REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Sektor publiczny » Zadania » Bezpieczeństwo » Cyberbezpieczeństwo - zadania dla samorządów

Cyberbezpieczeństwo - zadania dla samorządów

Subskrybuj nas na Youtube
21 września 2018, 07:43
Cyberbezpieczeństwo - zadania dla samorządów./ fot. Shutterstock
Cyberbezpieczeństwo - zadania dla samorządów./ fot. Shutterstock
fot.Shutterstock

REKLAMA

REKLAMA

Cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Po wyjątkowo długim procesie legislacyjnym ustawa o krajowym systemie cyberbezpieczeństwa wreszcie została uchwalona. Jej wdrożenie stawia przed jednostkami samorządu terytorialnego wiele wyzwań organizacyjnych i regulacyjnych. Część z nich zostanie zasygnalizowana w tym materiale.

Stale rosnący wpływ technologii teleinformatycznych na rozwój społeczno-gospodarczy oraz wzrost ich wykorzystania sprawia, że oferowane produkty i usługi są obecnie coraz silniej zależne od zapewnienia cyberbezpieczeństwa. O skali zagrożeń, jakie wiążą się z rozwojem internetu, świadczą statystyki publikowane przez zespoły CERT (zespoły reagowania na incydenty komputerowe). W 2016 roku CERT Polska działający w NASK - Państwowym Instytucie Badawczym obsłużył 1926 incydentów, tj. o 32% więcej niż w 2015 roku. Do najczęściej zgłaszanych należą następujące kategorie incydentów: oszustwa komputerowe (55,5%), obraźliwe i nielegalne treści (12,31%), złośliwe oprogramowanie (10,96%), próby włamań (5,66%), gromadzenie informacji (3,37%), włamania (2,8%), dostępność zasobów (2,34%), atak na bezpieczeństwo informacji (2,34%), inne (4,72%). 6 lipca 2016 r. przyjęto dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Zawarte w jej treści regulacje wdraża do polskiego porządku prawnego uchwalona 5 lipca 2018 r. ustawa o krajowym systemie cyberbezpieczeństwa (dalej: ustawa).

REKLAMA

REKLAMA

Adresat: podmioty publiczne

Przepisy ustawy definiują cyberbezpieczeństwo jako "odporność systemów informacyjnych na wszelkie działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy". W tej definicji najważniejsze jest określenie przedmiotu ochrony - tj. danych lub związanych z nimi usług. Co prawda nie zdefiniowano w ustawie, czym są dane, ale uznać trzeba, że chodzi o wszelkiego rodzaju dane podlegające ochronie i te, na podstawie których świadczone są różnorakie usługi.

Cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.

Ustawa dotyczy przede wszystkim przedsiębiorców zaliczonych do grupy tzw. operatorów usług kluczowych, czyli najważniejszych przedsiębiorstw z sektora energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i infrastruktury cyfrowej. Mniejszy zakres obowiązków dotyczy dostawców usług cyfrowych, tj. dostarczycieli internetowych platform handlowych, usług przetwarzania w chmurze oraz wyszukiwarek internetowych. Jednakże najliczniejszą grupą podmiotów objętych nowymi obowiązkami ustawowymi będą podmioty publiczne, w tym m.in.: jednostki sektora finansów publicznych, instytuty badawcze; NBP, BGK, Urząd Dozoru Technicznego; Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, a także spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej. To grupa bardzo liczna, obejmująca całą administrację, samorządy terytorialne i spółki komunalne.

REKLAMA

Zadania dla samorządów

Pierwszym zadaniem będzie wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Powinna nią być osoba, która odpowiada w urzędzie za bezpieczeństwo systemów teleinformatycznych i bezpieczeństwo informacji. Szczególnie w małych jednostkach, z uwagi na ograniczoną ilość obowiązków, mogą to być te same osoby, które pełnią funkcję inspektorów ochrony danych.

Dalszy ciąg materiału pod wideo

Zobacz: RODO 2018

SŁOWNICZEK

Skrótem CSIRT określa się Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego. Przepisy ustawy wyróżniają trzy zespoły CSIRT:

● CSIRT GOV - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego,

● CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej,

● CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy.

