Rząd rusza do walki z cyberzagrożeniami. Przedstawił swoją broń

Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązującej od 1 sierpnia 2018 roku. Od tego czasu obraz cyberprzestrzeni znacząco się zmienił - zauważa Ministerstwo Cyfryzacji, które zaprezentowało w środę projekt nowelizacji. Został on skierowany do konsultacji publicznych, które potrwają do 24 maja.

Projektowana ustawa ma istotnie wzmocnić ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni. Uwzględnia także przepisy unijnej dyrektywy NIS2, do implementacji której Polska jest zobowiązana.  M.in. dostawcy usług cyfrowych oraz podmioty administracji publicznej, które są objęte przepisami obecnej ustawy o KSC. Jak czytamy w komunikacje resortu cyfryzacji, podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane do wprowadzenia systemów zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług.

Czytaj więcej:

Biznes

Trzeba się przygotować na nowy wymiar cyberzagrożeń

Cyberprzestępczość przybiera na sile,...

Pro

Co się zmieni w cyberbezpieczeństwie?

Celem Krajowego Systemu Cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa na poziomie krajowym tj.  niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług. System obejmuje operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.

Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Te podmioty będą musiały wyznaczyć osobę odpowiedzialną za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.

Zgłaszanie incydentów po nowemu

Zgodnie z projektowaną regulacją incydenty poważne zgłaszane będą do CSIRT sektorowego w ściśle określonym trybie:

- wczesne ostrzeżenie o incydencie poważnym:

@ podmiot kluczowy i ważny zgłasza niezwłocznie nie później niż w ciągu 24 godzin od momentu wykrycia incydentu poważnego,

@ przedsiębiorca telekomunikacyjny – niezwłocznie w nie później niż w ciągu 12 godzin od momentu wykrycia incydentu poważnego,

- zgłoszenie incydentu poważnego — niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia;

- w trakcie obsługi incydentu sporządzane jest sprawozdanie okresowe, a po zakończeniu obsługi incydentu sprawozdanie końcowe;

- CSIRT sektorowy przekazuje wczesne ostrzeżenie oraz zgłoszenia niezwłocznie, nie później niż 8 godzin od jego otrzymania, do właściwego CSIRT MON, CSIRT NASK albo CSIRT GOV;

- wczesne ostrzeżenie może zawierać wniosek np. o udzielenie wsparcia technicznego przy obsłudze incydentu.

Ma to  zapewniać szybkie reagowanie na incydenty poważne i koordynację działań.

Czytaj więcej:

Biznes

Zaostrzenie wymogów związanych z cyberbezpieczeństwem

Dyrektywa NIS2, w celu zwiększenia po...

Pro

Podmioty kluczowe i ważne same będą się identyfikować

NIS2 ma bardzo duży zakres podmiotowy. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono więc jako podstawy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie – np. poprzez stronę internetową.

Umożliwi to ich identyfikację oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego, a także zapewni wykonywanie czynności nadzorczych przez organy właściwe do spraw cyberbezpieczeństwa. Takie działanie umożliwi także przekazywanie danych o liczbie tych podmiotów do Komisji Europejskiej i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa.

Nowe sektory jakie zostaną objęte zakresem ustawy to:

Podstawowe obowiązki podmiotów kluczowych i ważnych

W projektowanych zmianach nałożono obowiązki na podmioty kluczowe i ważne. Będą musiały wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty. Odpowiada to zakresowi wymogów, co do środków zarządzania ryzykiem wskazanych w art. 21 dyrektywy NIS2.

Kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację tych zadań przez dany podmiot i w przypadku niewywiązania się z zadań kierownika takiego podmiotu będą mogły być nałożone na niego kary. Kierownik takiego podmiotu będzie obowiązany również do przejścia stosownego szkolenia z zakresu cyberbezpieczeństwa.

Tak samo jak do tej pory operatorzy usług kluczowych, tak teraz i inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata.

Podmioty kluczowe i ważne będą miały obowiązek korzystać z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach. Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu.

Wprowadzenie polecenia zabezpieczającego

Ma to być instytucja prawna umożliwiająca reakcję na incydent krytyczny. Zgodnie z postanowieniami projektu ustawy Minister Cyfryzacji może, po konsultacji z zespołem incydentów krytycznych wydać taki akt w formie decyzji generalnej, czyli w konkretnej sprawie, ale z rodzajowo określonymi adresatami. Zapewniono zaskarżenie do sądu administracyjnego.

W drodze polecenia zabezpieczającego można będzie nakazać danej grupie podmiotów określone zachowanie przeciwdziałające incydentowi krytycznemu – np. „zainstaluj poprawkę bezpieczeństwa”, „wycofaj oprogramowanie”, „przeprowadź szacowanie ryzyka”.

Katalog zachowań, które mogą być nakazane będzie zamknięty i dodatkowo minister będzie musiał wybrać rozwiązanie adekwatne – ta przesłanka jest bardzo istotna zarówno w przypadku stosowania prawa, jak i w trakcie ewentualnej kontroli takiej decyzji przez sąd administracyjny.

Inne istotne zmiany, jakie wprowadzi projekt, dotyczą: rozszerzenia zakresu Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej; wprowadzenia nowego dokumentu strategicznego – „Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę”; doprecyzowania zadań organów państwa w obszarze cyberbezpieczeństwa;  wyznaczenia CSIRT NASK do pełnienia roli krajowego koordynatora w ramach skoordynowanego ujawniania podatności (CVD); wzmocnienia uprawnień zespołów CSIRT poziomu krajowego, które przeprowadzają badanie sprzętu lub oprogramowania pod kątem podatności zagrażających bezpieczeństwu narodowemu.