiku ubiegłego roku (więcej o tym ataku można przeczytać tutaj). Nie może zatem dziwić, że ustawa o cyberbezpieczeństwie, tworząca krajowy system cyberbezpieczeństwa, obejmuje również podmioty prowadzące działalność z zakresu zbiorowego zaopatrzenia w wodę i zbiorowego odprowadzania ścieków.

Spośród wielu podmiotów, które będą tworzyć krajowy system bezpieczeństwa, podmioty prowadzące działalność wodociągowo-kanalizacyjną teoretycznie mogą zostać zakwalifikowane do dwóch kategorii: kategorii operatorów usług kluczowych oraz kategorii podmiotów publicznych.

 

Operatorzy usług kluczowych

Ustawa o cyberbezpieczeństwie (konkretnie załącznik nr 1) określa zbiór potencjalnych operatorów usług kluczowych, w którym wprost wskazano przedsiębiorstwa wodociągowo-kanalizacyjne w rozumieniu w art. 2 pkt 4 ustawy z dnia 7 czerwca 2001 r. o zbiorowym zaopatrzeniu w wodę i zbiorowym odprowadzaniu ścieków. Operatorem usługi kluczowej może zostać jednak wyłącznie takie przedsiębiorstwo wodociągowo-kanalizacyjne, wobec którego organ właściwy do spraw cyberbezpieczeństwa (dla sektora wod-kan jest to Minister Gospodarki Morskiej i Żeglugi Śródlądowej) wyda decyzję o uznaniu za operatora usługi kluczowej.

Wydanie ww. decyzji zależy od łącznego spełnienia trzech poniższych przesłanek:

  1. podmiot świadczy usługę kluczową;
  2. świadczenie tej usługi zależy od systemów informacyjnych;
  3. incydent – a konkretnie zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo – miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez operatora.

W kontekście pierwszej przesłanki należy zauważyć, że zgodnie z rozporządzeniem Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (dalej jako „wykaz usług kluczowych”), usługi kluczowe to m.in. ujmowanie, uzdatnianie i dostarczanie wody oraz odprowadzanie i oczyszczanie ścieków.

Druga przesłanka wymaga krótkiego omówienia czym jest system informacyjny. Nie wdając się w analizę dosyć skomplikowanej definicji ustawowej tego pojęcia, można w uproszczeniu powiedzieć, że system informacyjny to urządzenia informatyczne (a więc serwery, komputery stacjonarne, laptopy, telefony, tablety) oraz oprogramowanie (a więc systemy operacyjne, programy użytkowe lub aplikacje), które są połączone siecią telekomunikacyjną i zapewniają przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych.

Mając powyższe na uwadze, wydaje się, że w przypadku przedsiębiorstw wodociągowo-kanalizacyjnych nie będzie trudno o stwierdzenie, że świadczone przez nie usługi zależą od systemów informacyjnych. Przedsiębiorstwa w swojej działalności dosyć powszechnie bowiem używają różnorakich rozwiązań informatycznych, począwszy od zdalnych systemów naliczania opłat za ilość pobranej wody, poprzez systemy sterujące stacjami uzdatniania wody i oczyszczalniami, a skończywszy na rozbudowanych systemach monitoringu sieci.

Trzecia z pośród wymienionych powyżej przesłanek ma charakter kluczowy, bowiem w praktyce będzie decydować o tym, które przedsiębiorstwa wodociągowo-kanalizacyjne mogą obawiać się uznania za operatora usług kluczowych. Przesłanka ta zostanie spełniona, gdy zostanie przekroczony tzw. próg istotności skutku zakłócającego. Dla wskazanych powyżej usług kluczowych sektora wodociągowo-kanalizacyjnego progi te zostały określone w następujący sposób:

  1. dla usług ujmowania, uzdatniania lub dostarczania wody próg wynosi minimum 500 tys. podłączonych mieszkańców w ramach zbiorowego zaopatrzenia w wodę;
  2. dla usług odprowadzania lub oczyszczania ścieków próg został określony jako obsługa aglomeracji o równoważnej liczbie mieszkańców (RLM) powyżej 500 tys.

Mając powyższe na uwadze można wysnuć generalny wniosek, iż jedynie największe przedsiębiorstwa wodociągowo-kanalizacyjne w kraju zostaną uznane za operatorów usług kluczowych.

 

Podmioty publiczne

Druga ustawowa kategoria podmiotów, do której mogą zostać zakwalifikowane podmioty prowadzące działalność gospodarczą z zakresu zbiorowego zaopatrzenia w wodę i zbiorowego odprowadzania ścieków to podmioty publiczne. Zbiór tych podmiotów tworzą bowiem m.in. jednostki sektora finansów publicznych, takie jak jednostki samorządu terytorialnego oraz ich związki, jednostki budżetowe, samorządowe zakłady budżetowe, a nadto spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej.

