CSIRT i CERT

Ramy prawne dla zespołów CSIRT/CERT w Republice Czeskiej są częściowo określone w ustawie o cyberbezpieczeństwie. Ustawa określa warunki istnienia krajowych i rządowych zespołów CSIRT/CERT, ale z drugiej strony nie ogranicza możliwości tworzenia i istnienia innych zespołów CSIRT/CERT.

Na podstawie ustawy o cyberbezpieczeństwie w Republice Czeskiej obowiązkowo powoływane są dwa zespoły CERT/CSIRT: krajowy i rządowy. Każdy z tych zespołów ma ściśle określone prawa i obowiązki (§ 17 i nast. ustawy o zespołach CERT).

Zespoły, których kompetencje są określone w ustawie o bezpieczeństwie cybernetycznym, są zobowiązane do przestrzegania ograniczeń określonych w tej ustawie.

3.1.1    Krajowy CERT

Krajowy zespół CERT jest określony w rozdziale 17 CCC. Równocześnie stwierdza się, że:

(1) Krajowy zespół CERT, w zakresie określonym w niniejszej ustawie, zapewnia wymianę informacji na poziomie krajowym i międzynarodowym w dziedzinie cyberbezpieczeństwa.

(2) Operator krajowego zespołu CERT

a)    otrzymuje powiadomienia o danych kontaktowych od organów i osób, o których mowa w § 3 lit. a), b) i h), oraz rejestruje i przechowuje te dane,

b)    przyjmuje zgłoszenia incydentów związanych z bezpieczeństwem cybernetycznym od organów i osób, o których mowa w § 3 lit. b) i h), oraz rejestruje, przechowuje i chroni te dane,

c)    ocenia incydenty związane z bezpieczeństwem cybernetycznym, w które zaangażowane są organy i osoby, o których mowa w § 3 lit. b) i h),

d)    zapewnia wsparcie metodologiczne, pomoc i współpracę organom i osobom, o których mowa w § 3 lit. a), b) i h), w przypadku incydentu związanego z bezpieczeństwem cybernetycznym,

e)    pełnieni funkcję punktu kontaktowego dla organów i osób, o których mowa w § 3 lit. a), b) i h),

f)     przeprowadza oceny podatności na zagrożenia bezpieczeństwa cybernetycznego,

g)    przekazuje do Urzędu dane dotyczące incydentów naruszenia bezpieczeństwa cybernetycznego zgłoszonych zgodnie z sekcją 8 ust. 3, bez określania podmiotu zgłaszającego,

h)    przekazuje EBA, na jego wniosek, dane, o których mowa w art. 16 ust. 5 i 6,

i)     pełni rolę CSIRT zgodnie z odpowiednim rozporządzeniem Unii Europejskiej[1] ,

j)     informuje właściwy organ innego państwa członkowskiego, bez wskazywania zgłaszającego, o incydencie zagrażającym bezpieczeństwu cybernetycznemu, który ma znaczący wpływ na ciągłość świadczenia usługi podstawowej lub cyfrowej w tym państwie członkowskim, i jednoczesne poinformowanie o tym Urzędu, przy jednoczesnym zachowaniu bezpieczeństwa i interesów handlowych zgłaszającego,

k)    współpracuje z CSIRT innych państw członkowskich; oraz

l)     otrzymuje zgłoszenia incydentów w zakresie bezpieczeństwa cybernetycznego od organów i osób niewymienionych w sekcji 3 oraz, jeśli pozwalają na to jego możliwości, przetwarza je i zapewnia wsparcie metodologiczne, pomoc i współpracę organom lub osobom, których dotyczy incydent w zakresie bezpieczeństwa cybernetycznego.

(3) Operator krajowego zespołu CERT może również prowadzić we własnym imieniu i na własną odpowiedzialność inną działalność gospodarczą w zakresie cyberbezpieczeństwa nieuregulowaną w niniejszej ustawie, pod warunkiem że działalność ta nie zakłóca wypełniania obowiązków, o których mowa w ust. 2.

(4) Operator krajowego zespołu CERT koordynuje swoje działania z Urzędem w zakresie wykonywania obowiązków, o których mowa w ust. 2.

(5) Operator krajowego CERT działa bezstronnie, wykonując swoje obowiązki na mocy podsekcji 2.

Przepis ten definiuje instytucję krajowego centrum nadzoru, dla którego w przepisach stosuje się skrót krajowy CERT, oraz określa jego działalność. Ustawa przewiduje, że krajowy CERT będzie obsługiwany, co do zasady, przez podmiot prawa prywatnego, który zawrze umowę publicznoprawną z NSA i będzie służył głównie jako wspólny punkt kontaktowy i koordynacyjny dla osób zobowiązanych prawa prywatnego. Dostawcy usług łączności elektronicznej, podmioty udostępniające sieci łączności elektronicznej oraz podmioty udostępniające istotne sieci będą realizować ustawowy obowiązek powiadamiania krajowego centrum monitorowania.

Standardowy model prawa prywatnego dotyczący wykonywania funkcji przez krajowy CERT ułatwia komunikację między krajowym CERT a zobowiązanymi podmiotami, wykorzystując go jako obowiązkowy punkt kontaktowy. W istocie osoby te będą miały zazwyczaj charakter prywatnoprawny. Krajowy CERT będzie mógł także uczestniczyć w międzynarodowych sieciach podobnych krajowych punktów monitorowania prawa prywatnego i korzystać z wiedzy, która jest w nich nieformalnie przekazywana.

Domniemany prywatnoprawny charakter krajowego CERT jest właściwy ze względu na znaczenie i cel ustawy, także dlatego, że operator krajowego CERT może, jeżeli jest osobą prawa prywatnego, podejmować inicjatywę zmierzającą do osiągnięcia celu ustawy także za milczącym przyzwoleniem, tj. poprzez każde działanie ze swej prywatnej woli, które nie narusza obowiązku prawnego. W ten sposób operator krajowego CERT będzie mógł np. udzielać pomocy metodycznej i informacyjnej podmiotom spoza zakresu podmiotowego ustawy, tj. osobom spoza definicji poszczególnych kategorii osób zobowiązanych, które wyrażą zainteresowanie taką pomocą. Krajowy CERT będzie mógł również rozwijać własną działalność edukacyjną, wydawniczą, badawczą, rozwojową itp. Warunkiem ograniczającym działalność inicjatywną krajowego zespołu CERT dla osiągnięcia celu ustawy jest nieograniczone wypełnianie przez nie obowiązków enumeratywnie wymienionych w ustawie.

