REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Sektor publiczny » Zadania » Bezpieczeństwo » Cyberbezpieczeństwo - zadania dla samorządów

Cyberbezpieczeństwo - zadania dla samorządów

Subskrybuj nas na Youtube
21 września 2018, 07:43
Cyberbezpieczeństwo - zadania dla samorządów./ fot. Shutterstock
Cyberbezpieczeństwo - zadania dla samorządów./ fot. Shutterstock
fot.Shutterstock

REKLAMA

REKLAMA

Cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Po wyjątkowo długim procesie legislacyjnym ustawa o krajowym systemie cyberbezpieczeństwa wreszcie została uchwalona. Jej wdrożenie stawia przed jednostkami samorządu terytorialnego wiele wyzwań organizacyjnych i regulacyjnych. Część z nich zostanie zasygnalizowana w tym materiale.

Stale rosnący wpływ technologii teleinformatycznych na rozwój społeczno-gospodarczy oraz wzrost ich wykorzystania sprawia, że oferowane produkty i usługi są obecnie coraz silniej zależne od zapewnienia cyberbezpieczeństwa. O skali zagrożeń, jakie wiążą się z rozwojem internetu, świadczą statystyki publikowane przez zespoły CERT (zespoły reagowania na incydenty komputerowe). W 2016 roku CERT Polska działający w NASK - Państwowym Instytucie Badawczym obsłużył 1926 incydentów, tj. o 32% więcej niż w 2015 roku. Do najczęściej zgłaszanych należą następujące kategorie incydentów: oszustwa komputerowe (55,5%), obraźliwe i nielegalne treści (12,31%), złośliwe oprogramowanie (10,96%), próby włamań (5,66%), gromadzenie informacji (3,37%), włamania (2,8%), dostępność zasobów (2,34%), atak na bezpieczeństwo informacji (2,34%), inne (4,72%). 6 lipca 2016 r. przyjęto dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Zawarte w jej treści regulacje wdraża do polskiego porządku prawnego uchwalona 5 lipca 2018 r. ustawa o krajowym systemie cyberbezpieczeństwa (dalej: ustawa).

REKLAMA

REKLAMA

Adresat: podmioty publiczne

Przepisy ustawy definiują cyberbezpieczeństwo jako "odporność systemów informacyjnych na wszelkie działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy". W tej definicji najważniejsze jest określenie przedmiotu ochrony - tj. danych lub związanych z nimi usług. Co prawda nie zdefiniowano w ustawie, czym są dane, ale uznać trzeba, że chodzi o wszelkiego rodzaju dane podlegające ochronie i te, na podstawie których świadczone są różnorakie usługi.

Cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.

Ustawa dotyczy przede wszystkim przedsiębiorców zaliczonych do grupy tzw. operatorów usług kluczowych, czyli najważniejszych przedsiębiorstw z sektora energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i infrastruktury cyfrowej. Mniejszy zakres obowiązków dotyczy dostawców usług cyfrowych, tj. dostarczycieli internetowych platform handlowych, usług przetwarzania w chmurze oraz wyszukiwarek internetowych. Jednakże najliczniejszą grupą podmiotów objętych nowymi obowiązkami ustawowymi będą podmioty publiczne, w tym m.in.: jednostki sektora finansów publicznych, instytuty badawcze; NBP, BGK, Urząd Dozoru Technicznego; Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, a także spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej. To grupa bardzo liczna, obejmująca całą administrację, samorządy terytorialne i spółki komunalne.

REKLAMA

Zadania dla samorządów

Pierwszym zadaniem będzie wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Powinna nią być osoba, która odpowiada w urzędzie za bezpieczeństwo systemów teleinformatycznych i bezpieczeństwo informacji. Szczególnie w małych jednostkach, z uwagi na ograniczoną ilość obowiązków, mogą to być te same osoby, które pełnią funkcję inspektorów ochrony danych.

Dalszy ciąg materiału pod wideo

Zobacz: RODO 2018

SŁOWNICZEK

Skrótem CSIRT określa się Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego. Przepisy ustawy wyróżniają trzy zespoły CSIRT:

● CSIRT GOV - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego,

● CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej,

● CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy.

