W grudniu 2022 roku w UE została przyjęta dyrektywa NIS2, która – będąc rozwinięciem koncepcji pierwotnej dyrektywy NIS z 2016 r. – ma na celu zwiększenie poziomu cyberbezpieczeństwa w państwach członkowskich Unii Europejskiej. Pisałem o niej tutaj: dyrektywa NIS2 - nowe przepisy dot. cyberbezpieczeństwa.

Jednym z istotnych elementów NIS2 są regulacje dotyczące funkcjonowania CSIRTów, czyli organów, które mają przyjmować informacje o incydentach w zakresie cyberbezpieczeństwa.

Dyrektywa NIS2 wskazuje, że każde państwo członkowskie UE powinno powołać co najmniej 1 CSIRT. My mamy trzy, a będziemy mieli jeszcze więcej!

Uwaga! W Internecie można znaleźć informację o tym, że różne organizacje (np. firmy doradzające w zakresie IT) mają "swoje CSIRTy", za pomocą których świadczą różne usługi w zakresie cyberbezpieczeństwa, w tym obsługują incydenty. To nie są oficjalne CSIRTy, powołane na podstawie przepisów prawa. Korzystanie z usług takiego podmiotu nie zwalnia nas z ewentualnego obowiązku zgłoszenia incydentu do "prawdziwego" CSIRTu.

Czym zajmują się CSIRTy?

CSIRTy to wyspecjalizowane organy, które zajmują się kwestiami cyberbezpieczeństwa. Wbrew pozorom, ich kompetencje nie ograniczają się do przyjmowania informacji o incydentach.  Częścią ich zadań jest także współpraca z odpowiednimi ministerstwami oraz innymi organami zajmującymi się cyberbezpieczeństwem.

Przepisy ustawy o krajowym systemie cyberbezpieczeństwa (uwzględniając projekt zmian przepisów, który ma być uchwalony w związku z koniecznością dostosowania do przepisów dyrektywy NIS2) wskazują, że obowiązki CSIRTów to na przykład:

• monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym;

• szacowanie ryzyka związanego z ujawnionym cyberzagrożeniem oraz zaistniałymi incydentami, w tym zapewnianie podmiotom krajowego systemu cyberbezpieczeństwa dynamicznej analizy ryzyka;

• przekazywanie informacji dotyczących cyberzagrożeń, podatności, incydentów i ryzyk, wczesne ostrzeganie i alarmowanie podmiotów krajowego systemu cyberbezpieczeństwa;

• wydawanie komunikatów o zidentyfikowanych cyberzagrożeniach;

• reagowanie na zgłoszone incydenty;

• klasyfikowanie incydentów;

• przekazywanie do właściwego CSIRT informacji technicznych dotyczących incydentu, którego koordynacja obsługi wymaga współpracy;

• przeprowadzanie w uzasadnionych przypadkach badania urządzenia informatycznego lub oprogramowania w celu identyfikacji podatności;

• przekazywanie do innych państw informacji o incydentach;

• zapewnienie zaplecza analitycznego oraz badawczo-rozwojowego, które np. prowadzi analizy złośliwego oprogramowania i monitoruje wskaźniki zagrożeń cyberbezpieczeństwa,

• gromadzenie i analizowanie danych na potrzeby postepowań karnych,

• współpracę z sektorowymi i międzysektorowymi społecznościami podmiotów kluczowych i podmiotów ważnych,

• współpracę z krajowymi zespołami reagowania na incydenty bezpieczeństwa komputerowego z państw trzecich,

• udział we wdrażaniu bezpiecznych narzędzi wymiany informacji,

• prowadzenie działań na rzecz podnoszenia poziomu bezpieczeństwa systemów informacyjnych podmiotów krajowego systemu cyberbezpieczeństwa,

• promowanie, przyjmowanie i stosowanie wspólnych lub znormalizowanych praktyk, systemów klasyfikacji i systematyki związanych z procedurami obsługi incydentu, zarządzaniem kryzysowym, ujawnianiem podatności.

Jakie mamy CSIRTy w Polsce?

Przepisy ustawy o krajowym systemie cyberbezpieczeństwa, przyjętej w 2018 r., doprowadziły do utworzenia trzech CSIRTów: CSIRT GOV, CSIRT MON i CSIRT NASK.

Dodatkowo funkcjonowały sektorowe zespoły cyberbezpieczeństwa, które też były nazywane CSIRTami - np. CSIRT KNF.