W § 17 ust. 2 lit. a), b), d) i e)

Dostawcy usług cyfrowych są dodawani do podmiotów, z którymi komunikuje się i współpracuje narodowy operator CERT.

W sprawie § 17 ust. 2 lit. c)

Dostawców usług cyfrowych dodaje się do podmiotów, z którymi współpracuje operator krajowego zespołu CERT, w tym przypadku przy ocenie incydentów związanych z bezpieczeństwem cybernetycznym. Przepis ten jest odwrotny do przepisu, który nakłada na dostawców usług cyfrowych obowiązek zgłaszania incydentów związanych z bezpieczeństwem cybernetycznym do krajowego operatora CERT.

W sprawie § 17 ust. 2 lit. g)

Jest to zmiana brzmienia przepisu i wyraźne zastosowanie obowiązku informacyjnego do incydentów zgłaszanych przez podmioty zobowiązane.

W sprawie § 17 ust. 2 lit. h)

Doprecyzowano brzmienie przepisu i usunięto ograniczenie dotyczące sytuacji, w których krajowy CERT przekazuje Urzędowi dane kontaktowe osób zobowiązanych.

W § 17 ust. 2 lit. i)-l)

Krajowy Zespół Reagowania na Incydenty Komputerowe (CERT) zyskuje nowe kompetencje i związane z nimi obowiązki w oparciu o dyrektywę zawartą w tym przepisie. Przepis ten jest ściśle związany z sekcją 8, która m.in. reguluje kwestię zgłaszania incydentów związanych z bezpieczeństwem cybernetycznym, które mają wpływ na system informatyczny dostawcy usług cyfrowych. W tym zakresie CERT krajowy jest m.in. wyznaczony jako jeden z CSIRT-ów (Computer Security Incident Response Team) w Republice Czeskiej; CERT rządowy (Narodowe Centrum Cyberbezpieczeństwa, które jest częścią BBN) jest drugim CSIRT-em w rozumieniu dyrektywy dla incydentów przeciwko bezpieczeństwu sieci i systemów informatycznych wyznaczonych operatorów usług podstawowych.

CSIRT-y muszą spełniać wymagania Załącznika I Dyrektywy, co w przypadku krajowego CERT prowadzonego przez CZ.NIC jest spełnione zarówno przez wymagania dla operatora krajowego CERT określone w art. 18 Ustawy, jak i przez treść zamówienia publicznego zawartego z NSA na podstawie art. 19. Zgodnie z ust. 1 tego przepisu umowa ta ma zapewnić realizację działań określonych w sekcji 17, tj. także nowych wymagań wynikających z dyrektywy.

Zgodnie z dyrektywą, zadania CSIRT są następujące:

Krajowy CERT: przyjmuje zgłoszenia incydentów naruszenia bezpieczeństwa cybernetycznego, ocenia je, zapewnia wsparcie metodologiczne, pomoc i współpracę zainteresowanym podmiotom, pełni rolę punktu kontaktowego, przeprowadza oceny podatności na zagrożenia bezpieczeństwa cybernetycznego, przekazuje dane o incydentach do KWB, pełni rolę CSIRT zgodnie z dyrektywą, współpracuje z innymi CSIRT, komunikuje się z właściwymi organami innych państw członkowskich i wreszcie przyjmuje dobrowolne zgłoszenia incydentów naruszenia bezpieczeństwa cybernetycznego. Spełnia zatem wymagania określone w Załączniku I do Dyrektywy:

·       Monitorowanie incydentów na poziomie krajowym - § 17 ust. 2 lit. b), c), l)

·       Wydawanie wczesnych ostrzeżeń i alarmów, powiadamianie i rozpowszechnianie informacji o zagrożeniach i incydentach wśród odpowiednich zainteresowanych stron - § 17 ust. 2 lit. d), e), g), j)

·       Reagowanie na incydenty - § 17(2)(c), (d)

·       Zapewnienie dynamicznej analizy ryzyka i incydentów oraz świadomości sytuacyjnej - § 17 ust. 2 lit. f)

·       Udział w sieci CSIRT - według uznania operatora krajowego CERT, patrz dalej komentarz do § 20.

Obowiązek powołania co najmniej jednego zespołu bezpieczeństwa typu CSIRT odpowiedzialnego za zarządzanie ryzykiem i obsługę incydentów według ściśle określonych procedur i spełniającego wymagania dla zespołów bezpieczeństwa typu CSIRT wynika z art. 9 ust. 1 NIS.

Dyrektywa NIS stanowi, że ten obowiązkowy zespół musi obejmować co najmniej sektory wymienione w załączniku II (rodzaje podmiotów) oraz usługi wymienione w załączniku III (rodzaje usług cyfrowych).

W załączniku I do dyrektywy NIS określono zadania i wymogi dla CSIRT. Do zadań i obowiązków tych osób, zgodnie z załącznikiem I do NIS, należy:

1.     Wymagania dla zespołów CSIRT

·       CSIRT-y będą dbać o to, aby w ich usługach komunikacyjnych nie było punktów krytycznych (pojedynczych punktów awarii), aby usługi te były szeroko dostępne i aby istniało wiele sposobów kontaktowania się z innymi oraz aby w każdej chwili można było się z nimi skontaktować. Ponadto kanały komunikacji muszą być jasno określone i dobrze znane współpracującym partnerom oraz podmiotom wchodzącym w skład zespołów.

·       CSIRT-y i wspierające je systemy informacyjne znajdują się w bezpiecznym miejscu.