Nie ulega zatem wątpliwości, że każda gmina, w tym również jej jednostka budżetowa albo zakład budżetowy, oraz każda spółka prawa handlowego, która prowadzi działalność gospodarczą z zakresu zbiorowego zaopatrzenia w wodę i zbiorowego odprowadzania ścieków jest podmiotem publicznym w rozumieniu ustawy o cyberbezpieczeństwie.

Jeżeli ww. podmioty publiczne realizują zadanie publiczne zależne od systemu informacyjnego (patrz uwagi powyżej) wówczas muszą sprostać określonym wymogom wymienionym w ustawie o cyberbezpieczeństwie (patrz tabela poniżej).

Warto zwrócić uwagę, że w przeciwieństwie do operatorów usług kluczowych, w stosunku do podmiotów publicznych nie będą wydawane jakiekolwiek decyzje administracyjne. Innym słowy, uznanie danego podmiotu za podmiot publiczny następuje z mocy samego prawego. Co więcej, kwalifikacja w tym zakresie w żaden sposób nie będzie uzależniona od liczby mieszkańców, na rzecz których są świadczone usługi w ramach zadania publicznego. W praktyce, w większości przypadków przedsiębiorstw wodociągowo-kanalizacyjne same będą musiały ocenić, czy ich usługi zależą od systemu informacyjnego, a następnie spełnić obowiązki wynikające z ustawy.

 

Obowiązki

Zakwalifikowanie konkretnego podmiotu jako operatora usługi kluczowej albo podmiotu publicznego ma bezpośredni wpływ na zakres obowiązków, które muszą zostać spełnione zgodnie z ustawą o cyberbezpieczeństwie. Warto w tym miejscu zauważyć, że operatorzy usług kluczowych będą musieli sprostać bardziej rygorystycznym wymogom aniżeli podmioty publiczne, co nie jest jednak równoznaczne z tym, że podmioty publiczne są znacząco uprzywilejowane. Niektóre z obowiązków podmiotów publicznych są bowiem tożsame z obowiązkami operatorów usługi kluczowej.

Zakres podstawowych obowiązków obu kategorii podmiotów w ogólnym zarysie prezentujemy w poniższym zestawieniu.

                   Operator usług kluczowych

                             Podmiot publiczny

  1. Wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym.
  2. Wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
  3. Zapewnienie  użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowania skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.
  4. Opracowanie, stosowanie i aktualizowanie dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
  5. Ustanowienie nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
  6. Zapewnienie obsługi tj. czynności umożliwiających wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu (tj. zdarzenia, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwa.)
  7. Klasyfikacja incydentów poważnych (tj. incydentów, które powodują lub mogą spowodować poważne obniżenia jakości lub przerwani ciągłości świadczenia usługi kluczowej)
  8. Zgłaszanie incydentów poważnych właściwemu Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego.
  9. Powołanie wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.
  10. Przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
  1. Wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
  2. Zgłaszanie incydentów w podmiocie publicznym (tj. incydentów, które powodują lub mogą spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny) właściwemu Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego.
  3. Zapewnienie zarządzania incydentem w podmiocie publicznym (tj. zapewnienie obsługi incydentu, wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków wynikających z obsługi incydentu).
  4. Zapewnienie obsługi tj. czynności umożliwiających wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu w podmiocie publicznym i incydentu krytycznego (tj.  incydentu skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi).
  5. Zapewnienie  osobom, na rzecz których zdanie publiczne jest realizowane, dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowania skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową.

 

 

 

 

 

 

 

 

Ostatnie wpisy

Taryfy: co ze skróceniem taryf po okresie obowiązywania?

Analizy prawne

Mimo istotnej zmiany w polityce organów regulacyjnych na przestrzeni ostatnich miesięcy, cały...

14-03-2024

Czytaj więcej

Awaria instalacji wodociągowej - co z rozliczeniem za ścieki?

Orzecznictwo

Najczęściej spotykanymi w praktyce rozliczeń za wodę i ścieki są spory dotyczące ustalenia...

08-03-2024

Czytaj więcej

Ścieki przemysłowe - pozwolenie wodnoprawne warunkiem zawarcia umowy

Orzecznictwo

Przedsiębiorstwo wodociągowo–kanalizacyjne może uzależnić zawarcie umowy na odprowadzanie ścieków przemysłowych od uzyskania...

05-03-2024

Czytaj więcej