"Domyślnym" podmiotem, który koordynuje przyjmowanie zgłoszeń o incydentach od podmiotów prywatnych jest CSIRT NASK i to on interesuje nas najbardziej.

CSIRT NASK działa w strukturach Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego. Koordynuje obsługę incydentów zgłaszanych np. przez:

• podmioty kluczowe i podmioty ważne (chyba, że dany podmiot podlega pod inny CSIRT) - w praktyce oznacza to, że większość podmiotów prywatnych właśnie tam będzie zgłaszać incydent,

• jednostki samorządu terytorialnego i ich związki, związki metropolitarne,

• samodzielne publiczne zakłady opieki zdrowotnej,

• uczelnie publiczne, Polską Akademię Nauk i tworzone przez nią jednostki organizacyjne,

• jednostki podległe organom administracji rządowej lub przez nie nadzorowane (za wyjątkiem tych podległych Prezesowi Rady Ministrów lub przez niego nadzorowanych),

• instytuty badawcze,

• różne urzędy i agencje, takie jak Urząd Dozoru Technicznego, Centrum Łukasiewicz, Polskie Centrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej,

• spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej,

• osoby fizyczne.

Ponadto CSIRT NASK odpowiada za:

• tworzenie i udostępnianie narzędzi dobrowolnej współpracy i wymiany informacji o zagrożeniach cyberbezpieczeństwa i incydentach,

• zapewnienie obsługi linii telefonicznej lub serwisu internetowego prowadzących działalność w zakresie zgłaszania i analizy przypadków dystrybucji, rozpowszechniania lub przesyłania pornografii dziecięcej przez Internet,

• monitorowanie występowania smishingu oraz tworzenie wzorca wiadomości wyczerpującej znamiona smishingu,

• prowadzenie i udostępnianie na swojej stronie internetowej wykazu nazw oraz ich skrótów zastrzeżonych dla podmiotów publicznych jako nadpis wiadomości pochodzącej od podmiotu publicznego oraz wariantów tych nazw i skrótów mogących wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego.

Tak jak napisałem powyżej, w Polsce funkcjonuje też:

CSIRT MON - czyli Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego prowadzony przez Ministra Obrony Narodowej, który odpowiada za sektor wojskowy. Funkcjonuje on w ramach Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni. Zadaniem CSIRT MON jest koordynacja obsługi incydentów zgłaszanych przez:

• podmioty podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane,

• przedsiębiorcy realizujący zadania na rzecz Sił Zbrojnych (w tym podmioty ważne lub kluczowe).

CSIRT GOV - prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego. Zespół ten koordynuje obsługę incydentów zgłaszanych np. przez:

• organy władzy publicznej, ZUS i zarządzanie przez niego fundusze, KRUS oraz NFZ,

• jednostki podległe Prezesowi Rady Ministrów lub przez niego nadzorowane,

• Narodowy Bank Polski,

• Komisję Nadzoru Finansowego,

• Bank Gospodarstwa Krajowego,

• Polski Fundusz Rozwoju.

Zmiany krajowych przepisów dot. cyberbezpieczeństwa oznaczają więcej CSIRTów

Zgodnie z projektem nowych przepisów zmieniających ustawę o krajowym systemie cyberbezpieczeństwa, sektorowe zespoły cyberbezpieczeństwa również staną się CSIRTami - tzw. CSIRTami sektorowymi. Ich kompetencje będą nieco mniejsze niż CSIRT NASK/GOV/MON, ale też będą miały swój udział w budowie systemu cyberbezpieczeństwa w Polsce. Taki CSIRT sektorowy będzie tworzony przez ministra odpowiedzialnego za dany sektor gospodarki.

Co jeszcze zmieni się w funkcjonowaniu CSIRTów?

Novum stanowi wprowadzenie do ustawy instytucji oceny bezpieczeństwa. Każdy z wyżej opisanych CSIRTów, w tym również CSIRT sektorowy może przeprowadzić ocenę bezpieczeństwa systemów informatycznych wykorzystywanych przez podmioty krajowego systemu cyberbezpieczeństwa. Ocena ta polega na przeprowadzeniu testów bezpieczeństwa systemu informacyjnego w celu identyfikacji podatności tego systemu.

Zainteresował Cię temat dyrektywy NIS2? Jeżeli masz jakieś wątpliwości, pytania lub potrzebujesz innej pomocy, związanej z dostosowaniem swojej organizacji do przepisów NIS2, skontaktuj się z nami. Możesz to zrobić, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego na www.bytelaw.pl.