Zgodnie z przyjętymi przepisami, jednostka samorządu terytorialnego będzie mogła wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa dla jej wszystkich jednostek organizacyjnych i przekazanie danych kontaktowych tej osoby do właściwego CSIRT. Jednakże wyznaczenie osoby kontaktowej to za mało. Konieczne będzie przygotowanie struktur i procedur, które pozwolą zrealizować następujące obowiązki:

Prawa i obowiązki dyrektora szkoły. Kompetencje. Zadania. Odwołanie
Autopromocja

Prawa i obowiązki dyrektora szkoły. Kompetencje. Zadania. Odwołanie

Sprawdź

1) zapewnienie zarządzania incydentem, tj. zapewnienie obsługi incydentu, wyszukiwania powiązań między incydentami, usuwania przyczyn ich wystąpienia oraz opracowania wniosków z obsługi incydentu,

2) zgłoszenie incydentu do właściwego CSIRT w czasie do 24 godzin od momentu jego wykrycia,

3) zapewnienie obsługi incydentu i incydentu krytycznego we współpracy z właściwym CSIRT poprzez przekazanie niezbędnych danych, w tym danych osobowych,

4) zapewnienie osobom, na rzecz których dana jednostka samorządu terytorialnego realizuje zadania publiczne, dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami; wspomniany dostęp do wiedzy powinien być realizowany w szczególności przez publikowanie informacji w tym zakresie na stronie internetowej jednostki.

Jednostki samorządu terytorialnego muszą dodatkowo pamiętać, że ustawie o krajowym systemie cyberbezpieczeństwa w sposób szczególny podlegają również podmioty nadzorowane przez te jednostki lub takie, w których te jednostki posiadają udziały. Dotyczy to w szczególności przedsiębiorców, którzy mogą być zaliczeni do kategorii operatorów usług kluczowych. Jak wspomniałem wcześniej, będą to przedsiębiorcy z następujących sektorów: energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i infrastruktury cyfrowej. O jakich zatem mówimy przedsiębiorcach w kontekście jednostek samorządu terytorialnego? Mogą to być szpitale, przedsiębiorstwa wodno-kanalizacyjne, operatorzy lotnisk. To na takich przedsiębiorcach spoczywać będzie najwięcej obowiązków związanych z budowaniem cyberbezpieczeństwa.

Zobacz: Ustrój i jednostki

Koordynacja z przepisami innych ustaw

Przed jednostkami samorządu terytorialnego stanie również wyzwanie skoordynowania obowiązków wynikających z przepisów nowej ustawy o cyberbezpieczeństwie z obowiązkami wynikającymi z innych przepisów, w szczególności z RODO, ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (w tym aktu wykonawczego do tej ustawy - Krajowych Ram Interoperacyjności czy ustawy o ochronie informacji niejawnych. Wszystkie te przepisy (a także kilka innych) splatają się ze sobą i wzajemnie się przenikają. Ważne jest, aby nie traktować ich odrębnie. Bezpieczeństwo systemów teleinformatycznych, zarządzanie i ochrona informacji, a także ochrona danych osobowych muszą tworzyć spójny system.

Procedura zgłaszania incydentu (zdarzenia mogącego mieć negatywny wpływ na cyberbezpieczeństwo)

Incydent w podmiocie publicznym zgłasza się niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia. Zgłoszenie powinno zawierać:

1) dane podmiotu zgłaszającego, w tym nazwę podmiotu, numer we właściwym rejestrze, siedzibę i adres;

2) imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby składającej zgłoszenie;

3) imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji;

4) opis wpływu incydentu w podmiocie publicznym na realizowane zadanie publiczne, w tym:

a) wskazanie zadania publicznego, na które incydent miał wpływ,

b) liczbę osób, na które incydent miał wpływ,

c) moment wystąpienia i wykrycia incydentu oraz czas jego trwania,

d) zasięg geograficzny obszaru, którego dotyczy incydent,

e) przyczynę zaistnienia incydentu i sposób jego przebiegu oraz skutki jego oddziaływania na systemy informacyjne podmiotu publicznego;

5) informacje o przyczynie i źródle incydentu;

6) informacje o podjętych działaniach zapobiegawczych;

7) informacje o podjętych działaniach naprawczych;

8) inne istotne informacje.

