ZwiÄ™kszanie poziomu cyberbezpieczeÅ„stwa to jeden z priorytetów Ministerstwa Cyfryzacji, realizowany już od listopada 2015 roku. Po konsultacjach publicznych, opiniowaniu przez inne resorty, a także zorganizowanej konferencji uzgodnieniowej, projekt ustawy o krajowym systemie cyberbezpieczeÅ„stwa zostaÅ‚ rozpatrzony przez Komitet do Spraw Europejskich Rady Ministrów.
Zakres regulacji
Projekt ustawy zapewnia wdrożenie do polskiego porzÄ…dku prawnego dyrektywy w sprawie Å›rodków na rzecz wysokiego wspólnego poziomu bezpieczeÅ„stwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148).
Stworzenie podstaw prawnych funkcjonowania krajowego systemu cyberbezpieczeÅ„stwa oraz jego rozbudowa ma umożliwić niezakÅ‚ócone Å›wiadczenie usÅ‚ug kluczowych z punktu widzenia paÅ„stwa i gospodarki oraz usÅ‚ug cyfrowych, zwiÄ™kszenie poziomu zabezpieczeÅ„ systemów informacyjnych sÅ‚użących do ich Å›wiadczenia oraz ograniczyć potencjalne skutki incydentów, w tym straty finansowe.
Efektem wprowadzonych regulacji ma być podniesienie odpornoÅ›ci kluczowych usÅ‚ug Å›wiadczonych z wykorzystaniem technologii informatycznych na ataki pochodzÄ…ce z cyberprzestrzeni. Tym samym projektowana regulacja przyczyni siÄ™ do lepszego zapewnienia ciÄ…gÅ‚oÅ›ci dziaÅ‚ania tych usÅ‚ug, tak aby zarówno obywatele, jak i przedsiÄ™biorstwa miaÅ‚y do nich staÅ‚y dostÄ™p.
Cele zmian
Celem ustawy jest w szczególnoÅ›ci:- ustanowienie na szczeblu krajowym architektury ochrony systemów teleinformatycznych z uwzglÄ™dnieniem regulacji miÄ™dzynarodowych, oraz wskazanie organów wÅ‚adzy publicznej odpowiedzialnych za zarzÄ…dzanie bezpieczeÅ„stwem informacji;
- ustanowienie krajowego systemu reagowania na zagrożenia dla bezpieczeństwa informacji przetwarzanych w systemach teleinformatycznych, pochodzące z cyberprzestrzeni;
- ustalenie zasad wspóÅ‚pracy podmiotów zobowiÄ…zanych do wykrywania incydentów spowodowanych zagrożeniami cyberprzestrzeni i sposobów postÄ™powania w okresie trwania tych incydentów;
- prawne umocowanie dokumentu ustanawiającego krajową strategię bezpieczeństwa sieci i informacji mającą na celu osiągnięcie akceptowalnego poziomu cyberbezpieczeństwa Rzeczpospolitej Polskiej;
- wskazanie sektorów gospodarki narodowej, dla których zastosowanie bÄ™dÄ… miaÅ‚y przepisy ustawy oraz okreÅ›lenie kryteriów kwalifikacji podmiotów objÄ™tych regulacjÄ…;
- ustalenie poziomu istotnoÅ›ci incydentu z zakresu bezpieczeÅ„stwa oraz wprowadzenie obowiÄ…zku notyfikowania incydentów wskazanemu organowi wÅ‚adzy publicznej;
- ustalenie ustawowych wymagaÅ„ i powinnoÅ›ci z zakresu cyberbezpieczeÅ„stwa dla jednostek organizacyjnych z zakresu podmiotowego w obszarze organizacyjnym i technologicznym oraz delegowanie do aktów wykonawczych ustalenia szczegóÅ‚ów tych wymagaÅ„.
Wprowadzane zmiany
Ustawa doprecyzowuje kategorie incydentów, które różniÄ… siÄ™ w zależnoÅ›ci rodzaju podmiotu, który je zgÅ‚asza i stopnia jego oddziaÅ‚ywania (progów). Wyróżnia incydenty poważne, istotne, zgÅ‚aszane przez podmioty publiczne i incydenty krytyczne.
Jako novum w stosunku do poprzedniej wersji ustawa umożliwia ustanawianie sektorowych zespoÅ‚ów cyberbezpieczeÅ„stwa, które bÄ™dÄ… miaÅ‚y możliwość wsparcia obsÅ‚ugi poważnych incydentów we wspóÅ‚pracy z wÅ‚aÅ›ciwym CSIRT poziomu krajowego.
Jednym z podstawowych zamierzeÅ„ projektodawcy byÅ‚o też zapewnienie peÅ‚nej wykonalnoÅ›ci przepisów dotyczÄ…cych audytów bezpieczeÅ„stwa systemów informacyjnych, przy jednoczesnym zapewnieniu konkurencyjnoÅ›ci rynku audytu, dlatego ustawa przewiduje wiele sposobów realizacji tego obowiÄ…zku.
Wyodrębnione zostały zasady udostępniania informacji i przetwarzania danych osobowych.Wychodząc naprzeciw potrzebie wzmocnienia koordynacji działań i wymiany informacji pomiędzy instytucjami odpowiedzialnymi za cyberbezpieczeństwo projektodawca zakłada powołanie instytucji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa oraz Kolegium do Spraw Cyberbezpieczeństwa.
ZwiÄ™kszono również wysokość możliwych kar pieniężnych nakÅ‚adanych na podmioty zobowiÄ…zane.
Uzgodnienia międzyresortowe, opiniowanie i konsultacje publiczne
Konsultacje publiczne, proces uzgodnieÅ„ miÄ™dzyresortowych oraz opiniowania trwaÅ‚ od 31 października do 21 listopada 2017 r. W dniu 8 grudnia br. odbyÅ‚a siÄ™ konferencja podsumowujÄ…ca proces uzgodnieÅ„ i opiniowania, a w dniach 11 i 13 grudnia br. odbyÅ‚y siÄ™ odpowiednio posiedzenia ZespoÅ‚u i Komisji Wspólnej RzÄ…du i SamorzÄ…du Terytorialnego. Projekt spotkaÅ‚ siÄ™ z dużym zainteresowaniem opiniujÄ…cych, a Ministerstwo Cyfryzacji odniosÅ‚o siÄ™ do wszystkich zgÅ‚oszonych uwag oraz zastrzeżeÅ„.