Rząd rusza do walki z cyberzagrożeniami. Przedstawił swoją broń

Jeszcze w tym roku rząd zamierza przyjąć znowelizowane przepisy o Krajowym Systemie Cyberbezpieczeństwa, które wprowadzą nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej.

Publikacja: 25.04.2024 11:41

Wicepremier, minister cyfryzacji Krzysztof Gawkowski

Wicepremier, minister cyfryzacji Krzysztof Gawkowski

Foto: PAP/Marcin Obara

Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązującej od 1 sierpnia 2018 roku. Od tego czasu obraz cyberprzestrzeni znacząco się zmienił - zauważa Ministerstwo Cyfryzacji, które zaprezentowało w środę projekt nowelizacji. Został on skierowany do konsultacji publicznych, które potrwają do 24 maja.

Projektowana ustawa ma istotnie wzmocnić ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni. Uwzględnia także przepisy unijnej dyrektywy NIS2, do implementacji której Polska jest zobowiązana.  M.in. dostawcy usług cyfrowych oraz podmioty administracji publicznej, które są objęte przepisami obecnej ustawy o KSC. Jak czytamy w komunikacje resortu cyfryzacji, podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane do wprowadzenia systemów zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług.

Czytaj więcej

Trzeba się przygotować na nowy wymiar cyberzagrożeń

Co się zmieni w cyberbezpieczeństwie?

Celem Krajowego Systemu Cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa na poziomie krajowym tj.  niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług. System obejmuje operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.

Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Te podmioty będą musiały wyznaczyć osobę odpowiedzialną za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.

Zgłaszanie incydentów po nowemu

Zgodnie z projektowaną regulacją incydenty poważne zgłaszane będą do CSIRT sektorowego w ściśle określonym trybie:

- wczesne ostrzeżenie o incydencie poważnym:

@ podmiot kluczowy i ważny zgłasza niezwłocznie nie później niż w ciągu 24 godzin od momentu wykrycia incydentu poważnego,

@ przedsiębiorca telekomunikacyjny – niezwłocznie w nie później niż w ciągu 12 godzin od momentu wykrycia incydentu poważnego,

- zgłoszenie incydentu poważnego — niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia;

- w trakcie obsługi incydentu sporządzane jest sprawozdanie okresowe, a po zakończeniu obsługi incydentu sprawozdanie końcowe;

- CSIRT sektorowy przekazuje wczesne ostrzeżenie oraz zgłoszenia niezwłocznie, nie później niż 8 godzin od jego otrzymania, do właściwego CSIRT MON, CSIRT NASK albo CSIRT GOV;

- wczesne ostrzeżenie może zawierać wniosek np. o udzielenie wsparcia technicznego przy obsłudze incydentu.

Ma to  zapewniać szybkie reagowanie na incydenty poważne i koordynację działań.

Czytaj więcej

Zaostrzenie wymogów związanych z cyberbezpieczeństwem

Podmioty kluczowe i ważne same będą się identyfikować

NIS2 ma bardzo duży zakres podmiotowy. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono więc jako podstawy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie – np. poprzez stronę internetową.

Umożliwi to ich identyfikację oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego, a także zapewni wykonywanie czynności nadzorczych przez organy właściwe do spraw cyberbezpieczeństwa. Takie działanie umożliwi także przekazywanie danych o liczbie tych podmiotów do Komisji Europejskiej i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa.

Nowe sektory jakie zostaną objęte zakresem ustawy to:

  • ścieki;
  • zarządzanie usługami ICT;
  • przestrzeń kosmiczna;
  • usługi pocztowe;
  • gospodarowanie odpadami;
  • produkcja, wytwarzanie i dystrybucja chemikaliów;
  • produkcja, przetwarzanie i dystrybucja żywności;
  • produkcja;
  • badania naukowe.

Podstawowe obowiązki podmiotów kluczowych i ważnych

W projektowanych zmianach nałożono obowiązki na podmioty kluczowe i ważne. Będą musiały wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty. Odpowiada to zakresowi wymogów, co do środków zarządzania ryzykiem wskazanych w art. 21 dyrektywy NIS2.

Kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację tych zadań przez dany podmiot i w przypadku niewywiązania się z zadań kierownika takiego podmiotu będą mogły być nałożone na niego kary. Kierownik takiego podmiotu będzie obowiązany również do przejścia stosownego szkolenia z zakresu cyberbezpieczeństwa.

Tak samo jak do tej pory operatorzy usług kluczowych, tak teraz i inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata.

Podmioty kluczowe i ważne będą miały obowiązek korzystać z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach. Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu.

Wprowadzenie polecenia zabezpieczającego

Ma to być instytucja prawna umożliwiająca reakcję na incydent krytyczny. Zgodnie z postanowieniami projektu ustawy Minister Cyfryzacji może, po konsultacji z zespołem incydentów krytycznych wydać taki akt w formie decyzji generalnej, czyli w konkretnej sprawie, ale z rodzajowo określonymi adresatami. Zapewniono zaskarżenie do sądu administracyjnego.

W drodze polecenia zabezpieczającego można będzie nakazać danej grupie podmiotów określone zachowanie przeciwdziałające incydentowi krytycznemu – np. „zainstaluj poprawkę bezpieczeństwa”, „wycofaj oprogramowanie”, „przeprowadź szacowanie ryzyka”.

Katalog zachowań, które mogą być nakazane będzie zamknięty i dodatkowo minister będzie musiał wybrać rozwiązanie adekwatne – ta przesłanka jest bardzo istotna zarówno w przypadku stosowania prawa, jak i w trakcie ewentualnej kontroli takiej decyzji przez sąd administracyjny.

Inne istotne zmiany, jakie wprowadzi projekt, dotyczą: rozszerzenia zakresu Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej; wprowadzenia nowego dokumentu strategicznego – „Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę”; doprecyzowania zadań organów państwa w obszarze cyberbezpieczeństwa;  wyznaczenia CSIRT NASK do pełnienia roli krajowego koordynatora w ramach skoordynowanego ujawniania podatności (CVD); wzmocnienia uprawnień zespołów CSIRT poziomu krajowego, które przeprowadzają badanie sprzętu lub oprogramowania pod kątem podatności zagrażających bezpieczeństwu narodowemu.

Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązującej od 1 sierpnia 2018 roku. Od tego czasu obraz cyberprzestrzeni znacząco się zmienił - zauważa Ministerstwo Cyfryzacji, które zaprezentowało w środę projekt nowelizacji. Został on skierowany do konsultacji publicznych, które potrwają do 24 maja.

Projektowana ustawa ma istotnie wzmocnić ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni. Uwzględnia także przepisy unijnej dyrektywy NIS2, do implementacji której Polska jest zobowiązana.  M.in. dostawcy usług cyfrowych oraz podmioty administracji publicznej, które są objęte przepisami obecnej ustawy o KSC. Jak czytamy w komunikacje resortu cyfryzacji, podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane do wprowadzenia systemów zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług.

Pozostało 88% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Prawo dla Ciebie
Prof. Andrzej Kidyba: decyzja o odsunięciu mnie od zajęć jest skandaliczna
Aplikacje i egzaminy
Nowa KRS nie zostawia suchej nitki na kandydacie Bodnara na dyrektora KSSiP
Edukacja i wychowanie
Duże zmiany w szkołach od 1 września 2024 r. Nowacka podpisała rozporządzenie
Prawo w Firmie
Ta ustawa ma chronić przed hakerami ze Wschodu. Firmy i samorządy protestują
Prawo karne
Prokuratura umarza postępowanie w sprawie Lisa. Posłanka: Nieprawdopodobne uzasadnienie