Krajowy system cyberbezpieczeństwa po 1 sierpnia 2018 r.

Celem ustawy jest wdrożenie do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Dyrektywa zobowiązuje państwa członkowskie do zagwarantowania minimalnego poziomu zdolności krajowych w dziedzinie cyberbezpieczeństwa poprzez ustanowienie organów właściwych oraz pojedynczego punktu kontaktowego do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (CESIRT) oraz przyjęcia krajowych strategii w zakresie cyberbezpieczeństwa. Ponadto dyrektywa formułuje obowiązki służące zapewnieniu cyberbezpieczeństwa systemów informacyjnych w sektorach usług mających kluczowe znaczenie dla utrzymania krytycznej działalności społeczno–gospodarczej, a więc w energetyce, transporcie, bankowości, instytucjach finansowych, sektorze ochrony zdrowia, zaopatrzenia w wodę i infrastrukturze cyfrowej.

W uzasadnieniu do projektu ustawy wskazano, że efektem regulacji będzie podniesienie odporności usług kluczowych świadczonych w wykorzystaniem technologii informatycznych na ataki pochodzące z cyberprzestrzeni. Ustawa ma przyczynić się do zapewnienia ciągłości działania tych usług, tak aby zarówno obywatele, jak i przedsiębiorstwa miały do nich stały i niezakłócony dostęp.    

Powyższy cel ma zostać osiągnięty poprzez ustanowienie regulacji, która w szczególności:

1. definiuje podstawowe pojęcia niezbędne dla krajowego systemu cyberbezpieczeństwa. Ustawodawca zdefiniował m.in. pojęcie cyberbezpieczeństwa jako odporność systemów informacyjnych na wszelkie działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy informacyjne;
2. określa zasady wskazywania operatorów usług kluczowych. Zgodnie z ustawą operatorem usługi kluczowej będzie podmiot spełniający łącznie następujące warunki:

1. będzie jednym z podmiotów wymienionych w załączniku do ustawy,
2. będzie świadczył usługę kluczową wskazaną w wykazie usług kluczowych,
3. świadczenie tej usługi zależeć będzie od systemów informacyjnych,
4. incydent miałby istotny skutek zakłócający dla jej świadczenia.

W stosunku do podmiotu, który spełniał będzie łącznie wskazane powyżej przesłanki będzie wydawana decyzja administracyjna o uznaniu za operatora usługi kluczowej. Minister właściwy do spraw informatyzacji prowadził będzie rejestr operatorów usług kluczowych;

3. określa obowiązki dla operatorów usług kluczowych dotyczące wdrożenia efektywnego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, procedury i mechanizmy zgłaszania i postępowania z incydentami czy organizację struktur na poziomie operatora;
4. precyzuje obowiązki nakładane na dostawców usług cyfrowych (osoby prawne albo jednostki organizacyjne nie podsiadające osobowości prawnej, mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadczące usługi cyfrowe w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe). Obowiązki nakładane na dostawców usług cyfrowych związane są ze zgłaszaniem i obsługą incydentów istotnych i krytycznych oraz z informowaniem operatora usług kluczowych o incydencie istotnym mającym wpływ na ciągłość świadczenia usługi kluczowej;   
5. określa system reagowania na incydenty i włącza w ten proces wszystkie zainteresowane podmioty;
6. określa zadania CSIRT (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), odpowiedzialnych za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów. Ustawa sankcjonuje istniejące i działające trzy CSIRT:

1. CSIRT GOV – czyli Rządowy Zespół Reagowania na Incydenty Komputerowe prowadzony przez Szefa ABW - do zadań którego należała będzie obsługa lub koordynacja obsługi incydentów zgłaszanych przez najistotniejsze dla ciągłości państwa jednostki sektora finansów publicznych, jednostki podległe Prezesowi Rady Ministrów i przez niego nadzorowane (m.in. RCB, KNF, UZP, URE, PGRP), Narodowy Bank Polski, Bank Gospodarstwa Krajowego oraz podmioty objęte ustawą o zarzadzaniu kryzysowym czyli podmioty, których systemy teleinformatyczne lub sieci teleinformatyczne wpisane są do jednolitego wykazu obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej,
2. CSIRT MON – czyli Zespół Reagowania na Incydenty Komputerowe Resortu Obrony Narodowej – do zadań którego należała będzie obsługa incydentów zgłaszanych przez podmioty podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane, w tym wpisane do jednolitego wykazu obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej oraz przedsiębiorców o szczególnym znaczeniu gospodarczo – obronnym, w stosunku do których organem organizującym i nadzorującym wykonywanie zadań na rzecz obronności państwa jest Minister Obrony Narodowej,
3. CSIRT NASK – czyli Zespół Reagowania na Incydenty Komputerowe prowadzony przez Naukową i Akademicką Sieć Komputerową - do zadań którego należała będzie przede wszystkim koordynacja obsługi incydentów istotnych zgłaszanych przez dostawców usług cyfrowych, incydentów poważnych zgłaszanych przez operatorów usług kluczowych, którzy nie są objęci ustawą o zarządzaniu kryzysowym. Ponadto do CSIRT NASK należała będzie obsługa incydentów zgłaszanych przez niektóre jednostki sektora finansów publicznych, jednostki podległe i nadzorowane przez organy administracji rządowej (z wyjątkiem jednostek podległych Prezesowi Rady Ministrów) oraz wybrane państwowe osoby prawne, utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych (UDT, PAŻP, PCA, NFOŚiGW). Co istotne do CSIRT NASK incydenty mogą zgłaszać inne, niewymienione podmioty oraz osoby fizyczne.  

CSIRT mają informować się wzajemnie oraz RCB o incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego;

7. przewiduje włączenie aspektów cyberbezpieczeństwa do sfery zarządzania państwem;
8. określa zasady dotyczące sposobu przekazywania do publicznej wiadomości komunikatów nt. cyberbezpieczeństwa. Komunikaty będą publikowane na stronie podmiotowej BIP odpowiednio MON, NASK lub ABW;
9.  wskazuje organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych; organy te mają być elementem krajowego systemu cyberbezpieczeństwa odpowiedzialnym również za opracowywanie we współpracy z CSIRT wytycznych bezpieczeństwa teleinformatycznego w wymiarze sektorowym;
10.  nakłada nowe obowiązki na ministra właściwego do spraw informatyzacji związane z prowadzeniem systemu teleinformatycznego wykorzystywanego do wymiany informacji między podmiotami tworzącymi krajowy system cyberbezpieczeństwa, do dynamicznego szacowania ryzyka na poziomie krajowym oraz do ostrzegania o zagrożeniach cyberbezpieczeństwa;
11. ustanawia Pojedynczy Punkt Kontaktowy prowadzony przez ministra właściwego ds. informatyzacji, realizujący funkcje „łącznika” pomiędzy organami właściwymi ds. cyberbezpieczeństwa, organami władzy publicznej i CSIRT; Pojedynczy Punkt Kontaktowy ma zapewnić odbieranie i przekazywanie zgłoszeń incydentów poważnych i incydentów istotnych z innych państw członkowskich, reprezentację RP w Grupie Współpracy, współpracę z Komisją Europejską, współpracę między organami właściwymi ds. cyberbezpieczeństwa w RP i organami właściwymi państw członkowskich Unii Europejskiej, współpracę między organami władzy publicznej w RP z odpowiednimi organami w państwach członkowskich Unii Europejskiej,
12. określa zadania Ministra Obrony Narodowej związane z zakresem ustawy, zwłaszcza z zapewnieniem zdolności Siłom Zbrojnym RP do prowadzenia działań militarnych w przypadkach szczególnych zagrożeń, oceną wpływu incydentów na system obrony państwa oraz kierowaniem działaniami związanymi z obsługą incydentów w czasie stanu wojennego;
13.  reguluje kwestie nadzoru i kontroli realizacji zadań określonych w ustawie;
14. określa zadania Pełnomocnika Rządu do spraw Cyberbezpieczeństwa (nowego podmiotu zajmującego się koordynacją działań dotyczących zapewnienia cyberbezpieczeństwa w RP) oraz Kolegium do spraw Cyberbezpieczeństwa (organu opiniodawczo-doradczego w sprawach cyberbezpieczeństwa), w celu zapewnienia koordynacji realizacji zadań na poziomie rządowym;
15. określa zasady realizacji i tworzenia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Zobacz: Bezpieczeństwo

Ustawa nowelizuje ustawę z dnia z dnia 7 września 1991 r. o systemie oświaty, ustawę z dnia 4 września 1997 r. o działach administracji rządowej, ustawę z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, ustawę z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych, ustawę z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne oraz ustawę z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym. Zmiany wprowadzane w tych ustawach stanowią konsekwencje wynikające z wprowadzenia nowej regulacji.

Ustawa wejdzie w życie po upływie 14 dni od dnia ogłoszenia.

Źródło: http://www.prezydent.pl