Cyberustawa coraz bliżej

ZwiÄ™kszanie poziomu cyberbezpieczeÅ„stwa to jeden z priorytetów Ministerstwa Cyfryzacji, realizowany już od listopada 2015 roku. Po konsultacjach publicznych, opiniowaniu przez inne resorty, a także zorganizowanej konferencji uzgodnieniowej, projekt ustawy o krajowym systemie cyberbezpieczeÅ„stwa zostaÅ‚ rozpatrzony przez Komitet do Spraw Europejskich Rady Ministrów.

Zakres regulacji

Projekt ustawy zapewnia wdrożenie do polskiego porzÄ…dku prawnego dyrektywy w sprawie Å›rodków na rzecz wysokiego wspólnego poziomu bezpieczeÅ„stwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148).

Stworzenie podstaw prawnych funkcjonowania krajowego systemu cyberbezpieczeÅ„stwa oraz jego rozbudowa ma umożliwić niezakÅ‚ócone Å›wiadczenie usÅ‚ug kluczowych z punktu widzenia paÅ„stwa i gospodarki oraz usÅ‚ug cyfrowych, zwiÄ™kszenie poziomu zabezpieczeÅ„ systemów informacyjnych sÅ‚użących do ich Å›wiadczenia oraz ograniczyć potencjalne skutki incydentów, w tym straty finansowe.

Efektem wprowadzonych regulacji ma być podniesienie odpornoÅ›ci kluczowych usÅ‚ug Å›wiadczonych z wykorzystaniem technologii informatycznych na ataki pochodzÄ…ce z cyberprzestrzeni. Tym samym projektowana regulacja przyczyni siÄ™ do lepszego zapewnienia ciÄ…gÅ‚oÅ›ci dziaÅ‚ania tych usÅ‚ug, tak aby zarówno obywatele, jak i przedsiÄ™biorstwa miaÅ‚y do nich staÅ‚y dostÄ™p.


Cele zmian

Celem ustawy jest w szczególnoÅ›ci:
  1. ustanowienie na szczeblu krajowym architektury ochrony systemów teleinformatycznych z uwzglÄ™dnieniem regulacji miÄ™dzynarodowych, oraz wskazanie organów wÅ‚adzy publicznej odpowiedzialnych za zarzÄ…dzanie bezpieczeÅ„stwem informacji;
  2. ustanowienie krajowego systemu reagowania na zagrożenia dla bezpieczeństwa informacji przetwarzanych w systemach teleinformatycznych, pochodzące z cyberprzestrzeni;
  3. ustalenie zasad wspóÅ‚pracy podmiotów zobowiÄ…zanych do wykrywania incydentów spowodowanych zagrożeniami cyberprzestrzeni i sposobów postÄ™powania w okresie trwania tych incydentów;
  4. prawne umocowanie dokumentu ustanawiającego krajową strategię bezpieczeństwa sieci i informacji mającą na celu osiągnięcie akceptowalnego poziomu cyberbezpieczeństwa Rzeczpospolitej Polskiej;
  5. wskazanie sektorów gospodarki narodowej, dla których zastosowanie bÄ™dÄ… miaÅ‚y przepisy ustawy oraz okreÅ›lenie kryteriów kwalifikacji podmiotów objÄ™tych regulacjÄ…;
  6. ustalenie poziomu istotnoÅ›ci incydentu z zakresu bezpieczeÅ„stwa oraz wprowadzenie obowiÄ…zku notyfikowania incydentów wskazanemu organowi wÅ‚adzy publicznej;
  7. ustalenie ustawowych wymagaÅ„ i powinnoÅ›ci z zakresu cyberbezpieczeÅ„stwa dla jednostek organizacyjnych z zakresu podmiotowego w obszarze organizacyjnym i technologicznym oraz delegowanie do aktów wykonawczych ustalenia szczegóÅ‚ów tych wymagaÅ„.

Wprowadzane zmiany

Ustawa doprecyzowuje kategorie incydentów, które różniÄ… siÄ™ w zależnoÅ›ci rodzaju podmiotu, który je zgÅ‚asza i stopnia jego oddziaÅ‚ywania (progów). Wyróżnia incydenty poważne, istotne, zgÅ‚aszane przez podmioty publiczne i incydenty krytyczne.

Jako novum w stosunku do poprzedniej wersji ustawa umożliwia ustanawianie sektorowych zespoÅ‚ów cyberbezpieczeÅ„stwa, które bÄ™dÄ… miaÅ‚y możliwość wsparcia obsÅ‚ugi poważnych incydentów we wspóÅ‚pracy z wÅ‚aÅ›ciwym CSIRT poziomu krajowego. 

Jednym z podstawowych zamierzeÅ„ projektodawcy byÅ‚o też zapewnienie peÅ‚nej wykonalnoÅ›ci przepisów dotyczÄ…cych audytów bezpieczeÅ„stwa systemów informacyjnych, przy jednoczesnym zapewnieniu konkurencyjnoÅ›ci rynku audytu, dlatego ustawa przewiduje wiele sposobów realizacji tego obowiÄ…zku.

 WyodrÄ™bnione zostaÅ‚y zasady udostÄ™pniania informacji i przetwarzania danych osobowych.WychodzÄ…c naprzeciw potrzebie wzmocnienia koordynacji dziaÅ‚aÅ„ i wymiany informacji pomiÄ™dzy instytucjami odpowiedzialnymi za cyberbezpieczeÅ„stwo projektodawca zakÅ‚ada powoÅ‚anie instytucji PeÅ‚nomocnika RzÄ…du do Spraw CyberbezpieczeÅ„stwa oraz Kolegium do Spraw CyberbezpieczeÅ„stwa. 

ZwiÄ™kszono również wysokość możliwych kar pieniężnych nakÅ‚adanych na podmioty zobowiÄ…zane.

Uzgodnienia międzyresortowe, opiniowanie i konsultacje publiczne

Konsultacje publiczne, proces uzgodnieÅ„ miÄ™dzyresortowych oraz opiniowania trwaÅ‚ od 31 października do 21 listopada 2017 r. W dniu 8 grudnia br. odbyÅ‚a siÄ™ konferencja podsumowujÄ…ca proces uzgodnieÅ„ i opiniowania, a w dniach 11 i 13 grudnia br. odbyÅ‚y siÄ™ odpowiednio posiedzenia ZespoÅ‚u i Komisji Wspólnej RzÄ…du i SamorzÄ…du Terytorialnego. Projekt spotkaÅ‚ siÄ™ z dużym zainteresowaniem opiniujÄ…cych, a Ministerstwo Cyfryzacji odniosÅ‚o siÄ™ do wszystkich zgÅ‚oszonych uwag oraz zastrzeżeÅ„. 

Zob. projekt ustawy o krajowym systemie cyberbezpieczeÅ„stwa