Rząd rusza do walki z cyberzagrożeniami. Jest projekt ustawy

Ministerstwo Cyfryzacji zaprezentowało projekt zmian w ustawie o Krajowym Systemie Cyberbezpieczeństwa. Obecne przepisy o KSC obowiązują od 1 sierpnia 2018 roku i mocno już odstają od aktualnego obraz cyberprzestrzeni, który w ostatnich latach mocno się zmienił. Tymczasem, by nadążyć za zmieniającymi się zagrożeniami, potrzebna jest skuteczna i precyzyjna nowelizacja obowiązującego aktu, mająca znacznie wzmocnić system bezpieczeństwa teleinformatycznego na poziomie krajowym.

Zmiany w Krajowym Systemie Cyberbezpieczeństwa to dla nas priorytetowy projekt na ten rok. Przez ostatnie lata wiele zmieniło się w krajobrazie cyberprzestrzeni, a wyzwań jest coraz więcej biorąc pod uwagę liczbę incydentów i ich konsekwencje. Jesteśmy zdeterminowani, aby wprowadzić nowe prawo szybko, ale zachowując odpowiedni okres dla przedsiębiorców do dostosowania się do regulacji.

– podkreślił Krzysztof Gawkowski, minister cyfryzacji

Projektowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które są objęte przepisami obecnej ustawy. Podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług.

Przed nami dużo pracy w zakresie współpracy z jednostkami administracji wszystkich szczebli oraz z sektorem prywatnym. Cyberbezpieczeństwo dotyka właściwie każdego elementu funkcjonowania wszystkich dużych usług. Zależy nam na zbudowaniu kompleksowego systemu, który będzie chronił instytucje, firmy oraz przede wszystkim obywateli.

– dodał Paweł Olszewski, sekretarz stanu w Ministerstwie Cyfryzacji

Co się zmieni?

Celem Krajowego Systemu Cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.  System obejmuje operatorów usług kluczowych (np. z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.

Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Podmioty te są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.

Ustawa o krajowym systemie cyberbezpieczeństwa wprowadza zmiany w zakresie:

• podmiotów kluczowych i ważnych,
• zespołów CSIRT,
• systemu S46 i Pojedynczego Punktu Kontaktowego,
• nadzoru i środków egzekwowania przepisów przez organy właściwe ds. cyberbezpieczeństwa,
• kompetencji ministra cyfryzacji,
• zmiany obowiązków Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa,
• instytucji dostawcy wysokiego ryzyka. 

Zgłaszanie incydentów

Umieszczone w zaprezentowanym projekcie ustawy zapisy regulacją tryb zgłaszania incydentów poważnych do CSIRT sektorowego. Zgodnie z nimi ma to wyglądać tak:

• wczesne ostrzeżenie o incydencie poważnym:
  • podmiot kluczowy i ważny zgłasza niezwłocznie nie później niż w ciągu 24 godzin od momentu wykrycia incydentu poważnego,
  • przedsiębiorca telekomunikacyjny – niezwłocznie w nie później niż w ciągu 12 godzin od momentu wykrycia incydentu poważnego,

• zgłoszenie incydentu poważnego – niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia,

• w trakcie obsługi incydentu sporządzane jest sprawozdanie okresowe, a po zakończeniu obsługi incydentu sprawozdanie końcowe,

• CSIRT sektorowy przekazuje wczesne ostrzeżenie oraz zgłoszenia niezwłocznie, nie później niż 8 godzin od jego otrzymania, do właściwego CSIRT MON, CSIRT NASK albo CSIRT GOV,

• wczesne ostrzeżenie może zawierać wniosek na przykład o udzielenie wsparcia technicznego przy obsłudze incydentu.

Zaproponowane w ustawie rozwiązania mają zapewnić szybkie reagowanie na incydenty poważne oraz skoordynowane działanie. Z kolei sprawozdania będą zawierać okresowe i końcowe informacje o incydencie poważnym i jego przebiegu.

Identyfikacja podmiotów kluczowych i ważnych

Znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa uwzględnia przepisy unijnej dyrektywy NIS2, która ma bardzo duży zakres podmiotowy. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej, co nie będzie możliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono więc jako podstawy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie, na przykład przez stronę internetową.

Ma to umożliwić identyfikację tych podmiotów oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego, a także zapewnić wykonywanie czynności nadzorczych przez organy właściwe do spraw cyberbezpieczeństwa. Umożłiwi to również przekazywanie danych o liczbie tych podmiotów do Komisji Europejskiej i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa.

