Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązującej od 1 sierpnia 2018 roku. Od tego czasu obraz cyberprzestrzeni znacząco się zmienił - zauważa Ministerstwo Cyfryzacji, które zaprezentowało w środę projekt nowelizacji. Został on skierowany do konsultacji publicznych, które potrwają do 24 maja.
Projektowana ustawa ma istotnie wzmocnić ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni. Uwzględnia także przepisy unijnej dyrektywy NIS2, do implementacji której Polska jest zobowiązana. M.in. dostawcy usług cyfrowych oraz podmioty administracji publicznej, które są objęte przepisami obecnej ustawy o KSC. Jak czytamy w komunikacje resortu cyfryzacji, podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane do wprowadzenia systemów zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług.
Czytaj więcej:
Cyberprzestępczość przybiera na sile, rozprzestrzenia się w zaskakującym tempie oraz skali i nic nie wskazuje, że się zatrzyma.
Pro
Co się zmieni w cyberbezpieczeństwie?
Celem Krajowego Systemu Cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa na poziomie krajowym tj. niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług. System obejmuje operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.
Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Te podmioty będą musiały wyznaczyć osobę odpowiedzialną za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.
Zgłaszanie incydentów po nowemu
Zgodnie z projektowaną regulacją incydenty poważne zgłaszane będą do CSIRT sektorowego w ściśle określonym trybie:
- wczesne ostrzeżenie o incydencie poważnym:
@ podmiot kluczowy i ważny zgłasza niezwłocznie nie później niż w ciągu 24 godzin od momentu wykrycia incydentu poważnego,
@ przedsiębiorca telekomunikacyjny – niezwłocznie w nie później niż w ciągu 12 godzin od momentu wykrycia incydentu poważnego,
- zgłoszenie incydentu poważnego — niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia;
- w trakcie obsługi incydentu sporządzane jest sprawozdanie okresowe, a po zakończeniu obsługi incydentu sprawozdanie końcowe;
- CSIRT sektorowy przekazuje wczesne ostrzeżenie oraz zgłoszenia niezwłocznie, nie później niż 8 godzin od jego otrzymania, do właściwego CSIRT MON, CSIRT NASK albo CSIRT GOV;
- wczesne ostrzeżenie może zawierać wniosek np. o udzielenie wsparcia technicznego przy obsłudze incydentu.
Ma to zapewniać szybkie reagowanie na incydenty poważne i koordynację działań.
Czytaj więcej:
Dyrektywa NIS2, w celu zwiększenia poziomu cyberbezpieczeństwa, wymaga stworzenia przez podmioty podlegające jej przepisom stosownej dokumentacji i...
Pro
Podmioty kluczowe i ważne same będą się identyfikować
NIS2 ma bardzo duży zakres podmiotowy. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono więc jako podstawy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie – np. poprzez stronę internetową.
Umożliwi to ich identyfikację oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego, a także zapewni wykonywanie czynności nadzorczych przez organy właściwe do spraw cyberbezpieczeństwa. Takie działanie umożliwi także przekazywanie danych o liczbie tych podmiotów do Komisji Europejskiej i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa.
Nowe sektory jakie zostaną objęte zakresem ustawy to:
- ścieki;
- zarządzanie usługami ICT;
- przestrzeń kosmiczna;
- usługi pocztowe;
- gospodarowanie odpadami;
- produkcja, wytwarzanie i dystrybucja chemikaliów;
- produkcja, przetwarzanie i dystrybucja żywności;
- produkcja;
- badania naukowe.
Podstawowe obowiązki podmiotów kluczowych i ważnych
W projektowanych zmianach nałożono obowiązki na podmioty kluczowe i ważne. Będą musiały wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty. Odpowiada to zakresowi wymogów, co do środków zarządzania ryzykiem wskazanych w art. 21 dyrektywy NIS2.
Kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację tych zadań przez dany podmiot i w przypadku niewywiązania się z zadań kierownika takiego podmiotu będą mogły być nałożone na niego kary. Kierownik takiego podmiotu będzie obowiązany również do przejścia stosownego szkolenia z zakresu cyberbezpieczeństwa.
Tak samo jak do tej pory operatorzy usług kluczowych, tak teraz i inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata.
Podmioty kluczowe i ważne będą miały obowiązek korzystać z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach. Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu.
Wprowadzenie polecenia zabezpieczającego
Ma to być instytucja prawna umożliwiająca reakcję na incydent krytyczny. Zgodnie z postanowieniami projektu ustawy Minister Cyfryzacji może, po konsultacji z zespołem incydentów krytycznych wydać taki akt w formie decyzji generalnej, czyli w konkretnej sprawie, ale z rodzajowo określonymi adresatami. Zapewniono zaskarżenie do sądu administracyjnego.
W drodze polecenia zabezpieczającego można będzie nakazać danej grupie podmiotów określone zachowanie przeciwdziałające incydentowi krytycznemu – np. „zainstaluj poprawkę bezpieczeństwa”, „wycofaj oprogramowanie”, „przeprowadź szacowanie ryzyka”.
Katalog zachowań, które mogą być nakazane będzie zamknięty i dodatkowo minister będzie musiał wybrać rozwiązanie adekwatne – ta przesłanka jest bardzo istotna zarówno w przypadku stosowania prawa, jak i w trakcie ewentualnej kontroli takiej decyzji przez sąd administracyjny.
Inne istotne zmiany, jakie wprowadzi projekt, dotyczą: rozszerzenia zakresu Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej; wprowadzenia nowego dokumentu strategicznego – „Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę”; doprecyzowania zadań organów państwa w obszarze cyberbezpieczeństwa; wyznaczenia CSIRT NASK do pełnienia roli krajowego koordynatora w ramach skoordynowanego ujawniania podatności (CVD); wzmocnienia uprawnień zespołów CSIRT poziomu krajowego, które przeprowadzają badanie sprzętu lub oprogramowania pod kątem podatności zagrażających bezpieczeństwu narodowemu.