Zgodnie z przyjętymi przepisami, jednostka samorządu terytorialnego będzie mogła wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa dla jej wszystkich jednostek organizacyjnych i przekazanie danych kontaktowych tej osoby do właściwego CSIRT. Jednakże wyznaczenie osoby kontaktowej to za mało. Konieczne będzie przygotowanie struktur i procedur, które pozwolą zrealizować następujące obowiązki:

Prawa i obowiązki dyrektora szkoły. Kompetencje. Zadania. Odwołanie
Autopromocja

Prawa i obowiązki dyrektora szkoły. Kompetencje. Zadania. Odwołanie

Sprawdź

1) zapewnienie zarządzania incydentem, tj. zapewnienie obsługi incydentu, wyszukiwania powiązań między incydentami, usuwania przyczyn ich wystąpienia oraz opracowania wniosków z obsługi incydentu,

2) zgłoszenie incydentu do właściwego CSIRT w czasie do 24 godzin od momentu jego wykrycia,

3) zapewnienie obsługi incydentu i incydentu krytycznego we współpracy z właściwym CSIRT poprzez przekazanie niezbędnych danych, w tym danych osobowych,

4) zapewnienie osobom, na rzecz których dana jednostka samorządu terytorialnego realizuje zadania publiczne, dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami; wspomniany dostęp do wiedzy powinien być realizowany w szczególności przez publikowanie informacji w tym zakresie na stronie internetowej jednostki.

Jednostki samorządu terytorialnego muszą dodatkowo pamiętać, że ustawie o krajowym systemie cyberbezpieczeństwa w sposób szczególny podlegają również podmioty nadzorowane przez te jednostki lub takie, w których te jednostki posiadają udziały. Dotyczy to w szczególności przedsiębiorców, którzy mogą być zaliczeni do kategorii operatorów usług kluczowych. Jak wspomniałem wcześniej, będą to przedsiębiorcy z następujących sektorów: energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i infrastruktury cyfrowej. O jakich zatem mówimy przedsiębiorcach w kontekście jednostek samorządu terytorialnego? Mogą to być szpitale, przedsiębiorstwa wodno-kanalizacyjne, operatorzy lotnisk. To na takich przedsiębiorcach spoczywać będzie najwięcej obowiązków związanych z budowaniem cyberbezpieczeństwa.

Zobacz: Ustrój i jednostki

Koordynacja z przepisami innych ustaw

Przed jednostkami samorządu terytorialnego stanie również wyzwanie skoordynowania obowiązków wynikających z przepisów nowej ustawy o cyberbezpieczeństwie z obowiązkami wynikającymi z innych przepisów, w szczególności z RODO, ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (w tym aktu wykonawczego do tej ustawy - Krajowych Ram Interoperacyjności czy ustawy o ochronie informacji niejawnych. Wszystkie te przepisy (a także kilka innych) splatają się ze sobą i wzajemnie się przenikają. Ważne jest, aby nie traktować ich odrębnie. Bezpieczeństwo systemów teleinformatycznych, zarządzanie i ochrona informacji, a także ochrona danych osobowych muszą tworzyć spójny system.

Procedura zgłaszania incydentu (zdarzenia mogącego mieć negatywny wpływ na cyberbezpieczeństwo)

Incydent w podmiocie publicznym zgłasza się niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia. Zgłoszenie powinno zawierać:

1) dane podmiotu zgłaszającego, w tym nazwę podmiotu, numer we właściwym rejestrze, siedzibę i adres;

2) imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby składającej zgłoszenie;

3) imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji;

4) opis wpływu incydentu w podmiocie publicznym na realizowane zadanie publiczne, w tym:

a) wskazanie zadania publicznego, na które incydent miał wpływ,

b) liczbę osób, na które incydent miał wpływ,

c) moment wystąpienia i wykrycia incydentu oraz czas jego trwania,

d) zasięg geograficzny obszaru, którego dotyczy incydent,

e) przyczynę zaistnienia incydentu i sposób jego przebiegu oraz skutki jego oddziaływania na systemy informacyjne podmiotu publicznego;

5) informacje o przyczynie i źródle incydentu;

6) informacje o podjętych działaniach zapobiegawczych;

7) informacje o podjętych działaniach naprawczych;

8) inne istotne informacje.

W zgłoszeniu podmiot publiczny oznacza informacje stanowiące tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa. Właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV może zwrócić się do podmiotu publicznego o uzupełnienie zgłoszenia o informacje, w tym informacje stanowiące tajemnice prawnie chronione, w zakresie niezbędnym do realizacji zadań, o których mowa w ustawie.

Co zatem należy czynić? Przede wszystkim zachować spokój i zdrowy rozsądek. Nie ulegać histerii oraz nie słuchać marnych, ale hałaśliwych doradców, co stało się powszechnym zjawiskiem w przypadku RODO. Należy pamiętać, że wdrożenie odpowiednich systemów bezpieczeństwa nie może służyć jedynie spełnieniu formalnych wymogów stawianych przez prawo, ale ma przede wszystkim zabezpieczać organizację przed atakami cybernetycznymi.

Każda organizacja, w szczególności podmioty publiczne, takie jak samorząd terytorialny, musi być przygotowana nie tylko do odparcia ataków cybernetycznych, ale również do działania w sytuacji, kiedy atak cybernetyczny się powiedzie. Poważne incydenty cybernetyczne mogą mieć szerokie konsekwencje finansowe, prawne i wizerunkowe. Dlatego cyberbezpieczeństwo już dawno przestało być domeną jedynie działów IT i wyspecjalizowanych komórek ds. bezpieczeństwa. W system cyberbezpieczeństwa muszą być włączone również służby prawne, odpowiedzialne za komunikację zewnętrzną oraz zarządzający daną jednostką. Zarządzający jednostkami samorządu terytorialnego muszą zdać sobie sprawę, że cyberbezpieczeństwo już dziś jest jednym z najważniejszych tematów, jakim powinni poświęcać swoją uwagę i czas. ©℗

Wojciech Dziomdziora

radca prawny, Counsel w kancelarii Domański, Zakrzewski, Palinka

Podstawa prawna

  • art. 21 - 25 ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560)

Powiązane
Krajowy system cyberbezpieczeństwa po 1 sierpnia 2018 r.
Krajowy system cyberbezpieczeństwa po 1 sierpnia 2018 r.
Procedury antykorupcyjne i Compliance - wdrażać czy nie?
Procedury antykorupcyjne i Compliance - wdrażać czy nie?
Czy organizator konkursu ma prawo brać PESEL zwycięzców?
Czy organizator konkursu ma prawo brać PESEL zwycięzców?
Źródło: Gazeta Samorządu i Administracji
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Sektor publiczny
Nowe obowiązki samorządów. Trzeba będzie bieżące postępowanie i uzupełnić dokumenty wstecz. Prezydent podpisał ustawę
19 cze 2026

Już niedługo samorządowe organy podatkowe nie tylko będą musiały przesyłać Dyrektorowi KIS wydawane przez siebie interpretacje w celu zamieszczenia ich w systemie EUREKA. Będą też musiały uzupełnić system o dokumenty wydane od 1 stycznia 2025 roku.
Tomasz Hajto gościem specjalnym na obchodach 50-lecia działalności klubu piłkarskiego Płomień Caro Makowice
19 cze 2026

W najbliższą sobotę, 20 czerwca, na boisku sportowym w Makowicach odbędą się obchody 50-lecia działalności klubu piłkarskiego Płomień Caro. Gościem specjalnym obchodów będzie były reprezentant Polski Tomasz Hajto.
Demografowie: za 3 pokolenia w Polsce będzie 12,5-18,6 mln osób (1/3-1/2 obecnej liczby ludności). I to jeżeli utrzyma się przeciętna dzietność z ostatnich 25 lat
20 cze 2026

Eksperci z Wydziału Ekonomiczno-Socjologicznego UŁ przedstawili 18 czerwca 2026 r. najważniejsze wnioski dotyczące przeprowadzonej przez nich analizy zmian demograficznych w Polsce od początku XXI w., opartej na raportach Głównego Urzędu Statystycznego. Analiza ta wykazała przede wszystkim brak zastępowalności pokoleń prowadzący do szybkiego spadku liczby ludności oraz starzenie się społeczeństwa. Czy ten ubytek uzupełnią cudzoziemcy, których coraz więcej przyjeżdża do Polski?
Program FEnIKS: Gliwice budują nowoczesny system retencji wód opadowych
18 cze 2026

Gliwice realizują program FEnIKS, którego celem jest lepsze przygotowanie miasta na skutki zmian klimatu. Powstaną zbiorniki retencyjne, ogrody deszczowe, nowe odcinki kanalizacji deszczowej oraz zostaną odtworzone rowy. Pomoże to ograniczać ryzyko podtopień, wspiera miejską zieleń i poprawi jakość przestrzeni publicznej.

