Wrócił temat Krajowego Systemu Cyberbezpieczeństwa (KSC). Resort cyfryzacji pokazał projekt ustawy, która ma istotnie wzmocnić ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni. Nowe regulacje mają zostać przyjęte jeszcze w tym roku
Ministerstwo Cyfryzacji zaprezentowało projekt zmian w ustawie o Krajowym Systemie Cyberbezpieczeństwa. Obecne przepisy o KSC obowiązują od 1 sierpnia 2018 roku i mocno już odstają od aktualnego obraz cyberprzestrzeni, który w ostatnich latach mocno się zmienił. Tymczasem, by nadążyć za zmieniającymi się zagrożeniami, potrzebna jest skuteczna i precyzyjna nowelizacja obowiązującego aktu, mająca znacznie wzmocnić system bezpieczeństwa teleinformatycznego na poziomie krajowym.
Zmiany w Krajowym Systemie Cyberbezpieczeństwa to dla nas priorytetowy projekt na ten rok. Przez ostatnie lata wiele zmieniło się w krajobrazie cyberprzestrzeni, a wyzwań jest coraz więcej biorąc pod uwagę liczbę incydentów i ich konsekwencje. Jesteśmy zdeterminowani, aby wprowadzić nowe prawo szybko, ale zachowując odpowiedni okres dla przedsiębiorców do dostosowania się do regulacji.
– podkreślił Krzysztof Gawkowski, minister cyfryzacji
Projektowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które są objęte przepisami obecnej ustawy. Podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług.
Przed nami dużo pracy w zakresie współpracy z jednostkami administracji wszystkich szczebli oraz z sektorem prywatnym. Cyberbezpieczeństwo dotyka właściwie każdego elementu funkcjonowania wszystkich dużych usług. Zależy nam na zbudowaniu kompleksowego systemu, który będzie chronił instytucje, firmy oraz przede wszystkim obywateli.
– dodał Paweł Olszewski, sekretarz stanu w Ministerstwie Cyfryzacji
Celem Krajowego Systemu Cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług. System obejmuje operatorów usług kluczowych (np. z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.
Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Podmioty te są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.
Ustawa o krajowym systemie cyberbezpieczeństwa wprowadza zmiany w zakresie:
Umieszczone w zaprezentowanym projekcie ustawy zapisy regulacją tryb zgłaszania incydentów poważnych do CSIRT sektorowego. Zgodnie z nimi ma to wyglądać tak:
Zaproponowane w ustawie rozwiązania mają zapewnić szybkie reagowanie na incydenty poważne oraz skoordynowane działanie. Z kolei sprawozdania będą zawierać okresowe i końcowe informacje o incydencie poważnym i jego przebiegu.
Znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa uwzględnia przepisy unijnej dyrektywy NIS2, która ma bardzo duży zakres podmiotowy. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej, co nie będzie możliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono więc jako podstawy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie, na przykład przez stronę internetową.
Ma to umożliwić identyfikację tych podmiotów oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego, a także zapewnić wykonywanie czynności nadzorczych przez organy właściwe do spraw cyberbezpieczeństwa. Umożłiwi to również przekazywanie danych o liczbie tych podmiotów do Komisji Europejskiej i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa.
Zaprezentowany przez resort cyfryzacji projekt zmian w ustawie o KSC nakłada szereg obowiązków na podmioty kluczowe i ważne. Nowe sektory, jakie zostaną objęte zakresem ustawy, to:
Znowelizowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które są objęte przepisami obecnej ustawy o krajowym systemie cyberbezpieczeństwa. Podmioty kluczowe i ważne będą zobowiązane wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty. Odpowiada to zakresowi wymogów, co do środków zarządzania ryzykiem, wskazanych w art. 21 dyrektywy NIS2.
Kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację tych zadań przez dany podmiot i w przypadku niewywiązania się z zadań kierownika takiego podmiotu będą mogły być nałożone na niego kary. Kierownik takiego podmiotu będzie obowiązany również do przejścia stosownego szkolenia z zakresu cyberbezpieczeństwa.
Tak jak do tej pory, operatorzy usług kluczowych oraz inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata. Podmioty kluczowe i ważne będą obowiązane korzystać z systemu S46, który służy do wymiany informacji o incydentach, cyberzagrożeniach i podatnościach. Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu.
Instytucja dostawcy wysokiego ryzyka wynika z opublikowanego w styczniu 2020 roku zestawu środków dotyczących minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanym jako Toolbox 5G. Wymaga on transponowania przez kraje członkowskie, które mają wiele swobody co do jego wdrożenia.
Polecenie zabezpieczające ma być instytucją prawną, umożliwiającą reakcję na incydent krytyczny. Zgodnie z postanowieniami projektu ustawy, minister cyfryzacji może, po konsultacji z zespołem incydentów krytycznych wydać taki akt w formie decyzji generalnej, czyli w konkretnej sprawie, ale z rodzajowo określonymi adresatami. W nowych przepisach zapewniono zaskarżenie tej decyzji do sądu administracyjnego.
W drodze polecenia zabezpieczającego można będzie nakazać danej grupie podmiotów określone zachowanie przeciwdziałające incydentowi krytycznemu. Polecenia te mogą wyglądać na przykład tak:
Katalog zachowań, które mogą być nakazane, będzie zamknięty i dodatkowo minister będzie musiał wybrać rozwiązanie adekwatne. Ta przesłanka jest bardzo istotna zarówno w przypadku stosowania prawa, jak i w trakcie ewentualnej kontroli takiej decyzji przez sąd administracyjny.
Inne istotne zmiany, które zawiera procedowany projekt ustawy, dotyczą:
Projekt nowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa został opublikowany w rządowym Biuletynie Informacji Publicznej. Konsultacje publiczne potrwają do 24 maja 2024 roku.
Zobacz: Wraca telegraf. Teraz to system ważny dla cyberbezpieczeństwa
Zobacz: Rząd porządkuje smartfony Polaków. Nowy obowiązek już 16 kwietnia
Źródło zdjęć: Ministerstwo Cyfryzacji
Źródło tekstu: Ministerstwo Cyfryzacji