Podstawowe obowiązki podmiotów kluczowych i ważnych

Zaprezentowany przez resort cyfryzacji projekt zmian w ustawie o KSC nakłada szereg obowiązków na podmioty kluczowe i ważne. Nowe sektory, jakie zostaną objęte zakresem ustawy, to:

• ścieki,
• zarządzanie usługami ICT,
• przestrzeń kosmiczna,
• usługi pocztowe,
• gospodarowanie odpadami;,
• produkcja, wytwarzanie i dystrybucja chemikaliów,
• produkcja, przetwarzanie i dystrybucja żywności,
• produkcja,
• badania naukowe.

Znowelizowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które są objęte przepisami obecnej ustawy o krajowym systemie cyberbezpieczeństwa. Podmioty kluczowe i ważne będą zobowiązane wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty. Odpowiada to zakresowi wymogów, co do środków zarządzania ryzykiem, wskazanych w art. 21 dyrektywy NIS2.

Kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację tych zadań przez dany podmiot i w przypadku niewywiązania się z zadań kierownika takiego podmiotu będą mogły być nałożone na niego kary. Kierownik takiego podmiotu będzie obowiązany również do przejścia stosownego szkolenia z zakresu cyberbezpieczeństwa.

Tak jak do tej pory, operatorzy usług kluczowych oraz inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata. Podmioty kluczowe i ważne będą obowiązane korzystać z systemu S46, który służy do wymiany informacji o incydentach, cyberzagrożeniach i podatnościach. Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu.

Dostawcy wysokiego ryzyka (HRV)

Instytucja dostawcy wysokiego ryzyka wynika z opublikowanego w styczniu 2020 roku zestawu środków dotyczących minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanym jako Toolbox 5G. Wymaga on transponowania przez kraje członkowskie, które mają wiele swobody co do jego wdrożenia.

Wprowadzenie polecenia zabezpieczającego

Polecenie zabezpieczające ma być instytucją prawną, umożliwiającą reakcję na incydent krytyczny. Zgodnie z postanowieniami projektu ustawy, minister cyfryzacji może, po konsultacji z zespołem incydentów krytycznych wydać taki akt w formie decyzji generalnej, czyli w konkretnej sprawie, ale z rodzajowo określonymi adresatami. W nowych przepisach zapewniono zaskarżenie tej decyzji do sądu administracyjnego.

W drodze polecenia zabezpieczającego można będzie nakazać danej grupie podmiotów określone zachowanie przeciwdziałające incydentowi krytycznemu. Polecenia te mogą wyglądać na przykład tak:

• „zainstaluj poprawkę bezpieczeństwa”,
• „wycofaj oprogramowanie”,
• „przeprowadź szacowanie ryzyka”.

Katalog zachowań, które mogą być nakazane, będzie zamknięty i dodatkowo minister będzie musiał wybrać rozwiązanie adekwatne. Ta przesłanka jest bardzo istotna zarówno w przypadku stosowania prawa, jak i w trakcie ewentualnej kontroli takiej decyzji przez sąd administracyjny.

Pozostałe zmiany

Inne istotne zmiany, które zawiera procedowany projekt ustawy, dotyczą:

• rozszerzenia zakresu Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej,
• wprowadzenia nowego dokumentu strategicznego – (Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę),
• doprecyzowania zadań organów państwa w obszarze cyberbezpieczeństwa,
• wyznaczenia CSIRT NASK do pełnienia roli krajowego koordynatora w ramach skoordynowanego ujawniania podatności (CVD),
• wzmocnienia uprawnień zespołów CSIRT poziomu krajowego, które przeprowadzają badanie sprzętu lub oprogramowania pod kątem podatności zagrażających bezpieczeństwu narodowemu – otrzymają one licencję ustawową między innymi do analizy kodu oprogramowania,
• zlikwidowania odrębnych wymogów dla wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo w podmiotach krajowego systemu cyberbezpieczeństwa oraz podmiotów świadczących usługi z zakresu cyberbezpieczeństwa.

Projekt nowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa został opublikowany w rządowym Biuletynie Informacji Publicznej. Konsultacje publiczne potrwają do 24 maja 2024 roku.

Zobacz: Wraca telegraf. Teraz to system ważny dla cyberbezpieczeństwa
Zobacz: Rząd porządkuje smartfony Polaków. Nowy obowiązek już 16 kwietnia

Źródło zdjęć: Ministerstwo Cyfryzacji

Źródło tekstu: Ministerstwo Cyfryzacji