Kategorie

Krajowy system cyberbezpieczeństwa po 1 sierpnia 2018 r.

Krajowy system cyberbezpieczeństwa po 1 sierpnia 2018 r./ fot. Fotolia
Prezydent podpisał ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Zmiany dotyczą zdrowia, energetyki, transportu oraz bankowości.

Celem ustawy jest wdrożenie do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Dyrektywa zobowiązuje państwa członkowskie do zagwarantowania minimalnego poziomu zdolności krajowych w dziedzinie cyberbezpieczeństwa poprzez ustanowienie organów właściwych oraz pojedynczego punktu kontaktowego do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (CESIRT) oraz przyjęcia krajowych strategii w zakresie cyberbezpieczeństwa. Ponadto dyrektywa formułuje obowiązki służące zapewnieniu cyberbezpieczeństwa systemów informacyjnych w sektorach usług mających kluczowe znaczenie dla utrzymania krytycznej działalności społeczno–gospodarczej, a więc w energetyce, transporcie, bankowości, instytucjach finansowych, sektorze ochrony zdrowia, zaopatrzenia w wodę i infrastrukturze cyfrowej.

W uzasadnieniu do projektu ustawy wskazano, że efektem regulacji będzie podniesienie odporności usług kluczowych świadczonych w wykorzystaniem technologii informatycznych na ataki pochodzące z cyberprzestrzeni. Ustawa ma przyczynić się do zapewnienia ciągłości działania tych usług, tak aby zarówno obywatele, jak i przedsiębiorstwa miały do nich stały i niezakłócony dostęp.    

Powyższy cel ma zostać osiągnięty poprzez ustanowienie regulacji, która w szczególności:

  1. definiuje podstawowe pojęcia niezbędne dla krajowego systemu cyberbezpieczeństwa. Ustawodawca zdefiniował m.in. pojęcie cyberbezpieczeństwa jako odporność systemów informacyjnych na wszelkie działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy informacyjne;
  2. określa zasady wskazywania operatorów usług kluczowych. Zgodnie z ustawą operatorem usługi kluczowej będzie podmiot spełniający łącznie następujące warunki:
  1. będzie jednym z podmiotów wymienionych w załączniku do ustawy,
  2. będzie świadczył usługę kluczową wskazaną w wykazie usług kluczowych,
  3. świadczenie tej usługi zależeć będzie od systemów informacyjnych,
  4. incydent miałby istotny skutek zakłócający dla jej świadczenia.

W stosunku do podmiotu, który spełniał będzie łącznie wskazane powyżej przesłanki będzie wydawana decyzja administracyjna o uznaniu za operatora usługi kluczowej. Minister właściwy do spraw informatyzacji prowadził będzie rejestr operatorów usług kluczowych;

  1. określa obowiązki dla operatorów usług kluczowych dotyczące wdrożenia efektywnego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, procedury i mechanizmy zgłaszania i postępowania z incydentami czy organizację struktur na poziomie operatora;
  2. precyzuje obowiązki nakładane na dostawców usług cyfrowych (osoby prawne albo jednostki organizacyjne nie podsiadające osobowości prawnej, mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadczące usługi cyfrowe w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe). Obowiązki nakładane na dostawców usług cyfrowych związane są ze zgłaszaniem i obsługą incydentów istotnych i krytycznych oraz z informowaniem operatora usług kluczowych o incydencie istotnym mającym wpływ na ciągłość świadczenia usługi kluczowej;   
  3. określa system reagowania na incydenty i włącza w ten proces wszystkie zainteresowane podmioty;
  4. określa zadania CSIRT (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), odpowiedzialnych za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów. Ustawa sankcjonuje istniejące i działające trzy CSIRT:
  1. CSIRT GOV – czyli Rządowy Zespół Reagowania na Incydenty Komputerowe prowadzony przez Szefa ABW - do zadań którego należała będzie obsługa lub koordynacja obsługi incydentów zgłaszanych przez najistotniejsze dla ciągłości państwa jednostki sektora finansów publicznych, jednostki podległe Prezesowi Rady Ministrów i przez niego nadzorowane (m.in. RCB, KNF, UZP, URE, PGRP), Narodowy Bank Polski, Bank Gospodarstwa Krajowego oraz podmioty objęte ustawą o zarzadzaniu kryzysowym czyli podmioty, których systemy teleinformatyczne lub sieci teleinformatyczne wpisane są do jednolitego wykazu obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej,
  2. CSIRT MON – czyli Zespół Reagowania na Incydenty Komputerowe Resortu Obrony Narodowej – do zadań którego należała będzie obsługa incydentów zgłaszanych przez podmioty podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane, w tym wpisane do jednolitego wykazu obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej oraz przedsiębiorców o szczególnym znaczeniu gospodarczo – obronnym, w stosunku do których organem organizującym i nadzorującym wykonywanie zadań na rzecz obronności państwa jest Minister Obrony Narodowej,
  3. CSIRT NASK – czyli Zespół Reagowania na Incydenty Komputerowe prowadzony przez Naukową i Akademicką Sieć Komputerową - do zadań którego należała będzie przede wszystkim koordynacja obsługi incydentów istotnych zgłaszanych przez dostawców usług cyfrowych, incydentów poważnych zgłaszanych przez operatorów usług kluczowych, którzy nie są objęci ustawą o zarządzaniu kryzysowym. Ponadto do CSIRT NASK należała będzie obsługa incydentów zgłaszanych przez niektóre jednostki sektora finansów publicznych, jednostki podległe i nadzorowane przez organy administracji rządowej (z wyjątkiem jednostek podległych Prezesowi Rady Ministrów) oraz wybrane państwowe osoby prawne, utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych (UDT, PAŻP, PCA, NFOŚiGW). Co istotne do CSIRT NASK incydenty mogą zgłaszać inne, niewymienione podmioty oraz osoby fizyczne.  