REKLAMA

Nie tylko konto i przelewy. Polacy wykorzystują banki w zupełnie nowy sposób
18 cze 2026

Do urzędów za pomocą banku loguje się 51 proc. użytkowników bankowości internetowej - wynika z badania Związku Banków Polskich i Krajowej Izby Rozliczeniowej. Mniejszy odsetek korzysta z takiego uwierzytelniania u dostawców mediów, czy w usługach telekomunikacyjnych.
Czy w Koninie zostanie zbudowana elektrownia jądrowa?
19 cze 2026

W Polsce trwa budowa pierwszej elektrowni jądrowej w Choczewie. Trwają przygotowania do budowy drugiej takiej elektrowni. Jedną z proponowanych lokalizacji jest Konin. Władze samorządowe, przedsiębiorcy oraz wielu działaczy politycznych i społecznych Konina zabiegają o realizację tej inwestycji.
Świadczenie wspierające: Przedłużenie w 2026 r. orzeczenia ZUS i symetrycznie decyzji WZON o poziomie potrzeby wsparcia [Przepisy, przykłady]
18 cze 2026

Świadczenie wspierające zostało wprowadzone w 2024 r. Pomimo tak krótkiego okresu obowiązywania są już osoby, którym wygasają pierwotne decyzje o jego przyznaniu. Dotyczy to osób niepełnosprawnych, którym w 2026 roku kończy się ważność orzeczenia PZON lub ZUS dotyczącego niepełnosprawności, niezdolności do pracy albo niezdolności do samodzielnej egzystencji. Dotyczy to także osób, które mają poważny stan zdrowia i powinny otrzymać świadczenie wspierające dożywotnio. W artykule przedstawiamy przykład takiej sytuacji opisanej przez naszego czytelnika. Jego historia jest też ilustracją potrzeby wprowadzenia dożywotniego świadczenia wspierającego – stan zdrowia czytelnika najprawdopodobniej uzasadnia przyznanie takiego świadczenia. Nie ma żadnego racjonalnego uzasadnienia, aby co kilka lat stawał przed komisją ZUS albo WZON. Dziś maksymalny okres otrzymywania świadczenia wspierającego to 7 lat. W jego przypadku są to 2–3 lata, gdyż na tak krótkie okresy otrzymuje orzeczenia w ZUS (mimo że choruje od 30 lat i z trudem porusza się po schodach). Nie ma zwolnień od obowiązku ponownego przejścia procedur w ZUS i WZON dla takich osób.
Skarbnik Samorządu 2026 – sukces Gminy Choroszcz
18 cze 2026

Gmina Choroszcz potwierdziła najwyższe standardy zarządzania publicznymi pieniędzmi. Anna Radziszewska, skarbnik gminy, zajęła III miejsce w prestiżowym ogólnopolskim rankingu „Skarbnik Samorządu 2026” w kategorii gmin miejsko-wiejskich.

REKLAMA

Podanie pacjentowi numeru polisy OC – obowiązek czy wybór lekarza?
17 cze 2026

W związku z udzielaniem świadczeń zdrowotnych pojawiają się niekiedy sytuacje, gdy pacjent przychodzi z prośbą o podanie numeru polisy. Taka prośba budzi zwykle niepokój - stanowi sygnał ostrzegawczy, iż w niedługim czasie pacjent będzie dochodził roszczeń w związku z udzielonymi mu świadczeniami zdrowotnymi. Ale czy lekarz może odmówić pacjentowi podania numeru polisy ubezpieczeniowej?
Kozienice: 30 lat partnerskiej współpracy z niemiecką gminą Göllheim
18 cze 2026

W Kozienicach odbyły się obchody 30-lecia współpracy partnerskiej pomiędzy Gminą Kozienice a niemiecką Gminą Związkową Göllheim. Uroczystość podkreśliła znaczenie wieloletnich relacji, które przez trzy dekady rozwijały się wokół wspólnych wartości, wzajemnego szacunku i otwartości na współpracę.
Zapisz się na newsletter
Śledź na bieżąco nowe inicjatywy, projekty i ważne decyzje, które wpływają na Twoje życie codzienne. Zapisz się na nasz newsletter samorządowy.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA