Rzeczpospolita Prawo

Rząd rusza do walki z cyberzagrożeniami. Przedstawił swoją broń

Jeszcze w tym roku rząd zamierza przyjąć znowelizowane przepisy o Krajowym Systemie Cyberbezpieczeństwa, które wprowadzą nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej.

Publikacja: 25.04.2024 11:41

Wicepremier, minister cyfryzacji Krzysztof Gawkowski

Wicepremier, minister cyfryzacji Krzysztof Gawkowski

Foto: PAP/Marcin Obara

dgk

Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązującej od 1 sierpnia 2018 roku. Od tego czasu obraz cyberprzestrzeni znacząco się zmienił - zauważa Ministerstwo Cyfryzacji, które zaprezentowało w środę projekt nowelizacji. Został on skierowany do konsultacji publicznych, które potrwają do 24 maja.

Projektowana ustawa ma istotnie wzmocnić ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni. Uwzględnia także przepisy unijnej dyrektywy NIS2, do implementacji której Polska jest zobowiązana.  M.in. dostawcy usług cyfrowych oraz podmioty administracji publicznej, które są objęte przepisami obecnej ustawy o KSC. Jak czytamy w komunikacje resortu cyfryzacji, podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane do wprowadzenia systemów zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług.

Czytaj więcej

Trzeba się przygotować na nowy wymiar cyberzagrożeń
Biznes
Trzeba się przygotować na nowy wymiar cyberzagrożeń

Co się zmieni w cyberbezpieczeństwie?

Celem Krajowego Systemu Cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa na poziomie krajowym tj.  niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług. System obejmuje operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.

Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Te podmioty będą musiały wyznaczyć osobę odpowiedzialną za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.

Zgłaszanie incydentów po nowemu

Zgodnie z projektowaną regulacją incydenty poważne zgłaszane będą do CSIRT sektorowego w ściśle określonym trybie:

- wczesne ostrzeżenie o incydencie poważnym:

@ podmiot kluczowy i ważny zgłasza niezwłocznie nie później niż w ciągu 24 godzin od momentu wykrycia incydentu poważnego,

@ przedsiębiorca telekomunikacyjny – niezwłocznie w nie później niż w ciągu 12 godzin od momentu wykrycia incydentu poważnego,

- zgłoszenie incydentu poważnego — niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia;

- w trakcie obsługi incydentu sporządzane jest sprawozdanie okresowe, a po zakończeniu obsługi incydentu sprawozdanie końcowe;

- CSIRT sektorowy przekazuje wczesne ostrzeżenie oraz zgłoszenia niezwłocznie, nie później niż 8 godzin od jego otrzymania, do właściwego CSIRT MON, CSIRT NASK albo CSIRT GOV;

- wczesne ostrzeżenie może zawierać wniosek np. o udzielenie wsparcia technicznego przy obsłudze incydentu.

Ma to  zapewniać szybkie reagowanie na incydenty poważne i koordynację działań.

Czytaj więcej

Zaostrzenie wymogów związanych z cyberbezpieczeństwem
ABC Firmy
Zaostrzenie wymogów związanych z cyberbezpieczeństwem

Podmioty kluczowe i ważne same będą się identyfikować

NIS2 ma bardzo duży zakres podmiotowy. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono więc jako podstawy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie – np. poprzez stronę internetową.

Umożliwi to ich identyfikację oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego, a także zapewni wykonywanie czynności nadzorczych przez organy właściwe do spraw cyberbezpieczeństwa. Takie działanie umożliwi także przekazywanie danych o liczbie tych podmiotów do Komisji Europejskiej i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa.

Nowe sektory jakie zostaną objęte zakresem ustawy to:

  • ścieki;
  • zarządzanie usługami ICT;
  • przestrzeń kosmiczna;
  • usługi pocztowe;
  • gospodarowanie odpadami;
  • produkcja, wytwarzanie i dystrybucja chemikaliów;
  • produkcja, przetwarzanie i dystrybucja żywności;
  • produkcja;
  • badania naukowe.

Podstawowe obowiązki podmiotów kluczowych i ważnych

W projektowanych zmianach nałożono obowiązki na podmioty kluczowe i ważne. Będą musiały wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty. Odpowiada to zakresowi wymogów, co do środków zarządzania ryzykiem wskazanych w art. 21 dyrektywy NIS2.

Kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację tych zadań przez dany podmiot i w przypadku niewywiązania się z zadań kierownika takiego podmiotu będą mogły być nałożone na niego kary. Kierownik takiego podmiotu będzie obowiązany również do przejścia stosownego szkolenia z zakresu cyberbezpieczeństwa.

Tak samo jak do tej pory operatorzy usług kluczowych, tak teraz i inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata.

Podmioty kluczowe i ważne będą miały obowiązek korzystać z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach. Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu.

Wprowadzenie polecenia zabezpieczającego

Ma to być instytucja prawna umożliwiająca reakcję na incydent krytyczny. Zgodnie z postanowieniami projektu ustawy Minister Cyfryzacji może, po konsultacji z zespołem incydentów krytycznych wydać taki akt w formie decyzji generalnej, czyli w konkretnej sprawie, ale z rodzajowo określonymi adresatami. Zapewniono zaskarżenie do sądu administracyjnego.

W drodze polecenia zabezpieczającego można będzie nakazać danej grupie podmiotów określone zachowanie przeciwdziałające incydentowi krytycznemu – np. „zainstaluj poprawkę bezpieczeństwa”, „wycofaj oprogramowanie”, „przeprowadź szacowanie ryzyka”.

Katalog zachowań, które mogą być nakazane będzie zamknięty i dodatkowo minister będzie musiał wybrać rozwiązanie adekwatne – ta przesłanka jest bardzo istotna zarówno w przypadku stosowania prawa, jak i w trakcie ewentualnej kontroli takiej decyzji przez sąd administracyjny.

Inne istotne zmiany, jakie wprowadzi projekt, dotyczą: rozszerzenia zakresu Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej; wprowadzenia nowego dokumentu strategicznego – „Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę”; doprecyzowania zadań organów państwa w obszarze cyberbezpieczeństwa;  wyznaczenia CSIRT NASK do pełnienia roli krajowego koordynatora w ramach skoordynowanego ujawniania podatności (CVD); wzmocnienia uprawnień zespołów CSIRT poziomu krajowego, które przeprowadzają badanie sprzętu lub oprogramowania pod kątem podatności zagrażających bezpieczeństwu narodowemu.

 

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Polityka Rząd Ministerstwo Cyfryzacji Technologie Internet Bezpieczeństwo

Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązującej od 1 sierpnia 2018 roku. Od tego czasu obraz cyberprzestrzeni znacząco się zmienił - zauważa Ministerstwo Cyfryzacji, które zaprezentowało w środę projekt nowelizacji. Został on skierowany do konsultacji publicznych, które potrwają do 24 maja.

Projektowana ustawa ma istotnie wzmocnić ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni. Uwzględnia także przepisy unijnej dyrektywy NIS2, do implementacji której Polska jest zobowiązana.  M.in. dostawcy usług cyfrowych oraz podmioty administracji publicznej, które są objęte przepisami obecnej ustawy o KSC. Jak czytamy w komunikacje resortu cyfryzacji, podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane do wprowadzenia systemów zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług.

Pozostało 88% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Naczelny Sąd Administracyjny
Podatki
Nierealna darowizna nie uwolni od drakońskiego podatku. Jest wyrok NSA
Sprawdź Ofertę Powitalną z Lokatą w Citi Handlowy. Oferta ważna do 22.05.2024 r.
Materiał Promocyjny
Sprawdź Ofertę Powitalną z Lokatą w Citi Handlowy. Oferta ważna do 22.05.2024 r.
Advertisement
Lekcja religii w warszawskim liceum (zdjęcie z 2010 r.)
Samorząd
Lekcje religii po nowemu. Projekt MEiN pozwoli zaoszczędzić na katechetach
Minister sprawiedliwości, prokurator generalny Adam Bodnar
Prawnicy
Bodnar: polecenie w sprawie 144 prokuratorów nie zostało wykonane
Rząd wprowadza nowe obowiązki dla uchodźców z Ukrainy
Cudzoziemcy
Rząd wprowadza nowe obowiązki dla uchodźców z Ukrainy
Elektryczne BMW i4 już od 1100 PLN netto/mies. w ofercie BMW Comfort Lease.
Materiał Promocyjny
Elektryczne BMW i4 już od 1100 PLN netto/mies. w ofercie BMW Comfort Lease.
Posiedzenie Sądu Najwyższego w sprawie zagadnienia prawnego dotyczącego kredytów "frankowych"
Konsumenci
Jest pierwszy wyrok ws. frankowiczów po głośnej uchwale Sądu Najwyższego
Dzięki akcesji PKB Polski się podwoił
Materiał Promocyjny
Dzięki akcesji PKB Polski się podwoił
e-Wydanie