CSIRT mają informować się wzajemnie oraz RCB o incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego;

  1. przewiduje włączenie aspektów cyberbezpieczeństwa do sfery zarządzania państwem;
  2. określa zasady dotyczące sposobu przekazywania do publicznej wiadomości komunikatów nt. cyberbezpieczeństwa. Komunikaty będą publikowane na stronie podmiotowej BIP odpowiednio MON, NASK lub ABW;
  3.  wskazuje organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych; organy te mają być elementem krajowego systemu cyberbezpieczeństwa odpowiedzialnym również za opracowywanie we współpracy z CSIRT wytycznych bezpieczeństwa teleinformatycznego w wymiarze sektorowym;
  4.  nakłada nowe obowiązki na ministra właściwego do spraw informatyzacji związane z prowadzeniem systemu teleinformatycznego wykorzystywanego do wymiany informacji między podmiotami tworzącymi krajowy system cyberbezpieczeństwa, do dynamicznego szacowania ryzyka na poziomie krajowym oraz do ostrzegania o zagrożeniach cyberbezpieczeństwa;
  5. ustanawia Pojedynczy Punkt Kontaktowy prowadzony przez ministra właściwego ds. informatyzacji, realizujący funkcje „łącznika” pomiędzy organami właściwymi ds. cyberbezpieczeństwa, organami władzy publicznej i CSIRT; Pojedynczy Punkt Kontaktowy ma zapewnić odbieranie i przekazywanie zgłoszeń incydentów poważnych i incydentów istotnych z innych państw członkowskich, reprezentację RP w Grupie Współpracy, współpracę z Komisją Europejską, współpracę między organami właściwymi ds. cyberbezpieczeństwa w RP i organami właściwymi państw członkowskich Unii Europejskiej, współpracę między organami władzy publicznej w RP z odpowiednimi organami w państwach członkowskich Unii Europejskiej,
  6. określa zadania Ministra Obrony Narodowej związane z zakresem ustawy, zwłaszcza z zapewnieniem zdolności Siłom Zbrojnym RP do prowadzenia działań militarnych w przypadkach szczególnych zagrożeń, oceną wpływu incydentów na system obrony państwa oraz kierowaniem działaniami związanymi z obsługą incydentów w czasie stanu wojennego;
  7.  reguluje kwestie nadzoru i kontroli realizacji zadań określonych w ustawie;
  8. określa zadania Pełnomocnika Rządu do spraw Cyberbezpieczeństwa (nowego podmiotu zajmującego się koordynacją działań dotyczących zapewnienia cyberbezpieczeństwa w RP) oraz Kolegium do spraw Cyberbezpieczeństwa (organu opiniodawczo-doradczego w sprawach cyberbezpieczeństwa), w celu zapewnienia koordynacji realizacji zadań na poziomie rządowym;
  9. określa zasady realizacji i tworzenia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Zobacz: Bezpieczeństwo

Ustawa nowelizuje ustawę z dnia z dnia 7 września 1991 r. o systemie oświaty, ustawę z dnia 4 września 1997 r. o działach administracji rządowej, ustawę z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, ustawę z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych, ustawę z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne oraz ustawę z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym. Zmiany wprowadzane w tych ustawach stanowią konsekwencje wynikające z wprowadzenia nowej regulacji.

