Cyberustawa coraz bliżej

Zwiększanie poziomu cyberbezpieczeństwa to jeden z priorytetów Ministerstwa Cyfryzacji, realizowany już od listopada 2015 roku. Po konsultacjach publicznych, opiniowaniu przez inne resorty, a także zorganizowanej konferencji uzgodnieniowej, projekt ustawy o krajowym systemie cyberbezpieczeństwa został rozpatrzony przez Komitet do Spraw Europejskich Rady Ministrów.

Zakres regulacji

Projekt ustawy zapewnia wdrożenie do polskiego porządku prawnego dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148).

Stworzenie podstaw prawnych funkcjonowania krajowego systemu cyberbezpieczeństwa oraz jego rozbudowa ma umożliwić niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych, zwiększenie poziomu zabezpieczeń systemów informacyjnych służących do ich świadczenia oraz ograniczyć potencjalne skutki incydentów, w tym straty finansowe.

Efektem wprowadzonych regulacji ma być podniesienie odporności kluczowych usług świadczonych z wykorzystaniem technologii informatycznych na ataki pochodzące z cyberprzestrzeni. Tym samym projektowana regulacja przyczyni się do lepszego zapewnienia ciągłości działania tych usług, tak aby zarówno obywatele, jak i przedsiębiorstwa miały do nich stały dostęp.

Cele zmian

1. ustanowienie na szczeblu krajowym architektury ochrony systemów teleinformatycznych z uwzględnieniem regulacji międzynarodowych, oraz wskazanie organów władzy publicznej odpowiedzialnych za zarządzanie bezpieczeństwem informacji;
2. ustanowienie krajowego systemu reagowania na zagrożenia dla bezpieczeństwa informacji przetwarzanych w systemach teleinformatycznych, pochodzące z cyberprzestrzeni;
3. ustalenie zasad współpracy podmiotów zobowiązanych do wykrywania incydentów spowodowanych zagrożeniami cyberprzestrzeni i sposobów postępowania w okresie trwania tych incydentów;
4. prawne umocowanie dokumentu ustanawiającego krajową strategię bezpieczeństwa sieci i informacji mającą na celu osiągnięcie akceptowalnego poziomu cyberbezpieczeństwa Rzeczpospolitej Polskiej;
5. wskazanie sektorów gospodarki narodowej, dla których zastosowanie będą miały przepisy ustawy oraz określenie kryteriów kwalifikacji podmiotów objętych regulacją;
6. ustalenie poziomu istotności incydentu z zakresu bezpieczeństwa oraz wprowadzenie obowiązku notyfikowania incydentów wskazanemu organowi władzy publicznej;
7. ustalenie ustawowych wymagaÅ„ i powinnoÅ›ci z zakresu cyberbezpieczeÅ„stwa dla jednostek organizacyjnych z zakresu podmiotowego w obszarze organizacyjnym i technologicznym oraz delegowanie do aktów wykonawczych ustalenia szczegółów tych wymagaÅ„.

Wprowadzane zmiany

Ustawa doprecyzowuje kategorie incydentów, które różnią się w zależności rodzaju podmiotu, który je zgłasza i stopnia jego oddziaływania (progów). Wyróżnia incydenty poważne, istotne, zgłaszane przez podmioty publiczne i incydenty krytyczne.

Jako novum w stosunku do poprzedniej wersji ustawa umożliwia ustanawianie sektorowych zespołów cyberbezpieczeÅ„stwa, które bÄ™dÄ… miaÅ‚y możliwość wsparcia obsÅ‚ugi poważnych incydentów we współpracy z wÅ‚aÅ›ciwym CSIRT poziomu krajowego. 

Jednym z podstawowych zamierzeń projektodawcy było też zapewnienie pełnej wykonalności przepisów dotyczących audytów bezpieczeństwa systemów informacyjnych, przy jednoczesnym zapewnieniu konkurencyjności rynku audytu, dlatego ustawa przewiduje wiele sposobów realizacji tego obowiązku.

 WyodrÄ™bnione zostaÅ‚y zasady udostÄ™pniania informacji i przetwarzania danych osobowych.WychodzÄ…c naprzeciw potrzebie wzmocnienia koordynacji dziaÅ‚aÅ„ i wymiany informacji pomiÄ™dzy instytucjami odpowiedzialnymi za cyberbezpieczeÅ„stwo projektodawca zakÅ‚ada powoÅ‚anie instytucji PeÅ‚nomocnika RzÄ…du do Spraw CyberbezpieczeÅ„stwa oraz Kolegium do Spraw CyberbezpieczeÅ„stwa. 

Zwiększono również wysokość możliwych kar pieniężnych nakładanych na podmioty zobowiązane.

Uzgodnienia międzyresortowe, opiniowanie i konsultacje publiczne

Konsultacje publiczne, proces uzgodnieÅ„ miÄ™dzyresortowych oraz opiniowania trwaÅ‚ od 31 października do 21 listopada 2017 r. W dniu 8 grudnia br. odbyÅ‚a siÄ™ konferencja podsumowujÄ…ca proces uzgodnieÅ„ i opiniowania, a w dniach 11 i 13 grudnia br. odbyÅ‚y siÄ™ odpowiednio posiedzenia ZespoÅ‚u i Komisji Wspólnej RzÄ…du i SamorzÄ…du Terytorialnego. Projekt spotkaÅ‚ siÄ™ z dużym zainteresowaniem opiniujÄ…cych, a Ministerstwo Cyfryzacji odniosÅ‚o siÄ™ do wszystkich zgÅ‚oszonych uwag oraz zastrzeżeÅ„. 

A.J.
Zespół e-prawnik.pl