·       Ciągłość działania:

o   CSIRT-y są wyposażone w odpowiednie systemy zarządzania wnioskami i routingu, aby ułatwić przekazywanie informacji,

o   Zespoły CSIRT są odpowiednio obsadzone, aby były dostępne przez cały czas,

o   CSIRT-y muszą pracować z infrastrukturą, której ciągłość działania jest zagwarantowana. W tym celu muszą być dostępne systemy i lokalizacje zapasowe.

·       CSIRT-y muszą mieć możliwość uczestniczenia w międzynarodowych sieciach współpracy, jeśli chcą być ich częścią.

2.     Zadania CSIRT-ów

·       Do zadań CSIRT-ów należy co najmniej:

·       CSIRT-y nawiązują współpracę z sektorem prywatnym.

·       Aby ułatwić współpracę, CSIRT-y promują przyjęcie i stosowanie wspólnych lub standardowych procedur w terenie:

Stowarzyszenie CZ.NIC prowadzi narodowy zespół CSIRT Republiki Czeskiej - CSIRT.CZ (więcej szczegółów na stronie https://csirt.cz/).

W sprawie ustępów 1), 2) i 4)

Zgodnie z ustawą o bezpieczeństwie cybernetycznym, operator krajowego zespołu CERT:

·       otrzymuje powiadomienia o danych kontaktowych od organów i osób, o których mowa w § 3 lit. a), b) i h) ZoKB, oraz rejestruje i przechowuje te dane,

·       odbiera od organów i osób, o których mowa w § 3 (b) i (h) KK, zgłoszenia dotyczące incydentów bezpieczeństwa cybernetycznego oraz rejestruje, przechowuje i chroni te dane,

·       ocenia incydenty związane z bezpieczeństwem cybernetycznym w organach i u osób, o których mowa w § 3 lit. b) i h) KSH,

·       zapewnia wsparcie metodyczne, pomoc i współpracę organom i osobom, o których mowa w § 3 (a), (b) i (h) KK, w przypadku incydentu związanego z cyberbezpieczeństwem,

·       działa jako punkt kontaktowy dla organów i osób, o których mowa w § 3 lit. a), b) i h) ZOKB,

·       przeprowadza oceny podatności na zagrożenia bezpieczeństwa cybernetycznego,

·       przekazuje dane dotyczące incydentów naruszenia bezpieczeństwa cybernetycznego zgłaszanych zgodnie z art. 8 ust. 3 u.o.k.k., bez podawania podmiotu zgłaszającego,

·       przekazuje NUCIB na żądanie dane kontaktowe, o których mowa w pkt 16(5) i (6) ZoKB,

·       pełni rolę CSIRT zgodnie z dyrektywą NIS,

·       informuje właściwy organ innego państwa członkowskiego, bez wskazywania zgłaszającego, o incydencie zagrażającym bezpieczeństwu cybernetycznemu, który ma znaczący wpływ na ciągłość świadczenia usługi podstawowej lub cyfrowej w tym państwie członkowskim, mając na uwadze bezpieczeństwo i interesy handlowe zgłaszającego,

·       współpracuje z CSIRT-ami innych państw członkowskich,

·       otrzymuje zgłoszenia incydentów w zakresie bezpieczeństwa cybernetycznego od innych osób niewymienionych w sekcji 3 CCC i, jeśli pozwalają na to jego możliwości, przetwarza je oraz zapewnia wsparcie metodologiczne, pomoc i współpracę organom lub osobom, których dotyczy incydent w zakresie bezpieczeństwa cybernetycznego.

CZ.NIC jest zobowiązana do koordynowania działań krajowego zespołu CSIRT z działaniami NUCIB, zgodnie z § 17 ust. 4 ZOKB.

Oprócz obowiązków wyraźnie określonych w ustawie o bezpieczeństwie cybernetycznym, CSIRT Narodowy wyznaczył sobie inne zadania[4] , w tym:

·       Powiadomienie o zakażeniu w domenie .CZ

CSIRT.CZ opracował tracker open source do celów centralnego monitorowania i rozwiązywania zagrożeń w domenie drugiego poziomu: Malicious Domain Manager.

Aplikacja służy jako centralny punkt gromadzenia i analizowania informacji o złośliwych adresach URL w domenie .CZ.

Aplikacja obsługuje historię zagrożeń w danej domenie oraz bezpośredni kontakt z posiadaczem zagrożenia. Kontakt z właścicielami domen odbywa się za pośrednictwem dedykowanego adresu malware@nic.cz.

·       Skaner internetowy

W przypadku organizacji non-profit i sektora publicznego podstawową usługą są bezpłatne testy penetracyjne witryn internetowych. Testowanie składa się z testów automatycznych i ręcznych, których celem jest znalezienie słabych punktów w zabezpieczeniach aplikacji. Każda nieprawidłowość w zakresie bezpieczeństwa jest oznaczona szacunkowym poziomem potencjalnego ryzyka i zawiera opis zaleceń dotyczących potencjalnych poprawek.

Więcej informacji można znaleźć na stronie https://www.skenerwebu.cz.

·       Edukacja i wykłady

We współpracy z Akademią CZ.NIC regularnie prowadzone są szkolenia Bezpieczeństwo komputerowe w praktyce oraz Podstawy funkcjonowania zespołu CSIRT. CSIRT.CZ prowadzi również specjalistyczne kursy dla sił bezpieczeństwa, instytucji państwowych i edukacyjnych oraz wykłady ad hoc.

·       Pomoc w utworzeniu zespołu CERT/CSIRT

·       Grupy robocze

Zespół CSIRT.CZ organizuje regularne spotkania zespołów ds. bezpieczeństwa i członków społeczności bezpieczeństwa w Republice Czeskiej.

·       Testy warunków skrajnych

Po atakach DDoS w 2013 roku, których celem były ważne usługi w Republice Czeskiej, Laboratoria CZ.NIC przygotowały testy warunków skrajnych o takiej samej i większej intensywności jak wspomniane wyżej ataki DDoS. We współpracy z CSIRT.CZ usługa ta jest świadczona bezpłatnie wszystkim zainteresowanym osobom, które spełniają wymagania wstępne.