Ustawa wejdzie w życie po upływie 14 dni od dnia ogłoszenia.

Źródło: http://www.prezydent.pl

Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code
    Sektor publiczny
    1 sty 2000
    22 cze 2021
    Zakres dat:
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Unijny Certyfikat COVID - jak pobrać na telefon?

    Unijny Certyfikat COVID - tzw. paszport covidowy (szczepionkowy) od dziś jest już dostępny w aplikacji mObywatel i można go pobrać na telefon komórkowy. Jak pobrać paszport covidowy?

    Rządowy Fundusz Polski Ład: Program Inwestycji Strategicznych dla samorządów

    Rządowy Fundusz Polski Ład: Program Inwestycji Strategicznych. Rusza nowy rządowy program, który zapewni pieniądze na inwestycje dla samorządów. Na co i na jakich zasadach będzie można otrzymać dofinansowanie?

    Dodatkowe zajęcia wspomagające w szkole - dla kogo, na jakich zasadach?

    Dodatkowe zajęcia wspomagające w szkole - dla kogo, na jakich zasadach? Czy mogą być one prowadzone w formie zdalnej? Z jakich przedmiotów organizuje się zajęcia wspomagające? Jak poinformować o nich rodziców? Jak prawidłowo wyliczyć przysługującą szkole liczbę zajęć wspomagających? Ministerstwo Edukacji i Nauki odpowiada na najczęściej pojawiające się pytania dotyczące dodatkowych lekcji po powrocie do szkół.

    Zmiany w programie Aktywna tablica 2020-2024

    Aktywna tablica 2020-2024 - zmiany. Proponowane nowe rozwiązania dotyczą m.in. wprowadzenia nowego rodzaju sprzętu, który będzie można zakupić w ramach programu i rozszerzenia na kolejne lata (2021-2024) możliwości zakupu laptopów wraz ze sprzętem umożliwiającym przetwarzanie wizerunku i głosu. Trwają konsultacje społeczne, opinie można przesyłać do 9 lipca 2021 r.

    Do kiedy Spis Powszechny?

    Spis Powszechny – do kiedy trwa? Do kiedy można się spisać przez Internet? Czy każdy domownik musi się spisać osobno? Jakie kary grożą za brak udziału w spisie ludności i mieszkań w 2021 roku?

    Nieskuteczność systemów Compliance, systemów Whistleblowingu lub ochrony danych osobowych - przyczyny

    Nieskuteczność systemów. Czy da się zlikwidować ryzyko compliance lub ryzyko naruszenia danych osobowych? Jakie są powody pozorności lub nieskuteczności systemów?

    Program Kangur - autobusy elektryczne dla gmin wiejskich

    Program Kangur - autobusy elektryczne dla gmin wiejskich. Dzięki wsparciu NFOŚiGW, w wysokości prawie 40 mln zł, autobusy elektryczne będą woziły dzieci do szkół w kolejnych 16 gminach.

    Czyste Powietrze - zmiany w programie, koniec dotacji na piece węglowe

    Czyste Powietrze - co się zmieni w programie? Do kiedy można jeszcze uzyskać dotację na piece węglowe?

    Pakiet psychologiczny – rekomendacje dla uczelni dotyczące pomocy studentom

    Pakiet psychologiczny. Na podstawie przekazanych przez uczelnie informacji na temat udzielanego w okresie epidemii wsparcia studentom, Ministerstwo Edukacji i Nauki opracowało poniższe zalecenia w zakresie zwiększenia pomocy psychologicznej.

    Nauczyciel w Polsce - pasja czy zawód? Raport o statusie nauczycieli w Polsce 2021

    Nauczyciel w Polsce - pasja czy zawód? Raport o statusie nauczycieli w Polsce 2021. Nauczyciel to zawód często oceniany. Ale czy doceniany? W raporcie zbadano, co myślą o nauczycielach rodzice, uczniowie, a także oni sami o swojej pracy.

    Domowa Opieka Medyczna - Pulsoksymetr i PulsoCare

    Domowa Opieka Medyczna to program mający na celu zdalne monitorowanie stanu zdrowia Pacjentów. Program wykorzystuje pulsoksymetr jako narzędzie diagnostyczne i aplikację PulsoCare do przekazywania i monitoringu danych.

    CEEB - zadania gmin związane ze spisem źródeł ciepła

    CEEB - zadania gmin związane ze spisem źródeł ciepła. W jakim terminie gmina powinna wprowadzić dane do ewidencji? Ile czasu ma urzędnik na wprowadzenie danych z deklaracji do systemu? Czy każdy pracownik urzędu może wprowadzać dane do CEEB? Czy przewidziano finansowanie dla gmin?

