Rzeczpospolita Prawo

Ustawa o krajowym systemie cyberbezpieczeństwa wchodzi w życie

Pod koniec sierpnia br. wchodzi w życie ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, której celem jest dostosowanie polskiego prawa do unijnej dyrektywy 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS).

Publikacja: 20.08.2018 13:40

Ustawa o krajowym systemie cyberbezpieczeństwa wchodzi w życie

Foto: Adobe Stock

Tomasz Gwara

Przedmiotem ustawy jest organizacja krajowego systemu cyberbezpieczeństwa oraz określenie zadań i obowiązków podmiotów wchodzących w jego skład. Określa ona również sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Czytaj także: Cyberbezpieczeństwo – lada dzień kluczowe zmiany

Celem organizacji systemu jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągniecie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienia obsługi incydentów.

Uczestnicy krajowego systemu cyberbezpieczeństwa

Krajowy system cyberbezpieczeństwa obejmuje kilkanaście kategorii podmiotów, w szczególności tzw. operatorów usług kluczowych (wybrane firmy działające m.in. w sektorach: finansowym, energetycznym, transportowym, ochrony zdrowia, zaopatrzenia w wodę pitną), dostawców usług cyfrowych, Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. zespoły CSIRT poziomu krajowego), sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa, Pełnomocnika Rządu oraz Kolegium do Spraw Cyberbezpieczeństwa oraz Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (służący komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie).

Obowiązki operatorów usług kluczowych

Ustawa zawiera zasady wskazywania operatorów usług kluczowych i określa ich obowiązki dotyczące wdrożenia skutecznego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, stosowanie zabezpieczeń systemów informacyjnych adekwatnych do zidentyfikowanego ryzyka, procedur i mechanizmów zgłaszania oraz postępowania z incydentami, prowadzenia dokumentacji czy organizacji struktur wewnętrznych.

Operator usługi kluczowej ma również zapewnić przeprowadzenie minimum raz na 2 lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej oraz powołać osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Obowiązki dostawców usług cyfrowych

Przepisami ustawy zostaną objęci również tzw. dostawcy usług cyfrowych (internetowe platformy handlowe, usługi przetwarzania danych w chmurze oraz wyszukiwarki internetowe). Obowiązki dostawców usług cyfrowych są analogiczne jak dla operatorów usług kluczowych, jednak ze względu na transgraniczny charakter tych usług zostaną one objęte łagodniejszym reżimem regulacyjnym (ustawa odwołuje się tutaj do rozporządzenia wykonawczego Komisji Europejskiej 2018/151).

Postępowanie w przypadku incydentów

Ustawa wprowadza kompleksowe obowiązki zarządzania zdarzeniami, mającymi negatywny wpływ na cyberbezpieczeństwo (tzw. incydenty) dotyczące ich obsługi, mitygowania skutków oraz raportowania do CSIRT.

Ustawa definiuje kilka kategorii incydentów, w zależności od rodzaju podmiotu zgłaszającego oraz stopnia ich oddziaływania. Incydent poważny, zgłaszany przez operatora usług kluczowych, związany jest z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej, natomiast incydent istotny – musi mieć istotny wpływ na świadczenie usługi cyfrowej. Wprowadzono także tzw. incydenty krytyczne, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów gospodarczych i działania instytucji publicznych.

CSIRT, do których raportowane będą incydenty, będą odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów. Ponadto CSIRT będą się wzajemnie informować oraz informować Rządowe Centrum Bezpieczeństwa o każdym incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego.

W ustawie ustanowiono organy właściwe ds. cyberbezpieczeństwa, odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych w sektorach wymienionych w dyrektywie 2016/1148/UE.

Obowiązki ministra

Ustawa przewiduje, że minister właściwy ds. informatyzacji będzie m.in. monitorował wdrażanie Strategii Cyberbezpieczeństwa oraz prowadził wykaz operatorów usług kluczowych i politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa. Ma też realizować obowiązki sprawozdawcze wobec instytucji unijnych. Minister będzie również prowadził Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, który zapewni odbieranie i przekazywanie zgłoszeń incydentów poważnych i istotnych z innych krajów członkowskich, reprezentację Rzeczypospolitej Polskiej w Grupie Współpracy, współpracę z Komisją Europejską, współpracę między organami właściwymi w Rzeczypospolitej Polskiej i organami właściwymi państw członkowskich Unii Europejskiej. W przyszłości zadaniem Ministra Cyfryzacji będzie też rozwój systemu teleinformatycznego umożliwiającego zgłaszanie i obsługę incydentów, szacowanie ryzyka i ostrzeganie o zagrożeniach cyberbezpieczeństwa.

Zadania Pełnomocnika i Kolegium rządu ds. Cyberbezpieczeństwa

W celu koordynacji działań i wymiany informacji między instytucjami odpowiedzialnymi za cyberbezpieczeństwo w sferach: cywilnej, wojskowej, sektorów usług kluczowych oraz instytucji odpowiedzialnych za zwalczanie cyberprzestępczości – ustawa powołuje pełnomocnika rządu ds. cyberbezpieczeństwa (będzie powoływany i odwoływany przez premiera, ma podlegać Radzie Ministrów) oraz Kolegium ds. cyberbezpieczeństwa (przewodniczącym ma być premier).

- Tomasz Gwara - Partner zarządzający, CEO / butik prawniczy Discretia

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Dane Osobowe Prawo Karne

Przedmiotem ustawy jest organizacja krajowego systemu cyberbezpieczeństwa oraz określenie zadań i obowiązków podmiotów wchodzących w jego skład. Określa ona również sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Czytaj także: Cyberbezpieczeństwo – lada dzień kluczowe zmiany

Pozostało 93% artykułu
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Spadki i darowizny
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Materiał Promocyjny
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Advertisement
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Prawo w Firmie
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Ministerstwo Zdrowia
Podatki
Składka zdrowotna na ryczałcie bez ograniczeń. Rząd zdradza szczegóły
Kiedy można wyłączyć grunty z produkcji rolnej
Ustrój i kompetencje
Kiedy można wyłączyć grunty z produkcji rolnej
Nowe, w pełni elektryczne BMW iX2 już od 2200 PLN netto/mies.
Materiał Promocyjny
Nowe BMW iX2 już od 999 PLN netto/mies. z dopłatą w programie „Mój Elektryk”.
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara
Sądy i trybunały
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Materiał Promocyjny
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Advertisement
e-Wydanie