·       System wykrywania włamań

We współpracy z CESNET CSIRT.CZ prowadzi system, który wykrywa podejrzane zachowania systemów podłączonych do Internetu.

W przypadku podejrzanych prób połączeń z określonych adresów IP, odpowiedzialni administratorzy są natychmiast informowani o takich zdarzeniach (poprzez adres e-mail ids@csirt.cz).

·       Działanie honeypotów

W ramach badań nad bezpieczeństwem CSIRT.CZ prowadzi szereg honeypotów we współpracy z Laboratoriami CZ.NIC. W ramach projektu Honeynet na stronie https://honeymap.cz można znaleźć wizualizacje ataków w czasie rzeczywistym. Analizowane są nowo przechwycone próbki złośliwego oprogramowania.

·       PROKI

Wysyłanie informacji o incydentach bezpieczeństwa pochodzących z zakresu czeskich adresów IP.

W sprawie ustępów 3) i 5)

Postanowienia art. 17 ust. 2 ZOKB umożliwiają CZ.NIC prowadzenie we własnym imieniu i na własną odpowiedzialność innej działalności gospodarczej w zakresie cyberbezpieczeństwa, która nie jest bezpośrednio uregulowana w ustawie o cyberbezpieczeństwie. Warunkiem jest jednak, aby ta inna działalność gospodarcza nie przeszkadzała w wykonywaniu zadań krajowego CSIRT.

Stowarzyszenie CZ.NIC jest zobowiązane do bezstronnego działania podczas pełnienia obowiązków krajowego zespołu CSIRT.

Zgodnie z postanowieniami § 18 ZOKB operatorem krajowego CERT może zostać wyłącznie osoba prawna,

a)    która spełnia warunki określone w ust. 2 oraz

b)    z którą Organizacja zawarła umowę o charakterze publicznoprawnym zgodnie z sekcją 19.

(2) Operatorem krajowego CERT może być wyłącznie osoba prawna, która

a)    nie prowadzi ani nie prowadziła działalności sprzecznej z interesem Republiki Czeskiej w rozumieniu przepisów o ochronie informacji niejawnych,

b)    obsługuje systemy informatyczne lub usługi i sieci łączności elektronicznej lub zarządza nimi[5] lub uczestniczy w ich obsłudze i zarządzaniu przez co najmniej 5 lat,

c)    ma wykształcenie techniczne w zakresie bezpieczeństwa cybernetycznego,

d)    jest członkiem międzynarodowej organizacji działającej w dziedzinie cyberbezpieczeństwa,

e)    nie ma żadnych zaległości podatkowych zarejestrowanych w ewidencji podatkowej Administracji Finansowej Republiki Czeskiej lub Administracji Celnej Republiki Czeskiej ani w ewidencji podatków, składek na ubezpieczenie społeczne i składek na powszechne ubezpieczenie zdrowotne,

f)     nie została prawomocnie skazany za przestępstwo, o którym mowa w art. 7 ustawy o odpowiedzialności karnej osób prawnych i postępowaniu wobec nich,

g)    nie jest osobą zagraniczną w rozumieniu jakiegokolwiek innego prawa; oraz

h)    nie została ustanowiona lub powołana wyłącznie dla zysku; pozostaje to bez uszczerbku dla możliwości postępowania operatora krajowego CERT zgodnie z art. 17 ust. 3.

(3) Wnioskodawca wykazuje zgodność z warunkami, przedkładając

a)    oświadczenie pisemne w przypadku ust. 2 lit. a)-d), g) i h); oraz

b)    potwierdzenie przez Administrację Finansową Republiki Czeskiej i Administrację Celną Republiki Czeskiej w przypadku ustępu 2 lit. e).

(4) Z treści oświadczenia, o którym mowa w ust. 3 lit. a), musi jasno wynikać, że oferent spełnia odpowiednie wymagania. Potwierdzenie, o którym mowa w ust. 3 lit. b), że wnioskodawca nie ma zaległości podatkowych zarejestrowanych w organach Administracji Finansowej Republiki Czeskiej lub organach Administracji Celnej Republiki Czeskiej, lub w rejestrach podatków, składek na ubezpieczenie społeczne i składek na publiczne ubezpieczenie zdrowotne, nie może być starsze niż 30 dni. W celu udowodnienia warunku, o którym mowa w ust. 2 lit. f), Urząd występuje o wyciąg z rejestru karnego na podstawie innego przepisu prawnego[6] .

(5) Operator krajowego CERT wykonuje czynności, o których mowa w art. 17 ust. 2 lit. a)-c), e) oraz g)-l), nieodpłatnie. Operator krajowego CERT ponosi koszty niezbędne do prawidłowego i efektywnego wykonywania czynności, o których mowa w art. 17 ust. 2.

(6) Urząd publikuje na swojej stronie internetowej szczegółowe informacje dotyczące operatora krajowego CERT, a mianowicie jego nazwę lub nazwę handlową, adres siedziby, osobisty numer identyfikacyjny, identyfikator skrzynki danych oraz adres strony internetowej.

Przepis ten określa ogólne warunki wyboru operatora krajowego zespołu CERT. Jednocześnie reguluje sposób ustanowienia obowiązku prowadzenia krajowego CERT w formie zamówienia publicznego zawieranego z NSA. Zastosowanie instytucji umowy prawa publicznego odpowiada założeniu, że operatorem krajowego CERT będzie osoba prawa prywatnego. Chociaż obowiązki operatora krajowego CERT w zakresie wykonywania działań, o których mowa w niniejszej ustawie, mają w przeważającej mierze charakter prywatnoprawny, to w odniesieniu do dostawców usług łączności elektronicznej, podmiotów udostępniających sieci łączności elektronicznej oraz podmiotów udostępniających istotne sieci operator krajowego CERT będzie pełnił rolę podmiotu, poprzez którego działania osoby zobowiązane wypełniają niektóre ze swoich obowiązków prawnych, zazwyczaj obowiązek zgłaszania danych teleadresowych, a w przypadku podmiotów udostępniających istotne sieci również obowiązek zgłaszania wystąpienia incydentów naruszenia bezpieczeństwa cybernetycznego.