W zgłoszeniu podmiot publiczny oznacza informacje stanowiące tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa. Właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV może zwrócić się do podmiotu publicznego o uzupełnienie zgłoszenia o informacje, w tym informacje stanowiące tajemnice prawnie chronione, w zakresie niezbędnym do realizacji zadań, o których mowa w ustawie.

Co zatem należy czynić? Przede wszystkim zachować spokój i zdrowy rozsądek. Nie ulegać histerii oraz nie słuchać marnych, ale hałaśliwych doradców, co stało się powszechnym zjawiskiem w przypadku RODO. Należy pamiętać, że wdrożenie odpowiednich systemów bezpieczeństwa nie może służyć jedynie spełnieniu formalnych wymogów stawianych przez prawo, ale ma przede wszystkim zabezpieczać organizację przed atakami cybernetycznymi.

Każda organizacja, w szczególności podmioty publiczne, takie jak samorząd terytorialny, musi być przygotowana nie tylko do odparcia ataków cybernetycznych, ale również do działania w sytuacji, kiedy atak cybernetyczny się powiedzie. Poważne incydenty cybernetyczne mogą mieć szerokie konsekwencje finansowe, prawne i wizerunkowe. Dlatego cyberbezpieczeństwo już dawno przestało być domeną jedynie działów IT i wyspecjalizowanych komórek ds. bezpieczeństwa. W system cyberbezpieczeństwa muszą być włączone również służby prawne, odpowiedzialne za komunikację zewnętrzną oraz zarządzający daną jednostką. Zarządzający jednostkami samorządu terytorialnego muszą zdać sobie sprawę, że cyberbezpieczeństwo już dziś jest jednym z najważniejszych tematów, jakim powinni poświęcać swoją uwagę i czas. ©℗

Wojciech Dziomdziora

radca prawny, Counsel w kancelarii Domański, Zakrzewski, Palinka

Podstawa prawna

  • art. 21 - 25 ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560)

Powiązane
Krajowy system cyberbezpieczeństwa po 1 sierpnia 2018 r.
Krajowy system cyberbezpieczeństwa po 1 sierpnia 2018 r.
Procedury antykorupcyjne i Compliance - wdrażać czy nie?
Procedury antykorupcyjne i Compliance - wdrażać czy nie?
Czy organizator konkursu ma prawo brać PESEL zwycięzców?
Czy organizator konkursu ma prawo brać PESEL zwycięzców?
Źródło: Gazeta Samorządu i Administracji
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Sektor publiczny
Chcą zakazu wydawania prasy przez samorządy: "to tuba propagandowa lokalnych włodarzy". Dlaczego wykreślono przepisy z projektu nowej ustawy medialnej?
10 gru 2025

Organizacje skupiające wydawców prasy i innych mediów lokalnych wydały wspólne oświadczenie w sprawie projektu ustawy o zmianie ustawy o radiofonii i telewizji oraz niektórych innych ustaw. Skrytykowali wykreślenie z tego projektu przepisów ograniczająych wydawanie prasy przez samorządy. Ministerstwo Kultury i Dziedzictwa Narodowego odpowiada, że pracuje nad nowym programem wsparcia dla mediów lokalnych.
Świąteczne wydatki gmin pod lupą. Ekspert: RIO sprawdza uzasadnienie, nie estetykę iluminacji
10 gru 2025

Grudzień to dla samorządów okres wzmożonej organizacji jarmarków, iluminacji, koncertów oraz wydarzeń integracyjnych. Choć takie inicjatywy są w pełni dopuszczalne, gminy muszą pamiętać, że dla organów nadzoru – RIO czy NIK – kluczowe jest nie to, czy dekoracje podobają się mieszkańcom, lecz czy ich finansowanie ma jasną podstawę prawną i zostało właściwie udokumentowane. Mec. Bartłomiej Tkaczyk, specjalista ds. obsługi samorządów i partner w kancelarii LEGALLY.SMART, przypomina najważniejsze zasady bezpiecznego planowania, a także realizowania świątecznych wydatków.
Polska zwolniona z mechanizmu relokacji w UE. Nie musimy przyjmować migrantów [Pakt migracyjny]
08 gru 2025

