Krajowy System Cyberbezpieczeństwa - nowy projekt niedługo wejdzie w życie

20 lipca 2018
/

W niedalekiej przyszłości powstanie Krajowy System Cyberbezpieczeństwa (KSC). Jego zadaniem ma być zapobieganie, wykrywanie i zmniejszanie strat, które naruszają krajowe bezpieczeństwo informatyczne. Ustawa została przyjęta bez poprawek przez Senat i ma trafić do podpisu Prezydenta RP. Wejście ustawy w życie jest dostosowaniem polskiego prawa do dyrektywy unijnej z zakresu bezpieczeństwa informatycznego i sieciowego.

KSC m. in. w bankach, energetyce, rynkach finansowych

Krajowy System Cyberbezpieczeństwa w swoim obszarze działania ma objąć operatorów usług o kluczowym znaczeniu. Są to m. in.:

  • sektor energetyczny;
  • sektor transportowy;
  • sektor bankowy;
  • infrastruktura rynków finansowych;
  • sektor zaopatrzenia w wodę;
  • sektor zdrowotny;
  • dostawcy usług cyfrowych;
  • Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego;
  • sektorowe zespoły cyberbezpieczeństwa;
  • podmioty, które świadczą usługi z zakresu cyberbezpieczeństwa;
  • Pojedynczy Punkt Kontaktowy.

Operator kluczowych usług i jego zadania

Nowy akt prawny w swoich przepisach określa zasady wskazywania operatorów kluczowych usług. Określone zostały także ich obowiązki. Ich głównym celem jest wdrożenie efektywnego systemu zarządzania bezpieczeństwem, które obejmuje m.in:

  • zarządzanie ryzykiem;
  • stosowanie skutecznych zabezpieczeń systemów informacyjnych;
  • procedur i mechanizmów zgłaszania oraz postępowania z incydentami;
  • organizacji struktur na poziomie operatora.

Oprócz tego operator musi zadbać o przeprowadzenie audytu bezpieczeństwa systemów informacyjnych z zakresu usługi kluczowej. Taki obowiązek musi zostać spełniony min. raz w ciągu 2 lat. 

Ważne: Powołani zostaną przedstawiciele, którzy będą odpowiedzialni za podtrzymanie kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa. Do tegoż systemu wejdą również podmioty publiczne. Będą one zobowiązane do obsługi incydentu.

Zagraniczni dostawcy również objęci nowymi przepisami

Mowa o sieciowych platformach o przeznaczeniu handlowym, a także usługi przetwarzania danych w chmurze, jak również wyszukiwarki internetowe. W tym wypadku zastosowanie będzie miało rozporządzenie KE 2018/151. Chodzi o to, że przez transgraniczny charakter ww. usług i ich międzynarodową specyfikę ich obowiązki dla dostawców usług cyfrowych będą łagodniejsze.

System reagowania na incydenty

Jedna z najważniejszych zmian, które pojawiły się w nowej ustawie. Jest nią określenie zasad reagowania na incydenty i włączenie wszystkich zainteresowanych podmiotów w odbywający się proces. Do zmian należą:

  • przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym;
  • koordynacja obsługi poważnych, istotnych i krytycznych incydentów;
  • włączenie aspektów cyberbezpieczeństwa do sfery zarządzania państwem;
  • CSIRT będą się informować wzajemnie, a także informować RCB o incydencie mającym charakter krytyczny (czyli taki, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego).

Rola ministra w nowej strategii

Minister Cyfryzacji będzie miał za zadanie monitorować wdrażanie Strategii Cyberbezpieczeństwa. Poprowadzi on również wykaz operatorów usług kluczowych i politykę informacyjną związaną z krajowym systemem cyberbezpieczeństwa.

W dalszej kolejności będzie on również realizował obowiązki sprawozdawcze w stosunku do unijnych instytucji. W nieodległej przyszłości będzie on również odpowiedzialny za rozwój systemu teleinformatycznego, który stworzy możliwość zgłaszania i obsługi incydentów, jak również szacowania ryzyka i ostrzegania przed zagrożeniami z dziedziny cyberbezpieczeństwa.

Pojedynczy Punkt Kontaktowy, który również poprowadzi ww. minister będzie miał swoje zadania. Zapewni on odbieranie i przekazywanie zgłoszonych incydentów o charakterze istotnym lub poważnym z innych krajów znajdujących się w Unii Europejskiej.