Ponieważ krajowy CERT jest miejscem pracy o dużym znaczeniu dla systemu bezpieczeństwa cybernetycznego Republiki Czeskiej, jego operator musi mieć siedzibę w Republice Czeskiej. W związku z tym, biorąc pod uwagę stopień narażenia krajowego zespołu CERT na zagrożenia bezpieczeństwa, wymóg ten nie może być postrzegany jako dyskryminujący osoby mające siedzibę w innych państwach członkowskich UE. Uczciwość, przejrzysta struktura własności oraz brak zaległych zobowiązań finansowych wobec państwa to standardowe warunki formalne wymagane w przypadku współpracy między państwem a podmiotem prawa prywatnego. Ustawa formułuje również materialne warunki pełnienia funkcji operatora krajowego CERT, wymagając od operatora krajowego CERT wykazania się umiejętnościami merytorycznymi, doświadczeniem i zdolnością techniczną do wykonywania czynności nałożonych na niego tą ustawą, a także zdolnością do współpracy z podmiotami zagranicznymi działającymi w obszarze cyberbezpieczeństwa. Ustawa wymaga ponadto, aby operator krajowego CERT wykonywał czynności powierzone mu tą ustawą w sposób bezstronny, bez względu na jakiekolwiek stosunki umowne lub inne, jakie mogą go łączyć z podmiotami zobowiązanymi.

W § 18 ust. 5

Przepis ten jest odpowiedzią na rozszerzenie kompetencji krajowego operatora CERT w § 17 i odpowiednio rozszerza zakres działań, które krajowy operator CERT wykonuje nieodpłatnie.

W § 18 ust. 5

Zmiana legislacyjna i techniczna związana z rozszerzeniem kompetencji krajowego operatora CERT. W celu zapewnienia spójnego wypełniania obowiązków wynikających z dyrektywy, a następnie z ustawy o cyberbezpieczeństwie, zapisano obowiązek wydatkowania przez krajowy CERT odpowiednich środków finansowych w celu zapewnienia realizacji swoich kompetencji.

W sprawie ustępów 1) i 2)

Operatorem narodowego zespołu CERT jest stowarzyszenie CZ.NIC.

W § 18 ZoKB określono warunki, na jakich podmiot może zostać operatorem krajowego CERT.

Operatorem krajowego CERT może być wyłącznie osoba prawna[7] , z którą NUCIB (lub wcześniej NSA) zawarł umowę o zamówienie publiczne[8] (zgodnie z § 19 ZoKB), i która spełnia następujące warunki:

a)    nie prowadzi ani nie prowadziła działalności sprzecznej z interesem Republiki Czeskiej w rozumieniu przepisów o ochronie informacji niejawnych,

Zgodnie z art. 2 lit. b) ZOUI "interesami Republiki Czeskiej są: zachowanie jej konstytucyjności, suwerenności i integralności terytorialnej, utrzymanie porządku i bezpieczeństwa wewnętrznego, zobowiązań międzynarodowych i obronności, ochrona gospodarki oraz ochrona życia lub zdrowia osób fizycznych".

b)    obsługuje systemy informatyczne lub usługi i sieci łączności elektronicznej, zarządza nimi lub uczestniczy w ich obsłudze i zarządzaniu przez co najmniej 5 lat,

c)    ma wykształcenie techniczne w zakresie bezpieczeństwa cybernetycznego,

d)    jest członkiem międzynarodowej organizacji działającej w dziedzinie cyberbezpieczeństwa,

Wymóg obsługi jednego z systemów wymienionych w lit. c), posiadania kwalifikacji technicznych w dziedzinie bezpieczeństwa cybernetycznego oraz członkostwa w międzynarodowej organizacji działającej w dziedzinie bezpieczeństwa cybernetycznego daje państwu gwarancję, że dana osoba zajmowała się bezpieczeństwem cybernetycznym, reagowaniem na incydenty itp. przez wystarczająco długi okres czasu i na wysokim poziomie. De facto jest to wykazanie faktycznych umiejętności, doświadczenia i zdolności technicznych do wykonywania czynności nałożonych na niego przez CCB.

e)    nie ma żadnych zaległości podatkowych zarejestrowanych w ewidencji podatkowej Administracji Finansowej Republiki Czeskiej lub Administracji Celnej Republiki Czeskiej ani w ewidencji podatków, składek na ubezpieczenie społeczne i składek na powszechne ubezpieczenie zdrowotne,

f)     nie została prawomocnie skazany za przestępstwo, o którym mowa w art. 7 ustawy o odpowiedzialności karnej osób prawnych i postępowaniu wobec nich,

Brak zaległych zobowiązań finansowych wobec państwa, a także dowód uczciwości, to standardowy wymóg formalny przy zawieraniu umowy w przypadku współpracy między państwem a podmiotem prawa prywatnego.

Artykuł 18 ust. 2 lit. f) ustawy o bezpieczeństwie cybernetycznym jest niezgodny ze stanem faktycznym ze względu na zmianę ustawy nr 418/2011 Coll. w sprawie odpowiedzialności karnej osób prawnych i postępowania przeciwko nim. W rozdziale 7 ustawy określono przestępstwa, które mogą być popełniane przez osoby prawne. W obecnie obowiązującym ustawodawstwie rozdział 7 zawiera negatywną definicję przestępstw.

Paragraf 7 TOPO (z mocą obowiązującą od 1 grudnia 2016 r.) stanowi, że osoba prawna może zostać pociągnięta do odpowiedzialności karnej za popełnienie wszystkich przestępstw, z wyjątkiem tych wymienionych wyczerpująco w tym przepisie.

Poza określeniem zakresu przestępstw, w przypadku odpowiedzialności karnej osób prawnych należy również zająć się kwestią przypisywalności. Mimo że osoba prawna jest konstrukcją fikcyjną, prawo generalnie uznaje w odniesieniu do osób prawnych ich zdolność do działania zgodnie z prawem (tj. także niezgodnie z prawem), w tym do przypisywania winy. Wina jako warunek odpowiedzialności karnej jest przypisywana osobie prawnej, jeśli wystąpiły okoliczności określone w art. 8 ust. 2 Ustawy o odpowiedzialności karnej osób prawnych.

