Krajowy System Cyberbezpieczeństwa – nowy projekt niedługo wejdzie w życie
W niedalekiej przyszłości powstanie Krajowy System Cyberbezpieczeństwa (KSC). Jego zadaniem ma być zapobieganie, wykrywanie i zmniejszanie strat, które naruszają krajowe bezpieczeństwo informatyczne. Ustawa została przyjęta bez poprawek przez Senat i ma trafić do podpisu Prezydenta RP. Wejście ustawy w życie jest dostosowaniem polskiego prawa do dyrektywy unijnej z zakresu bezpieczeństwa informatycznego i sieciowego.
KSC m. in. w bankach, energetyce, rynkach finansowych
Krajowy System Cyberbezpieczeństwa w swoim obszarze działania ma objąć operatorów usług o kluczowym znaczeniu. Są to m. in.:
- sektor energetyczny;
- sektor transportowy;
- sektor bankowy;
- infrastruktura rynków finansowych;
- sektor zaopatrzenia w wodę;
- sektor zdrowotny;
- dostawcy usług cyfrowych;
- Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego;
- sektorowe zespoły cyberbezpieczeństwa;
- podmioty, które świadczą usługi z zakresu cyberbezpieczeństwa;
- Pojedynczy Punkt Kontaktowy.
Operator kluczowych usług i jego zadania
Nowy akt prawny w swoich przepisach określa zasady wskazywania operatorów kluczowych usług. Określone zostały także ich obowiązki. Ich głównym celem jest wdrożenie efektywnego systemu zarządzania bezpieczeństwem, które obejmuje m.in:
- zarządzanie ryzykiem;
- stosowanie skutecznych zabezpieczeń systemów informacyjnych;
- procedur i mechanizmów zgłaszania oraz postępowania z incydentami;
- organizacji struktur na poziomie operatora.
Oprócz tego operator musi zadbać o przeprowadzenie audytu bezpieczeństwa systemów informacyjnych z zakresu usługi kluczowej. Taki obowiązek musi zostać spełniony min. raz w ciągu 2 lat.
Ważne: Powołani zostaną przedstawiciele, którzy będą odpowiedzialni za podtrzymanie kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa. Do tegoż systemu wejdą również podmioty publiczne. Będą one zobowiązane do obsługi incydentu.
Zagraniczni dostawcy również objęci nowymi przepisami
Mowa o sieciowych platformach o przeznaczeniu handlowym, a także usługi przetwarzania danych w chmurze, jak również wyszukiwarki internetowe. W tym wypadku zastosowanie będzie miało rozporządzenie KE 2018/151. Chodzi o to, że przez transgraniczny charakter ww. usług i ich międzynarodową specyfikę ich obowiązki dla dostawców usług cyfrowych będą łagodniejsze.
System reagowania na incydenty
Jedna z najważniejszych zmian, które pojawiły się w nowej ustawie. Jest nią określenie zasad reagowania na incydenty i włączenie wszystkich zainteresowanych podmiotów w odbywający się proces. Do zmian należą:
- przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym;
- koordynacja obsługi poważnych, istotnych i krytycznych incydentów;
- włączenie aspektów cyberbezpieczeństwa do sfery zarządzania państwem;
- CSIRT będą się informować wzajemnie, a także informować RCB o incydencie mającym charakter krytyczny (czyli taki, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego).
Rola ministra w nowej strategii
Minister Cyfryzacji będzie miał za zadanie monitorować wdrażanie Strategii Cyberbezpieczeństwa. Poprowadzi on również wykaz operatorów usług kluczowych i politykę informacyjną związaną z krajowym systemem cyberbezpieczeństwa.
W dalszej kolejności będzie on również realizował obowiązki sprawozdawcze w stosunku do unijnych instytucji. W nieodległej przyszłości będzie on również odpowiedzialny za rozwój systemu teleinformatycznego, który stworzy możliwość zgłaszania i obsługi incydentów, jak również szacowania ryzyka i ostrzegania przed zagrożeniami z dziedziny cyberbezpieczeństwa.
Pojedynczy Punkt Kontaktowy, który również poprowadzi ww. minister będzie miał swoje zadania. Zapewni on odbieranie i przekazywanie zgłoszonych incydentów o charakterze istotnym lub poważnym z innych krajów znajdujących się w Unii Europejskiej.
