Reklama
Rozwiń
Rzeczpospolita
Prawo

Ustawa o krajowym systemie cyberbezpieczeństwa wchodzi w życie

Pod koniec sierpnia br. wchodzi w życie ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, której celem jest dostosowanie polskiego prawa do unijnej dyrektywy 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS).

Publikacja: 20.08.2018 13:40

Ustawa o krajowym systemie cyberbezpieczeństwa wchodzi w życie

Foto: Adobe Stock

Tomasz Gwara

Przedmiotem ustawy jest organizacja krajowego systemu cyberbezpieczeństwa oraz określenie zadań i obowiązków podmiotów wchodzących w jego skład. Określa ona również sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Czytaj także: Cyberbezpieczeństwo – lada dzień kluczowe zmiany

Celem organizacji systemu jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągniecie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienia obsługi incydentów.

Uczestnicy krajowego systemu cyberbezpieczeństwa

Krajowy system cyberbezpieczeństwa obejmuje kilkanaście kategorii podmiotów, w szczególności tzw. operatorów usług kluczowych (wybrane firmy działające m.in. w sektorach: finansowym, energetycznym, transportowym, ochrony zdrowia, zaopatrzenia w wodę pitną), dostawców usług cyfrowych, Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. zespoły CSIRT poziomu krajowego), sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa, Pełnomocnika Rządu oraz Kolegium do Spraw Cyberbezpieczeństwa oraz Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (służący komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie).

Obowiązki operatorów usług kluczowych

Ustawa zawiera zasady wskazywania operatorów usług kluczowych i określa ich obowiązki dotyczące wdrożenia skutecznego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, stosowanie zabezpieczeń systemów informacyjnych adekwatnych do zidentyfikowanego ryzyka, procedur i mechanizmów zgłaszania oraz postępowania z incydentami, prowadzenia dokumentacji czy organizacji struktur wewnętrznych.

Operator usługi kluczowej ma również zapewnić przeprowadzenie minimum raz na 2 lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej oraz powołać osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Obowiązki dostawców usług cyfrowych

Przepisami ustawy zostaną objęci również tzw. dostawcy usług cyfrowych (internetowe platformy handlowe, usługi przetwarzania danych w chmurze oraz wyszukiwarki internetowe). Obowiązki dostawców usług cyfrowych są analogiczne jak dla operatorów usług kluczowych, jednak ze względu na transgraniczny charakter tych usług zostaną one objęte łagodniejszym reżimem regulacyjnym (ustawa odwołuje się tutaj do rozporządzenia wykonawczego Komisji Europejskiej 2018/151).

Postępowanie w przypadku incydentów

Ustawa wprowadza kompleksowe obowiązki zarządzania zdarzeniami, mającymi negatywny wpływ na cyberbezpieczeństwo (tzw. incydenty) dotyczące ich obsługi, mitygowania skutków oraz raportowania do CSIRT.

Ustawa definiuje kilka kategorii incydentów, w zależności od rodzaju podmiotu zgłaszającego oraz stopnia ich oddziaływania. Incydent poważny, zgłaszany przez operatora usług kluczowych, związany jest z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej, natomiast incydent istotny – musi mieć istotny wpływ na świadczenie usługi cyfrowej. Wprowadzono także tzw. incydenty krytyczne, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów gospodarczych i działania instytucji publicznych.

CSIRT, do których raportowane będą incydenty, będą odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów. Ponadto CSIRT będą się wzajemnie informować oraz informować Rządowe Centrum Bezpieczeństwa o każdym incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego.

W ustawie ustanowiono organy właściwe ds. cyberbezpieczeństwa, odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych w sektorach wymienionych w dyrektywie 2016/1148/UE.

Obowiązki ministra

Ustawa przewiduje, że minister właściwy ds. informatyzacji będzie m.in. monitorował wdrażanie Strategii Cyberbezpieczeństwa oraz prowadził wykaz operatorów usług kluczowych i politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa. Ma też realizować obowiązki sprawozdawcze wobec instytucji unijnych. Minister będzie również prowadził Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, który zapewni odbieranie i przekazywanie zgłoszeń incydentów poważnych i istotnych z innych krajów członkowskich, reprezentację Rzeczypospolitej Polskiej w Grupie Współpracy, współpracę z Komisją Europejską, współpracę między organami właściwymi w Rzeczypospolitej Polskiej i organami właściwymi państw członkowskich Unii Europejskiej. W przyszłości zadaniem Ministra Cyfryzacji będzie też rozwój systemu teleinformatycznego umożliwiającego zgłaszanie i obsługę incydentów, szacowanie ryzyka i ostrzeganie o zagrożeniach cyberbezpieczeństwa.

Zadania Pełnomocnika i Kolegium rządu ds. Cyberbezpieczeństwa

W celu koordynacji działań i wymiany informacji między instytucjami odpowiedzialnymi za cyberbezpieczeństwo w sferach: cywilnej, wojskowej, sektorów usług kluczowych oraz instytucji odpowiedzialnych za zwalczanie cyberprzestępczości – ustawa powołuje pełnomocnika rządu ds. cyberbezpieczeństwa (będzie powoływany i odwoływany przez premiera, ma podlegać Radzie Ministrów) oraz Kolegium ds. cyberbezpieczeństwa (przewodniczącym ma być premier).

- Tomasz Gwara - Partner zarządzający, CEO / butik prawniczy Discretia

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Dane Osobowe Prawo Karne

Przedmiotem ustawy jest organizacja krajowego systemu cyberbezpieczeństwa oraz określenie zadań i obowiązków podmiotów wchodzących w jego skład. Określa ona również sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Czytaj także: Cyberbezpieczeństwo – lada dzień kluczowe zmiany

Pozostało jeszcze 93% artykułu
Sąd Najwyższy wydał ważny wyrok dla tysięcy właścicieli gruntów ze słupami
Nieruchomości
Sąd Najwyższy wydał ważny wyrok dla tysięcy właścicieli gruntów ze słupami
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
Materiał Promocyjny
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
Czy podział odziedziczonego przez rodzinę mieszkania trzeba opodatkować?
Podatki
Podział mieszkania ze spadku. Czy można uniknąć podatku?
„Matka Boska Kermitowska” obraża uczucia religijne? Jest wyrok sądu
Prawo karne
„Matka Boska Kermitowska” obraża uczucia religijne? Jest wyrok sądu
Ile zapłacimy za abonament w 2025 roku?
Prawo w Polsce
Ile zapłacimy za abonament RTV w 2025? Oto stawki od 1 stycznia i lista zwolnionych z opłaty
Najlepszy program księgowy dla biura rachunkowego
Materiał Promocyjny
Najlepszy program księgowy dla biura rachunkowego
Z ulgi podatkowej dla pracująych seniorów mogą skorzystać osobuy, które po osiągnięciu wieku emeryta
Podatki
Ulga podatkowa dla pracujących seniorów. Czym jest i kto może z niej skorzystać?
„Nowy finansowy ja” w nowym roku – aplikacja banku pomoże w wypracowaniu dobrych nawyków
Materiał Promocyjny
„Nowy finansowy ja” w nowym roku
e-Wydanie