Krajowy System Cyberbezpieczeństwa – walka z hakerskimi atakami na poziomie UE

Krajowy System Cyberbezpieczeństwa (KSC) – nowa instytucja, której zadaniem będzie zapobieganie i zmniejszanie ilości ataków. Chodzi o skutki tych czynności, które naruszają bezpieczeństwo informatyczne Rzeczpospolitej Polskiej. Ustawa została podpisana 1 sierpnia 2018 roku przez Prezydenta RP, Andrzeja Dudę.

Dyrektywa NIS wchodzi w życie

Celem podpisania nowej ustawy jest wdrożenie w życie tzw. Dyrektywy NIS. Jej zadaniem ma być działanie na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci, jak również ochrona systemów informatycznych na całym terytorium UE. W Polsce realizacja tego projektu odbędzie się poprzez Krajowy System Cyberbezpieczeństwa. W skład nowej instytucji wejdą m. in. przedsiębiorcy ze specjalnie wybranych sektorów gospodarki, jak również administracja samorządowa i rządowa. System odpowiedzialny za zarządzanie cyberbezpieczeństwem w RP będzie posiadać dwa poziomy:

  • roboczy – Zespół ds. Obsługi Incydentów Krytycznych
  • instytucjonalny – Pełnomocnik Rządu ds. Cyberbezpieczeństwa; Kolegium ds. Cyberbezpieczeństwa.

Nowe obowiązki dla operatorów usług kluczowych

Każdy z ww. operatorów będzie miał za zadanie utrzymanie efektywnego systemu zarządzania bezpieczeństwem Chodzi o te instytucje, które mają kluczowe znaczenie w konkretnym sektorze, czyli np. banki, przedsiębiorstwa energetyczne, przewoźnicy zarówno kolejowi jak i lotniczy, czy też szpitale i armatorzy. Nie zabraknie również podmiotów, które tworzą cyfrową infrastrukturę.

Do najważniejszych obowiązków operatorów usług kluczowych należeć będzie:

  • wdrożenie skutecznych zabezpieczeń;
  • szacowanie ryzyka związanego z cyberbezpieczeństwem;
  • przekazywanie informacji o poważnych incydentach;
  • obsługa poważnych incydentów razem z współpracującymi Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT);
  • wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo przy świadczeniu usługi;
  • udostępnianie wiedzy z dziedziny cyberbezpieczeństwa.

Ważne: Wymagania dla kluczowych operatorów dotyczyć będą również dostawców usług cyfrowych (np. platformy handlowe online, usługa chmury online, wyszukiwarki internetowe).

Sprawowanie nadzoru wobec operatorów

Zgodnie z nową ustawą powołane zostały właściwe organy ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru. Chodzi o kontrolę operatorów usług kluczowych, jak i usług cyfrowych. Ponadto minister zajmujący się w swoim resorcie informatyzacją ma być odpowiedzialny za wymianę informacji na poziomie kraju. W dalszej kolejności jego zadaniem będzie również współpraca na poziomie europejskim.

Obsługa incydentów

Każdy z podmiotów należących do Krajowego Systemu Cyberbezpieczeństwa ma zgłaszać incydenty do właściwego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego. W przypadku Polski rolę CSIRT przyjęły:

  • Agencja Bezpieczeństwa Wewnętrznego (ABW);
  • Naukowa Akademicka Sieć Naukowa – Państwowy Instytut Badawczy;
  • Ministerstwo Obrony Narodowej (MON).

Ważne: poprzedni artykuł o Krajowym Systemie Cyberbezpieczeństwa znajdziesz tutaj.