Zgodnie z art. 8 ust. 1 ustawy o TOPO, przestępstwem popełnionym przez osobę prawną jest czyn bezprawny popełniony w jej interesie lub w ramach jej działalności, jeśli osoba ta działała w taki sposób, że

a)    organu statutowego lub członka organu statutowego, lub innej osoby zajmującej kierownicze stanowisko w ramach podmiotu prawnego, która jest upoważniona do działania w imieniu lub na rzecz podmiotu prawnego,

b)    osoba pełniąca funkcję kierowniczą w danej osobie prawnej, która wykonuje czynności zarządcze lub kontrolne na rzecz tej osoby prawnej, nawet jeśli nie jest ona osobą, o której mowa w punkcie (a),

c)    osoba, która ma decydujący wpływ na zarządzanie osobą prawną, jeśli jej zachowanie było przynajmniej jednym z warunków wystąpienia skutku powodującego odpowiedzialność karną osoby prawnej, lub

d)    pracownik lub osoba na podobnym stanowisku (dalej zwana "pracownikiem") w ramach wykonywania swoich obowiązków, nawet jeśli nie jest to osoba, o której mowa w lit. a)-c),

jeśli osobę prawną można przypisać postępowaniu wyżej wymienionej osoby zgodnie z sekcją 8(2) TOPO.

g)    nie jest osobą zagraniczną na podstawie innych przepisów prawnych,

Zgodnie z § 3024 Kodeksu cywilnego osobą zagraniczną jest osoba fizyczna zamieszkująca lub osoba prawna mająca siedzibę poza Republiką Czeską.

Ze względu na znaczenie krajowego zespołu CERT w dziedzinie cyberbezpieczeństwa Republiki Czeskiej wymagane jest, aby operator tego zespołu znajdował się w Republice Czeskiej. Wymóg ten nie może być postrzegany jako dyskryminacja wobec innych osób mających siedzibę w innym państwie członkowskim Unii.

h)    nie została ustanowiona lub powołana wyłącznie w celu osiągnięcia zysku; nie narusza to możliwości postępowania operatora krajowego CERT zgodnie z art. 17 ust. 3 ZOKB.

W sprawie ustępów 3) i 4)

Osoba prawna, która chce zostać operatorem krajowego CERT, musi udowodnić spełnienie warunków, przedkładając oświadczenie (w przypadku § 18 ust. 2 lit. a)-d), g), h) RWKC) oraz zaświadczenie z Administracji Finansowej Republiki Czeskiej i Administracji Celnej Republiki Czeskiej (w przypadku § 18 ust. 2 lit. e) RWKC).

Z treści oświadczenia musi jasno wynikać, że oferent spełnia odpowiednie wymagania. Potwierdzenie, że oferent nie zalega z podatkami w swoich rejestrach prowadzonych przez Czeski Urząd Finansowy lub Urząd Celny Republiki Czeskiej lub w rejestrach dotyczących podatków, składek na ubezpieczenie społeczne i składek na publiczne ubezpieczenie zdrowotne nie może być starsze niż 30 dni.

W celu udowodnienia, że osoba prawna nie została skazana za przestępstwo, KIK zwraca się o wyciąg z rejestru karnego.

W ustępie 5)

Operator krajowego CERT wykonuje czynności, o których mowa w art. 17 ust. 2 u.o.k.k., nieodpłatnie. Jedynymi wyjątkami od zasady nieodpłatności są następujące działania:

• zapewnia wsparcie metodyczne, pomoc i współpracę organom i osobom, o których mowa w § 3 (a), (b) i (h) KK, w przypadku incydentu związanego z cyberbezpieczeństwem,
• przeprowadza oceny podatności na zagrożenia bezpieczeństwa cybernetycznego.

Operator krajowego CERT jest zobowiązany do ponoszenia kosztów niezbędnych do prawidłowego i efektywnego wykonywania czynności, o których mowa w art. 17 ust. 2 u.o.k.k.

W ustępie 6)

Aby umożliwić kontakt z operatorem krajowego zespołu CERT, jego dane są publikowane na stronie internetowej NACIB. Publikowane są następujące informacje: nazwa firmy, adres siedziby, osobisty numer identyfikacyjny, identyfikator skrzynki danych oraz adres strony internetowej. 

3.1.2    CERT rządowy

Rządowy CERT jako część Urzędu

a)    otrzymuje powiadomienie o danych kontaktowych od organów i osób, o których mowa w punktach c)-g) sekcji 3,

b)    przyjmuje zgłoszenia o incydentach w zakresie bezpieczeństwa cybernetycznego od organów i osób, o których mowa w § 3 lit. c)-g),

c)    ocenia dane dotyczące zdarzeń i incydentów związanych z bezpieczeństwem cybernetycznym w krytycznej infrastrukturze informatycznej, systemie informatycznym usług podstawowych, głównych systemach informatycznych oraz innych systemach informatycznych administracji publicznej,

d)    zapewnia wsparcie metodyczne i pomoc organom i osobom, o których mowa w § 3 lit. c)-g),

e)    zapewnia pomoc organom i osobom, o których mowa w § 3 lit. c)-g), w przypadku wystąpienia incydentu bezpieczeństwa cybernetycznego oraz zdarzenia związanego z bezpieczeństwem cybernetycznym,

f)     otrzymuje sugestie i dane od organów i osób, o których mowa w § 3, oraz od innych organów i osób, a także ocenia te sugestie i dane,

g)    otrzymuje dane od krajowego operatora CERT i ocenia te dane,

h)    otrzymuje i ocenia dane od organów odpowiedzialnych za bezpieczeństwo cybernetyczne za granicą,

i)     udostępnia, zgodnie z sekcją 9 ust. 4, operatorowi krajowego zespołu CERT, organom pełniącym za granicą obowiązki w zakresie bezpieczeństwa cybernetycznego oraz innym osobom działającym w dziedzinie bezpieczeństwa cybernetycznego dane z rejestru incydentów,