    Centralna Ewidencja Emisyjności Budynków (CEEB) - od kiedy, deklaracja

    Centralna Ewidencja Emisyjności Budynków (CEEB) - od kiedy, jak złożyć deklarację źródeł ciepła? Przedstawiamy najważniejsze informacje o nowym obowiązku, który będzie spoczywał na właścicielach i zarządcach budynków.

    CEEB - jakie kary za brak zgłoszenia do ewidencji źródeł ciepła?

    CEEB - Centralna Ewidencja Emisyjności Budynków rusza już 1 lipca 2021 roku. Oznacza to nowy obowiązek dla milionów Polaków, którzy będą musieli zgłosić, czym ogrzewają swoje domy. Jakie kary grożą za brak zgłoszenia?

    Szczepienia przeciw COVID-19 w aptekach - NFZ przyjmuje wnioski

    Szczepienia przeciw COVID-19 w aptekach. Oddziały Wojewódzkie Narodowego Funduszu Zdrowia przyjmują od wtorku wnioski od aptek, które chcą przystąpić do Narodowego Programu Szczepień przeciw COVID-19. Nabór jest otwarty i ciągły, nie ma konkretnej daty jego zakończenia.

    Aplikacja mObywatel - co można w niej znaleźć?

    Aplikacja mObywatel - co można w niej znaleźć? Już ponad 3 miliony Polaków korzysta z naszej aplikacji mObywatel, czyli cyfrowego portfela na dokumenty. Wkrótce trafi do niej Unijny Certyfikat COVID.

    Tymczasowy profil zaufany będzie stały

    Tymczasowy profil zaufany będzie stały. 17 czerwca 2021 roku wejdą ważne zmiany dotyczące profilu zaufanego, szczególnie jego tymczasowej wersji. Co się zmieni?

    Kiedy wyniki matur 2021?

    Wyniki matur 2021 – kiedy? Jak i gdzie je sprawdzić? Przedstawiamy ważne informacje dla tysięcy tegorocznych maturzystów.

    Profilaktyka 40 plus - badania od 1 lipca 2021 r.

    Profilaktyka 40 plus - badania od 1 lipca 2021 r. Minister zdrowia podpisał rozporządzenie zapowiedziane w programie Polski Ład. Z jakich badań będzie można skorzystać?

    Polski Ład: nowe miejsca pracy i infrastruktura mają rozwiązać problemy gmin

    Polski Ład to całościowe spojrzenie na problemy powiatów i gmin w całej Polsce. W ramach Polskiego Ładu budowane będą m.in. obiekty sportowe oraz infrastruktura drogowa, energetyczna, internetowa, kolejowa, które przyczynią się do rozwoju gospodarczego i poprawią jakość życia - mówił premier Mateusz Morawiecki.

    Konrad Fijołek prezydentem Rzeszowa - wyniki wyborów

    Konrad Fijołek nowym prezydentem Rzeszowa - znamy już oficjalne wyniki wyborów. Kandydat popierany przez opozycję: PO, Lewicę, PSL i Ruch Polska 2050 wygrał w pierwszej turze. Ile głosów zdobyli poszczególni kandydaci?

    Kurator oświaty - jakie ma mieć uprawnienia po zmianach?

    Kurator oświaty. Ministerstwo Edukacji i Nauki proponuje rozwiązania wzmacniające rolę kuratora oświaty. Jakie kurator ma mieć uprawnienia po zmianach?

    Lektury w szkole podstawowej – proponowane zmiany

    Lektury w szkole podstawowej – zmiany. Ministerstwo Edukacji i Nauki przygotowało propozycję zmian w liście lektur szkolnych. Jakie książki zostaną usunięte z wykazu a jakie dodane?

    Lista lektur w liceum i technikum – proponowane zmiany

    Lektury w liceum i technikum – jakie zmiany proponuje Ministerstwo Edukacji i Nauki? Skreślone z wykazu lektur mają być m.in. wiersze Marcina Świetlickiego oraz „Mała apokalipsa” Tadeusza Konwickiego. Zamiast tego uczniowie mają czytać m.in. dzieła filozoficzne i egzystencjalne Jana Pawła II.

    Dopłaty z gmin za odpady, maksymalna stawka opłaty od zużycia wody

    Dopłaty z gmin, maksymalna stawka opłaty od zużycia wody - szykują się spore zmiany w gospodarce odpadami. Co zawiera rządowy projekt zmian w ustawie o utrzymaniu czystości i porządku w gminach?