Od kilkunastu miesięcy coraz mocniej wybrzmiewa w dyskusjach i na konferencjach kwestia cyberbezpieczeństwa infrastruktury krytycznej na morzu. Z uwagi na powyższe warto przeanalizować, czy inwestycje związane z morską energetyką wiatrową na polskich obszarach morskich, a w szczególności ochrona tych obiektów, przygotowana jest na ewentualne ataki z przestrzeni cybernetycznej. Kluczowym zagadnieniem w tym zakresie analizy będzie to, czy i jakie służby kompetencyjnie są uprawnione do działań związanych z zapewnieniem cyberbezpieczeństwa m.in. MFW na polskich obszarach morskich.

Krajowy system cyberbezpieczeństwa bez definicji legalnej

Najważniejszym, z punktu widzenia zakresu tematycznego niniejszego artykułu, aktem prawnym jest ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913). To właśnie ten akt prawny określa organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu, sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy oraz zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. 

Co więcej, ten akty prawny wyznacza cel ogólny krajowego systemu cyberbezpieczeństwa jako zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów.

Istotnym zaznaczenia jest fakt, iż krajowy system cyberbezpieczeństwa nie został zdefiniowany w ustawie. 

Chcąc określić czym jest krajowy system cyberbezpieczeństwa należy się przede wszystkim zastanowić czemu ten system ma służyć. Na zasadzie analogi może posłużyć schemat definiowania systemu zastosowanym w Ustawie z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej (t.j. Dz. U. z 2022 r. poz. 2057). Otóż w myśl art. 2 pkt 4 tegoż aktu prawnego, ilekroć w ustawie jest mowa o krajowym systemie ratowniczo-gaśniczym, to należy przez to rozumieć integralną część organizacji bezpieczeństwa wewnętrznego państwa, obejmującą, w celu ratowania życia, zdrowia, mienia lub środowiska, prognozowanie, rozpoznawanie i zwalczanie pożarów, klęsk żywiołowych lub innych miejscowych zagrożeń; system ten skupia jednostki ochrony przeciwpożarowej, inne służby, inspekcje, straże, instytucje oraz podmioty, które dobrowolnie w drodze umowy cywilnoprawnej zgodziły się współdziałać w akcjach ratowniczych. 

Zestawiając powyższe z normami zawartymi w Ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa można wskazać, iż krajowy system cyberbezpieczeństwa jest integralną częścią krajowego systemu bezpieczeństwa oraz europejskiego systemu bezpieczeństwa sieci i systemów informacyjnych, wyodrębnioną w celu efektywnego (sprawnego, niezakłóconego) wykonywania zadań publicznych, usług kluczowych i usług cyfrowych poprzez ustalanie strategii i jej realizację, w której podmioty objęte systemem wypełniają przypisane im dla ochrony interesu publicznego obowiązki ustawowe.

Zakres podmiotowy krajowego systemu cyberbezpieczeństwa

Pomimo braku definicji legalnej krajowego systemu cyberbezpieczeństwa przytoczony powyżej akt prawny wskazuje podmioty objęte tymże systemem. W myśl przepisów krajowy system cyberbezpieczeństwa złożony jest m.in. z:

Tak mnogie wyliczenie podmiotów włączonych w system cyberbezpieczeństwa poprzez ich szczegółowe wyliczenie oraz przypisanie im rozmaitych uprawnień i obowiązków nie zaspokaja potrzeby czytelnej i zarazem funkcjonalnej struktury systemu. W tym celu należałoby określić:

Dokonanie takiego rozróżnienia jest trudne, bowiem podmioty administrujące występują zwykle w podwójnej roli – jako ponoszące odpowiedzialność za cyberbezpieczeństwo swoje i za bezpieczeństwo innych podmiotów.

Kto będzie odpowiedzialny za Cyberbezpieczeństwo MFW?

W myśl Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, organem administracji rządowej, odpowiedzialnym za cyberbezpieczeństwo w sektorze energii, jest minister właściwy ds. energii. Obecnie jest to Minister Klimatu i Środowiska, którego szczegółowy zakres działania, zgodnie z art. 33 ust. 1 pkt 1 ustawy o Radzie Ministrów (Dz. U. z 2022 r. poz. 1188), wynika z rozporządzenia Prezesa Rady Ministrów z dnia 27 października 2021 r. w sprawie szczegółowego zakresu działania Ministra Klimatu i Środowiska (Dz. U. poz. 1949) oraz rozporządzenia Rady Ministrów z dnia 10 listopada 2020 r. w sprawie przekształcenia Ministerstwa Klimatu i Środowiska (Dz. U. poz. 2005). Zgodnie z regulacjami zawartymi w tych rozporządzeniach, Minister Klimatu i Środowiska kieruje działami administracji rządowej – energia, klimat i środowisko. 

Analizując przepisy Ustawy o krajowym systemie cyberbezpieczeństwa, można zauważyć, iż Ustawodawca krajowy zdecydował się zatem na rozproszony model organów właściwych, w którym tę funkcję pełni kilka organów, zajmujących się sprawami merytorycznie odpowiadającymi specyfice działania operatorów usług kluczowych i dostawców usług cyfrowych.

Zastosowanie takiego modelu możliwe było na podstawie artykułu 8 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. U. UE. L. z 2016 r. Nr 194, str. 1; Dyrektywa NIS). 

W myśl bowiem tego przepisu  każde państwo członkowskie wyznacza jeden lub większą liczbę właściwych organów krajowych ds. bezpieczeństwa sieci i systemów informatycznych, obejmujących co najmniej sektory, o których mowa w załączniku II (sektor energii, transportu, bankowego i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji, infrastruktury cyfrowej, a także dostawców usług cyfrowych), i usługi, o których mowa w załączniku III (internetowa platforma handlowa, wyszukiwarka internetowa, usługa przetwarzania w chmurze). Należy w tym miejscu wskazać, iż zadania ministra ds. energii, w zakresie cyberbezpieczeństwa mają charakter administracyjny. Jest on bowiem na mocy ustawy o krajowym systemie cyberbezpieczeństwa, organem uprawnionym m.in. do:

Jak widać z przedstawionych powyżej zadań ministra ds. energii próżno szukać wśród nich zadań stricte związanych z reagowaniem na ataki z cyberprzestrzeni. To zostało pozostawione w gestii CSIRT GOV. To właśnie Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego, został uczynionym odpowiedzialnym za m.in.:

w zakresie jakim dotyczy to infrastruktury krytycznej, a więc i również MFW na polskich obszarach morskich, w momencie ich powstania.

Podsumowanie

Reasumując, należy wskazać, iż ponownie w tak newralgicznej sferze bezpieczeństwa gospodarki narodowej, jaką jest zapewnienie odpowiedniego poziomu cyberbezpieczeństwa infrastrukturze krytycznej na morzu dochodzi do zbyt dużego rozczłonkowania kompetencji oraz zadań organów administracji państwowej. 

Taki model funkcjonowania nieustannie grozi brakiem szybkiej oraz adekwatnej reakcji na zagrożenie pochodzące z przestrzeni cybernetycznej, której celem będzie infrastruktura na morzu. 

Mało tego ewidentnie widoczny jest brak pomysłu ustawodawcy na klasyfikacje zagrożeń z przestrzeni cybernetycznej oraz na wypracowanie modelu zapobiegającego ewentualnemu cyberatakowi na MFW, co powinno budzić niepokój biorąc pod uwagę ambitne plany w zakresie budowy MFW na polskich obszarach morskich w najbliższych latach.

Mateusz Romowicz – Radca Prawny
mgr Przemysław Niewiński – prawnik, konsultant kancelarii