j)     przeprowadza oceny podatności na zagrożenia bezpieczeństwa cybernetycznego,

k)    informuje właściwy organ innego państwa członkowskiego, bez wskazywania zgłaszającego, o incydencie zagrażającym bezpieczeństwu cybernetycznemu, który ma znaczący wpływ na ciągłość podstawowych usług w tym państwie członkowskim lub wpływa na świadczenie usług cyfrowych w tym państwie członkowskim, przy jednoczesnym zachowaniu bezpieczeństwa i interesów handlowych zgłaszającego,

l)     otrzymuje zgłoszenia incydentów bezpieczeństwa cybernetycznego od organów i osób niewymienionych w sekcji 3; rządowy CERT przetwarza te zgłoszenia i - jeżeli pozwalają na to jego możliwości, a incydent bezpieczeństwa cybernetycznego ma istotne skutki - zapewnia wsparcie metodologiczne, pomoc i współpracę organom lub osobom, których dotyczy incydent bezpieczeństwa cybernetycznego,

m)  pełni rolę CSIRT zgodnie z odpowiednim rozporządzeniem Unii Europejskiej[9] ; oraz

n)    współpracuje z CSIRT-ami innych państw członkowskich.

Rządowy CERT wchodzi w skład NSA, czyli Narodowego Centrum Cyberbezpieczeństwa, które jest jednostką organizacyjną NSA zapewniającą jego działalność. Rządowy CERT jest pomyślany jako centralne publiczne miejsce pracy i publiczny "pojedynczy punkt kontaktowy" w zakresie bezpieczeństwa cybernetycznego. Jego działania obejmują otrzymywanie danych kontaktowych od wybranych osób zobowiązanych, otrzymywanie informacji o stanie cyberbezpieczeństwa, w szczególności otrzymywanie obowiązkowych i inicjowanych zgłoszeń incydentów cyberbezpieczeństwa oraz innych danych o stanie cyberbezpieczeństwa od krajowych i zagranicznych organów publicznych i podmiotów współpracujących, a także ich ocenę. Ponadto rządowy CERT zapewnia pomoc wybranym rodzajom osób zobowiązanych w przypadku incydentu związanego z bezpieczeństwem cybernetycznym, zapewnia współdziałanie z innymi organami i podmiotami zapewniającymi bezpieczeństwo cybernetyczne w Republice Czeskiej oraz w państwach współpracujących lub sojuszniczych, a także przeprowadza oceny podatności na zagrożenia bezpieczeństwa cybernetycznego.

W § 20 lit. a), b), d) i e)

Wśród podmiotów, z którymi komunikuje się i współpracuje rządowy CERT, dodaje się nowe podmioty obowiązkowe - operatorów usług podstawowych oraz administratorów i operatorów systemów informatycznych usług podstawowych.

W sprawie § 20 lit. c)

Systemy informatyczne, na podstawie których rządowy zespół CERT ocenia dane dotyczące zdarzeń i incydentów związanych z bezpieczeństwem cybernetycznym, obejmują systemy informatyczne, od których zależy świadczenie podstawowych usług.

W sprawie § 20(i)

Techniczna zmiana legislacyjna wynikająca z konieczności dodania nowych liter do tego przepisu.

W § 20 lit. j) i k)-n)

Dyrektywa nadaje rządowemu zespołowi CERT nowe kompetencje i związane z nimi obowiązki. Przepis ten jest ściśle powiązany z sekcją 8, która reguluje kwestię zgłaszania incydentów związanych z bezpieczeństwem cybernetycznym.

Zgodnie z ustawą zmienioną niniejszym wnioskiem, rządowy CERT: otrzymuje zgłoszenia incydentów w zakresie bezpieczeństwa cybernetycznego, ocenia je, zapewnia wsparcie metodologiczne, pomoc i współpracę zainteresowanym podmiotom, działa jako punkt kontaktowy, przeprowadza oceny podatności w dziedzinie bezpieczeństwa cybernetycznego, przekazuje dane o incydentach do KWB, pełni rolę CSIRT zgodnie z dyrektywą, współpracuje z innymi CSIRT, komunikuje się z właściwymi organami innych państw członkowskich oraz, co nie mniej ważne, przyjmuje dobrowolne zgłoszenia incydentów w zakresie bezpieczeństwa cybernetycznego.

Spełnia to wymagania określone w Załączniku I do Dyrektywy:

·       Monitorowanie incydentów na poziomie krajowym - § 20 (b), (c), (f), (g), (l).

·       Wydawanie wczesnych ostrzeżeń i alarmów, powiadamianie i rozpowszechnianie informacji o zagrożeniach i incydentach wśród właściwych interesariuszy - § 20 (d), (e), (i), (n).

·       Reagowanie na incydenty - § 20 (d), (e).

·       Zapewnienie dynamicznej analizy ryzyka i incydentów oraz świadomości sytuacyjnej - § 20 lit. j).

·       Uczestnictwo w sieci CSIRT - § 20(m).

Pełniąc rolę CSIRT, rządowy CERT, będący częścią NSA, będzie również spełniał wymogi dyrektywy dotyczące udziału CSIRT w sieci CSIRT zgodnie z art. 12 dyrektywy. Udział przedstawicieli krajowych zespołów CERT pozostawia się do ich decyzji.

Artykuł 9 dyrektywy stanowi, że każde państwo członkowskie tworzy jeden lub więcej CSIRT, ale nie nakłada na przedstawicieli wszystkich CSIRT danego państwa członkowskiego obowiązku uczestniczenia w pracach sieci CSIRT. Dlatego wystarczy pełne uczestnictwo co najmniej jednego CSIRT-u, który będzie realizowany przez przedstawicieli rządowego CERT-u. Przepis ten reguluje procedurę postępowania rządowego zespołu CERT w przypadku, gdy zgłoszony incydent bezpieczeństwa cybernetycznego ma istotny wpływ na ciągłość świadczenia podstawowych usług lub na świadczenie usług cyfrowych w innym państwie członkowskim Unii Europejskiej. W takim przypadku, zgodnie z art. 14 ust. 5, a w konsekwencji z art. 16 ust. 6 dyrektywy, rządowy CERT jest uprawniony do informowania o incydencie właściwych organów innych państw członkowskich.

W art. 20 dyrektywy przewidziano sytuację, w której podmiot, który nie został wyznaczony jako operator usług podstawowych i nie jest dostawcą usług cyfrowych, zgłasza naruszenie bezpieczeństwa swoich systemów informatycznych i stara się zaradzić tej sytuacji. W takim przypadku może dobrowolnie zgłosić incydent bezpieczeństwa cybernetycznego do rządowego zespołu CERT i współpracować z nim w celu rozwiązania sytuacji. W takim przypadku rządowy CERT przetwarza zgłoszenie i, jeżeli pozwalają na to jego możliwości, udziela uzasadnionej odpowiedzi na zgłoszenie, tak jakby był to incydent bezpieczeństwa cybernetycznego o znaczących skutkach, tak jakby był to incydent bezpieczeństwa cybernetycznego zgłoszony mu przez operatora usług podstawowych.

Na mocy ustawy o cyberbezpieczeństwie w Republice Czeskiej obowiązkowo powoływane są dwa zespoły typu CERT/CSIRT: krajowy i rządowy.

Operatorem krajowego CERT jest osoba prawna, z którą NÚKIB (dawniej NSA) zawarł umowę publicznoprawną (zob. § 19 ZoKB).

Rządowy CERT (GovCERT.CZ - więcej szczegółów na stronie https://www.govcert.cz/) został powołany na mocy prawa jako część Krajowego Biura ds. Cyberbezpieczeństwa i Informacji (wcześniej podlegał NSA).

Zgodnie z ustawą o bezpieczeństwie cybernetycznym, rządowy zespół CERT:

·       otrzymuje powiadomienia o danych kontaktowych od organów i osób, o których mowa w sekcji 3 lit. c)-g) ZOKB,

·       otrzymuje zgłoszenia dotyczące incydentów związanych z bezpieczeństwem cybernetycznym od organów i osób, o których mowa w § 3 lit. c)-g) KSH,

·       ocenia dane dotyczące zdarzeń i incydentów związanych z bezpieczeństwem cybernetycznym w krytycznej infrastrukturze informatycznej, systemie informatycznym usług podstawowych, głównych systemach informatycznych oraz innych systemach informatycznych administracji publicznej,

·       zapewnia wsparcie metodyczne i pomoc organom i osobom, o których mowa w § 3 lit. c)-g) ZOKB,

·       zapewnia pomoc organom i osobom, o których mowa w § 3 lit. c)-g) KK, w przypadku wystąpienia incydentu bezpieczeństwa cybernetycznego oraz zdarzenia związanego z bezpieczeństwem cybernetycznym,

·       otrzymuje sugestie i dane od organów i osób, o których mowa w punkcie 3 ZOKB, oraz od innych organów i osób, a także ocenia te sugestie i dane,

·       otrzymuje dane od krajowego operatora CERT i ocenia te dane,

·       otrzymuje i ocenia dane od organów odpowiedzialnych za bezpieczeństwo cybernetyczne za granicą,

·       udostępnia dane z rejestru incydentów (zob. art. 9 ust. 4 u.o.k.k.) operatorowi krajowego zespołu CERT, organom prowadzącym działania związane z bezpieczeństwem cybernetycznym za granicą oraz innym osobom działającym w obszarze bezpieczeństwa cybernetycznego,

·       przeprowadza oceny podatności na zagrożenia bezpieczeństwa cybernetycznego,

·       informuje właściwy organ innego państwa członkowskiego, bez wskazywania zgłaszającego, o incydencie zagrażającym bezpieczeństwu cybernetycznemu, który ma znaczący wpływ na ciągłość podstawowych usług w tym państwie członkowskim lub wpływa na świadczenie usług cyfrowych w tym państwie członkowskim, przy jednoczesnym zachowaniu bezpieczeństwa i interesów handlowych zgłaszającego,

·       otrzymuje zgłoszenia incydentów bezpieczeństwa cybernetycznego od organów i osób niewymienionych w sekcji 3 CST; rządowy CERT przetwarza te zgłoszenia i - jeżeli pozwalają na to jego możliwości, a incydent bezpieczeństwa cybernetycznego ma istotny wpływ - zapewnia wsparcie metodologiczne, pomoc i współpracę organom lub osobom, których dotyczy incydent bezpieczeństwa cybernetycznego,

·       działa jako CSIRT zgodnie z art. 9 NIS,

·       współpracuje z CSIRT-ami innych państw członkowskich.

Oprócz obowiązków wyraźnie określonych w ustawie o bezpieczeństwie cybernetycznym, rządowy CERT wyznaczył sobie inne zadania[11] , w tym:

·      Udostępnianie danych

·       Shadowserver - projekt koncentruje się na ciągłym poszukiwaniu istotnych informacji o podatnościach w cyberprzestrzeni oraz występowaniu tych podatności na konkretnych adresach IP.

·       Wdrażanie Honeypotów

·       Testy penetracyjne

Jest to legalna próba przeniknięcia do testowanych systemów. W efekcie powstaje raport o podatnościach w testowanej jednostce, który jest kierowany wyłącznie do jej właściciela, który na jego podstawie podejmuje odpowiednie działania zabezpieczające.

Inną możliwością jest wykonanie skanowania podatności na ataki w ramach projektu OWASP (Open Web Application Security Project).

·       HUB informacyjny

Strona govcert.cz zawiera informacje, badania, analizy i artykuły na temat aktualnych zagrożeń i podatności systemów w Republice Czeskiej. Dokumenty te są uzupełniane regularnymi miesięcznymi biuletynami podsumowującymi istotne incydenty związane z bezpieczeństwem w Republice Czeskiej i za granicą.

·       Działalność edukacyjna i badawcza

·       Laboratorium kryminalistyczne i laboratorium SCADA