Szef MSWiA: państwa członkowskie zgodziły się na zwolnienie Polski z obowiązku przyjmowania migrantów. Nie dotyczy nas mechanizm solidarnościowy w ramach paktu migracyjnego. Polska nie będzie musiała płacić rekompensaty finansowej.
223 przegrane przez ZUS spory z emerytami w sądach powszechnych w sprawach dot. wyroku TK z 4 czerwca 2024 r. SK 140/20, w tym 52 prawomocne
08 gru 2025

ZUS przegrywa w sądach - 223 przegrane przez ZUS spory z emerytami w sądach powszechnych w sprawach dot. wyroku TK z 4 czerwca 2024 r. SK 140/20, w tym 52 prawomocne. Już wydane wyroki można znaleźć w pierwszej w Polsce wyszukiwarki wyroków.

REKLAMA

Ministerstwo Finansów nie żąda zapłaty za postój w strefie zastrzeżonej. Taki mail to fake i próba oszustwa!
05 gru 2025

Ministerstwo Finansów ostrzega przed próbami oszustów w wiadomościach rzekomo pochodzących z MF. Oszuści podszywają się pod Ministerstwo Finansów żądając zapłaty za postój w strefie zastrzeżonej. Ministerstwo Finansów nie jest nadawcą wiadomości tego typu. Może to być próba wyłudzenia danych lub środków finansowych. Trzeba patrzeć na adres nadawcy e-maila. Jeśli nie kończy się na „gov.pl”, a wiadomość dotyczy spraw urzędowych, konieczna jest większa czujność.
Olejomat - o co tu chodzi? Już działa 100 olejomatów w Polsce i pierwszy w Warszawie
05 gru 2025

O co chodzi z olejomatami? W Polsce jest już 100 olejomatów. Właśnie stanął pierwszy w Warszawie przy Centrum Handlowym Wola Park. Jak obsługiwać punkty zbiórki UCO? Gromadzone punkty można wymieniać na nagrody. Jakie?
Wielkopolskie: Samorząd województwa stawia na kolej i na razie nie chce inwestować w komunikację autobusową (połączenia regionalne i linie dowożące do stacji kolejowych)
04 gru 2025

Wielkopolski samorząd na razie nie zamierza angażować się w przewozy autobusowe czy rewitalizację linii kolejowych innych, niż te uwzględnione w programie Kolej Plus - przyznał PAP wicemarszałek woj. wielkopolskiego Wojciech Jankowiak. „Są pewne granice wysiłku finansowego województwa” - zaznaczył.
Stopy procentowe NBP spadły w grudniu 2025 r. o 0,25 pkt proc. Ekonomiści prognozują co nas czeka w 2026 roku
04 gru 2025

Na posiedzeniu w dniach 2-3 grudnia 2025 r. Rada Polityki Pieniężnej postanowiła obniżyć wszystkie stopy procentowe NBP o 0,25 punktu procentowego. Stopa referencyjna wynosić będzie od 4 grudnia 2025 r. 4,00 proc. w skali rocznej - poinformował w komunikacie Narodowy Bank Polski. Taka decyzja RPP nie była zaskoczeniem dla większości analityków finansowych i ekonomistów.

REKLAMA

Brakuje 800 tys. zł na start Domu dla Młodych Mam w wieku 18 i 19 lat będących w ciąży lub z małymi dziećmi
01 gru 2025

Dom dla Młodych Mam w wieku 18 i 19 lat będących w ciąży lub z małymi dziećmi nie może wystartować. Brakuje 800 tys. zł na roczne utrzymanie miejsca. Tymczasem budynek jest gotowy do zamieszkania przez pierwsze osoby.
Inne zasady dla rolników w piątki i w soboty, a inne w pozostałe dni tygodnia. Kiedy i dlaczego mogą skorzystać ze zwolnienia podatkowego?
30 lis 2025

Produkty prosto od rolnika – czy to tylko hasło reklamowe, czy rzeczywista potrzeba? Jak wskazują doświadczenia ostatnich lat, raczej to drugie. Od czasu gdy gminy zostały obciążone obowiązkiem ułatwiania rolnikom prowadzenia handlu, taką potrzebę można łatwiej zrealizować.
Zapisz się na newsletter
Śledź na bieżąco nowe inicjatywy, projekty i ważne decyzje, które wpływają na Twoje życie codzienne. Zapisz się na nasz newsletter samorządowy.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA