28 sierpnia 2018 r. weszła w życie ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która implementuje do polskiego porządku prawnego założenia Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, przyjętej dnia 6 lipca 2016 r.

Cel nowych regulacji

Przystępując do omówienia ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560; dalej także jako: „Ustawa”, „UKSC”) i jej wpływu na podmioty działające w branży wodociągowo-kanalizacyjnej nie sposób nie wyjść od wskazania genezy nowych regulacji. Niewątpliwie podstawowym powodem przyjęcia kompleksowej regulacji w tej dziedzinie jest stale rosnące znaczenie technologii informatycznych w gospodarce, w tym w jej sektorach dotychczas pozostających na uboczu „rewolucji informatycznej” oraz związane z tym faktem zwiększenie zależności wielu gałęzi gospodarki, w tym o strategicznym znaczeniu dla bezpieczeństwa państwa od prawidłowego funkcjonowania systemów komputerowych. W związku z tym wystąpiła konieczność kompleksowego uregulowania problematyki cyberbezpieczeństwa na poziomie krajowym, aby możliwe było skuteczne stawianie czoła stale rosnącym i dynamicznie zmieniającym się zagrożeniom w tym obszarze. Przy omawianiu powodów przyjęcia ustawy o krajowym systemie cyberbezpieczeństwa nie sposób pomijać jednak także konieczności implementacji wspomnianej na wstępie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 do krajowych porządków prawnych państw członkowskich Unii Europejskiej, której termin upłynął 9 maja 2018 r. Przyjęcie ustawy regulującej problematykę cyberbezpieczeństwa było zatem w tych okolicznościach pilną koniecznością.

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa stanowi jednocześnie pierwszy akt prawny kompleksowo regulujący problematykę cyberbezpieczeństwa na gruncie krajowym. Wcześniej bowiem problematyka ta regulowana była w sposób wycinkowy i fragmentaryczny na gruncie innych ustaw, m.in. ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym. Pewne zagadnienia z zakresu bezpieczeństwa teleinformatycznego dotyczyły także operatorów infrastruktury krytycznej na podstawie Narodowego Programu Ochrony Infrastruktury. Dopiero jednak omawiana ustawa prowadzi do ustanowienia jednolitego katalogu obowiązków dla podmiotów o kluczowym znaczeniu działających w poszczególnych sektorach gospodarki.

Podmiot publiczny i operator usług kluczowych na gruncie ustawy

Przechodząc do omówienia możliwej kwalifikacji prawnej przedsiębiorstw wodociągowo-kanalizacyjnych na gruncie ustawy o krajowym systemie cyberbezpieczeństwa, po pierwsze należy wskazać, że zakres podmiotowy ustawy jest bardzo szeroki. Art. 4 UKSC zawierający katalog podmiotów objętych krajowym systemem cyberbezpieczeństwa składa się bowiem z 20 punktów, w ramach których wymienione są zarówno konkretne podmioty, m.in. Narodowy Bank Polski, jak i określone grupy podmiotów, np. „instytuty badawcze”.

W kontekście poruszanej problematyki należy się jednak skupić na dwóch grupach podmiotów objętych regulacjami ustawy, a mianowicie operatorach usług kluczowych oraz tzw. podmiotach publicznych.

Już w tym miejscu należy jednak wyraźnie zasygnalizować, że branża wodociągowo-kanalizacyjna z całą pewnością objęta została regulacjami omawianej ustawy. Zgodnie bowiem z załącznikiem nr 1 do ustawy zawierającym spis sektorów, podsektorów oraz podmiotów, których ustawa dotyczy znalazł się bowiem sektor pn. „Zaopatrzenie w wodę pitną i jej dystrybucja”. Podmiotami wskazanymi w tym sektorze są zaś przedsiębiorstwa wodociągowo-kanalizacyjne, o których mowa w art. 2 pkt 4 ustawy z dnia 7 czerwca 2001 r. o zbiorowym zaopatrzeniu w wodę i zbiorowym odprowadzaniu ścieków.

Podmioty publiczne

Omawiając problematykę podmiotów publicznych na gruncie ustawy o krajowym systemie cyberbezpieczeństwa, należy wskazać, że nie jest to grupa jednolita. Zgodnie bowiem z art. 21 UKSC do kategorii podmiotów publicznych zaliczyć należy podmioty wymienione w przywołanym już art. 4 UKSC w pkt 7-15. Podmiotami publicznymi na gruncie UKSC są zatem:

•    jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych;

•    instytuty badawcze;

•    Narodowy Bank Polski;

•    Bank Gospodarstwa Krajowego;

•    Urząd Dozoru Technicznego;

•    Polska Agencja Żeglugi Powietrznej;

•    Polskie Centrum Akredytacji;

•    Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;

•    spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej. Dla sektora wod-kan istotny jest zwłaszcza pierwszy i ostatni punkt powyższego wyliczenia.

W zbiorze jednostek sektora finansów publicznych wymienionych w art. 4 pkt 7 UKSC znajdują się bowiem m.in. zakłady budżetowe (art. 9 pkt 4 ustawy o finansach publicznych), zaś art. 4 pkt 15 UKSC obejmuje wszystkie spółki komunalne wykonujące zadania o charakterze użyteczności publicznej, zatem z całą pewnością także zadania w zakresie zbiorowego zaopatrzenia w wodę i odprowadzania ścieków.

W praktyce oznacza to, że niezależnie od formy prawnej prowadzenia działalności (zakład budżetowy czy też spółka prawa handlowego) przedsiębiorstwa wodociągowo-kanalizacyjne kwalifikować będą się na gruncie ustawy do kategorii podmiotów publicznych. Warto przy tym podkreślić, że zaklasyfikowanie przedsiębiorstwa wodociągowo-kanalizacyjnego jako podmiotu publicznego nie będzie w żadnym stopniu zależne od skali prowadzonej działalności, ani nie będzie wymagać indywidualnego rozstrzygnięcia organu ds. cyberbezpieczeństwa, następuje zaś z mocy samego prawa.

Operatorzy usług kluczowych

Drugim pojęciem, które ma kluczowe znaczenie dla klasyfikacji przedsiębiorstw wodociągowo-kanalizacyjnych na gruncie UKSC, jest pojęcie operatora usługi kluczowej. Przez usługę kluczową na gruncie UKSC, zgodnie z jej art. 2 pkt 16, rozumie się usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych. Wykaz usług kluczowych został zaś zawarty w załączniku do Rozporządzenia Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. W załączniku tym wymienione zostały następujące usługi związane z branżą wodociągowo-kanalizacyjną:

•    ujmowanie wody;

•    uzdatnianie wody;

•    dostarczanie wody;

•    odprowadzanie ścieków;

•    oczyszczanie ścieków.
Sam fakt świadczenia przez dany podmiot usługi kluczowej nie jest jednak jeszcze wystarczający do uznania go za operatora usługi kluczowej na gruncie ustawy. Kwalifikacja danego podmiotu do kategorii operatorów usług kluczowych nie następuje bowiem z mocy prawa, a wymagane jest do tego indywidualne rozstrzygnięcie administracyjne. Zgodnie zaś z art. 5 ust. 1 UKSC operatorem usługi kluczowej jest podmiot, o którym mowa w załączniku nr 1 do ustawy, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Tak jak zostało już zaznaczone jako podmioty podlegające regulacjom UKSC, w załączniku nr 1 do ustawy zostały wymienione m.in. przedsiębiorstwa wodociągowo-kanalizacyjne, o których mowa w art. 2 pkt 4 ustawy z dnia 7 czerwca 2001 r. o zbiorowym zaopatrzeniu w wodę i zbiorowym odprowadzaniu ścieków. Nie ma zatem wątpliwości, że podmioty te będą mogły zostać uznane za operatorów usług kluczowych.

Warunkiem wydania decyzji o uznaniu za operatora usługi kluczowej przez organ właściwy ds. cyberbezpieczeństwa, którym dla sektora zaopatrzenia w wodę pitną i jej dystrybucji jest minister właściwy do spraw gospodarki wodnej, będzie zaś zgodnie z art. 5 ust. 2 UKSC ustalenie przez organ, że:

•    podmiot świadczy usługę kluczową;

•    świadczenie tej usługi zależy od systemów informatycznych;

•    incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora (istotność skutku zakłócającego z kolei oceniana będzie na podstawie progów istotności skutku zakłócającego).

Oprócz samego faktu świadczenia przez dany podmiot usługi kluczowej (które to kryterium w przypadku przedsiębiorców wod-kan jest spełnione), znaczenie będzie miał zatem także fakt jej zależności od systemów informatycznych. Także ta przesłanka wydaje się być spełniona, kiedy mówimy o działalności w sektorze wodociągowo-kanalizacyjnym, bowiem systemy informatyczne znajdują obecnie w tym sektorze powszechne zastosowanie, regulując chociażby działanie pomp czy urządzeń oczyszczających ścieki komunalne, zaś ich awaria czy też atak hackerski mogą z powodzeniem sparaliżować świadczenie usług z zakresu zbiorowego zaopatrzenia w wodę i odprowadzania ścieków.

Trzecią przesłanką wydania decyzji o uznaniu za operatora usługi kluczowej jest zaś tzw. istotność skutku zakłócającego, która oceniania jest w oparciu o progi istotności skutku zakłócającego określone w przywoływanym już rozporządzeniu Rady Ministrów z dnia 11 września 2018 r. W rozporządzeniu tym w odniesieniu do usług z sektora wodociągowo-kanalizacyjnego określono próg istotności na poziomie świadczenia tych usług na rzecz minimum 500 tys. podłączonych mieszkańców w ramach zbiorowego zaopatrzenia w wodę w przypadku ujmowania, dostarczania i uzdatniania wody lub obsługi aglomeracji o równoważnej liczbie mieszkańców (RLM) powyżej 500 tys. w przypadku odprowadzania i oczyszczania ścieków.

Dopiero w przypadku łącznego spełnienia wszystkich trzech omówionych powyżej przesłanek minister właściwy do spraw gospodarki wodnej będzie wydawał decyzję o uznaniu danego przedsiębiorstwa wod-kan za operatora usługi kluczowej w rozumieniu UKSC. Dopiero zaś po wydaniu przez organ stosownej decyzji i dokonaniu wpisu do rejestru (co następować będzie na wniosek organu właściwego ds. cyberbezpieczeństwa) dane przedsiębiorstwo wod-kan uzyska status operatora usługi kluczowej.
    

*** Podsumowując, przeprowadzone rozważania dotyczące klasyfikacji przedsiębiorstw wod-kan na gruncie ustawy o cyberbezpieczeństwa należy przede wszystkim wskazać, że ustalenie progu istotności na poziomie 500 tys. odbiorców usług z zakresu zbiorowego zaopatrzenia w wodę i odprowadzania ścieków powoduje, że stosunkowo niewiele przedsiębiorstw wod-kan powinno „obawiać się” uznania za operatora usługi kluczowej. Nie oznacza to jednak, że nie będą ich dotyczyły określone obowiązki na gruncie ustawy, gdyż jak zostało już wskazane, niezależnie od prawnej formy działalności przedsiębiorstwa wod-kan kwalifikowane są przez ustawę, z mocy prawa, jako podmioty publiczne. Ustawa nakłada zaś określone obowiązki także na tego rodzaju podmioty, chociaż ich skala jest oczywiście mniejsza niż w przypadku operatorów usług kluczowych. Nie oznacza to jednak, że wdrożenie nowych rozwiązań nie wymaga podjęcia szeregu działań prawnych oraz organizacyjnych i nie stanowi istotnego wyzwania w toku działalności przedsiębiorstwa, a analiza przepisów UKSC prowadzi do wniosku wręcz przeciwnego, o czym szerzej w kolejnym numerze „Kierunku WOD-KAN”.

Artykuł został również opublikowany w nr 4/2018 magazynu Kierunek Wod-Kan.