Tworzenie Krajowego Systemu Cyberbezpieczeństwa na finiszu

Prace nad tworzeniem Krajowego Systemu Cyberbezpieczeństwa

Dobiegają końca prace nad implementacją tzw. dyrektywy NIS. Ustawa, dzięki której, po raz pierwszy w Polsce, tworzy się całościowy system cyberbezpieczeństwa wejdzie w życie 28 sierpnia br. Finalizowane są obecnie prace nad ośmioma rozporządzeniami wykonawczymi, bez których pełne wdrożenie nowego systemu nie jest możliwe.

Ustawa o krajowym systemie cyberbezpieczeństwa 28 sierpnia br. stanie się więc obowiązującym aktem prawnym.

Dzięki ustawie powstanie w Polsce krajowy system cyberbezpieczeństwa. W jego skład wejdą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki.

Będzie on wykrywał, zapobiegał i minimalizował skutki ataków naruszających bezpieczeństwo informatyczne kraju.

Rozporządzenia wykonawcze

Obecnie, po etapie konsultacji społecznych, trwają uzgodnienia wewnątrzrządowe nad ostatecznym kształtem zapisów szczegółowych rozporządzeń wykonawczych do ustawy.

Poniżej prezentujemy aktualny stan prac nad poszczególnymi rozporządzeniami:

• projekt rozporządzenia Rady Ministrów w sprawie progów uznania incydentu za poważny;
• projekt rozporządzenia Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych;
• projekt rozporządzenia Rady Ministrów w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa;
• projekt rozporządzenia Rady Ministrów w sprawie dokumentacji cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych;
• projekt rozporządzenia Ministra Cyfryzacji w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług;
• projekt rozporządzenia Ministra Cyfryzacji w sprawie wzoru formularza do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług;
• projekt rozporządzenia Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo;
• rozporządzenie Ministra Cyfryzacji w sprawie wykazu certyfikatów uprawniających do przeprowadzania audytu.

Polscy eksperci aktywnie wspierają Grupę Współpracy NIS

Trudno sobie wyobrazić funkcjonowanie sprawnego systemu cyberbezpieczeństwa bez współpracy wysoko wykwalifikowanych ekspertów. Takimi bez wątpienia są pracownicy Ministerstwa Cyfryzacji, którzy dzieląc się wiedzą i doświadczeniem, współtworzą europejski system cyberbezpieczeństwa.

Jednym z istotnych elementów wpływających na budowę kompletnego i skutecznego systemu ochrony sieci i informacji na poziomie unijnym jest działalność Grupy Współpracy NIS. Od początku funkcjonowania Grupy nasi eksperci aktywnie uczestniczą w jej pracach.

Czym jest Grupa Współpracy NIS?

Grupa Współpracy powstała na podstawie przepisów dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, czyli popularnie zwanej dyrektywą NIS. Jej głównym zadaniem jest zapewnienie wysokiego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Inne obszary współpracy na poziomie strategicznym to m.in. wymiana informacji w kwestii cyberbezpieczeństwa pomiędzy państwami UE. Ponadto na poziomie operacyjnym grupa wspiera funkcjonowanie CSIRT Network, czyli sieci krajowych Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego. W skład Grupy wchodzą narodowi eksperci z dziedziny cyberbezpieczeństwa (Polskę reprezentują przedstawiciele naszego Ministerstwa) oraz specjaliści z Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji (ENISA). Grupa spotyka się na cyklicznych, roboczych spotkaniach. Grupa Współpracy działa od lutego 2017 r.

Efekty pracy naszych ekspertów

Dotychczas eksperci pracujący w ramach Grupy Współpracy opracowali siedem dokumentów zawierających niewiążące zalecenia dla państw członkowskich. Głównym celem tych opracowań jest zapewnienie efektywnego i spójnego wdrożenia dyrektywy NIS, a tym samym stworzenie skutecznego europejskiego systemu cyberbezpieczeństwa.

Wśród dokumentów przygotowanych przez narodowych ekspertów znajdują się, tak istotne z punktu widzenia zapewnienia jednolitego i wspólnego systemu, opracowania jak:

• Cybersecurity Incident Taxonomy (Klasyfikacja incydentów bezpieczeństwa), opracowany w lipcu br. dokument proponuje m.in. prostą i wspólną klasyfikację poważnych incydentów, których obsługa wymaga współpracy w ramach UE.
• Identification of Operators of Essential Services (Reference document on modalities of the consultation process in cases with cross-border impact), czyli propozycja Grupy jak identyfikować operatorów usług kluczowych, w przypadku gdy prowadzą one działalność w więcej niż jednym państwie członkowskim UE.
• Guidelines on notification of Operators of Essential Services incidents (Zalecenia procedury zgłaszania incydentów operatorów usług kluczowych), opisuje m.in. procedurę, od strony technicznej, jak wygląda zgłaszanie przez organy właściwe w państwach oraz przez narodowe CSIRTy incydentów bezpieczeństwa u operatorów usług kluczowych.

Zob. też:

• Będzie krajowy system cyberbezpieczeństwa?
• Komisja Europejska proponuje pakiet cyberbezpieczeństwa
• Krajowy System Cyberbezpieczeństwa
• Cyberustawa coraz bliżej
• Wkrótce ustawa o cyberbezpieczeństwie

A.J.
Zespół e-prawnik.pl