Będzie krajowy system cyberbezpieczeństwa?

Projekt ustawy dot. cyberbezpieczeństwa trafi do Sejmu - czego dotyczy?

Rada Ministrów przyjęła projekt ustawy o krajowym systemie cyberbezpieczeństwa, przygotowany przez ministra cyfryzacji.

Ustawa o krajowym systemie cyberbezpieczeństwa ma umożliwić zbudowanie systemu, który zapewni cyberbezpieczeństwo na poziomie krajowym, w tym niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych – przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług. W ramach tej struktury ma także działać system efektywnego reagowania na incydenty (będzie kompletny, transparenty i kompleksowy) zakładający włączenie w ten proces wszystkich zainteresowanych podmiotów.

Podjęte działania mają spowodować, że Polska w sposób bardziej skoordynowany będzie przeciwdziałać zagrożeniom płynącym z cyberprzestrzeni. Przygotowując projekt ustawy brano pod uwagę istniejący system bezpieczeństwa i nabyte na tym tle doświadczenie instytucjonalne. Projekt stwarza ponadto możliwość uwzględnienia w całości systemu sektora prywatnego i związanego z nim potencjału. Ustawa wpisuje się w jeden z celów Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022.

Co określa proponowana ustawa?

W projekcie ustawy określono organizację krajowego systemu cyberbezpieczeństwa (zadania i obowiązki podmiotów do niego wchodzących), sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. 

Krajowy system cyberbezpieczeństwa będzie obejmował operatorów usług kluczowych (m.in. z sektorów: energetycznego, transportowego, bankowości i infrastruktury rynków finansowych, zaopatrzenia w wodę, zdrowotnego), dostawców usług cyfrowych, zespoły CSIRT poziomu krajowego (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa (odpowiedzialne za nadzór nad operatorami usług kluczowych) oraz Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (służący do komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie). 

Projekt zawiera zasady wskazywania operatorów usług kluczowych i określa ich obowiązki. Dotyczą one wdrożenia efektywnego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, stosowanie skutecznych zabezpieczeń systemów informacyjnych, procedur i mechanizmów zgłaszania i postępowania z incydentami czy organizację struktur na poziomie operatora. Operator usługi kluczowej ma również zapewnić przeprowadzenie co najmniej raz na dwa lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej. Na poziomie operatorów usług kluczowych zostaną również powołane osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. W załączniku nr 1 do ustawy znajdują się natomiast wszystkie potencjalne kategorie podmiotów w poszczególnych sektorach gospodarki i działalności państwa, z których mogą być wyłaniani w drodze decyzji administracyjnej operatorzy usług kluczowych.

Porady prawne

Wymaganiami z zakresu cyberbezpieczeństwa zostaną objęci również dostawcy usług cyfrowych (chodzi o internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe). Ze względu na transgraniczny charakter tych usług i międzynarodową specyfikę podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte łagodniejszym reżimem regulacyjnym. Ustawa odwołuje się tutaj do rozporządzenia wykonawczego 2018/151 Komisji Europejskiej.

Do krajowego systemu cyberbezpieczeństwa będą również włączone podmioty publiczne, a zgodnie z przyjętym rozwiązaniem ustawowym podmiot publiczny będzie zobowiązany do obsługi incydentu, z pozostawieniem mu swobody co do sposobu realizacji tego obowiązku. Proponowane rozwiązanie uwzględnia istniejące już i ciągle rozbudowywane wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo w poszczególnych resortach.

Jedną z najistotniejszych części proponowanych zmian jest określenie w projektowanej ustawie systemu reagowania na incydenty i włączenie w ten proces wszystkich zainteresowanych podmiotów. Założeniem systemu reagowania na incydenty jest jego kompletność (ustanowienie we wszystkich kluczowych sektorach), transparentność i kompleksowość. Po pierwsze, ustawa określa zadania CSIRT, które będą odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów. Po drugie, ustawa przewiduje włączenie aspektów cyberbezpieczeństwa do sfery zarządzania państwem. CSIRT będą się wzajemnie informować oraz informować Rządowe Centrum Bezpieczeństwa o incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego.

Projekt ustawy wprowadza kilka kategorii incydentów, które są zróżnicowane w zależności od rodzaju podmiotu, który je zgłasza i stopnia ich oddziaływania (progów). 
Incydent poważny, zgłaszany przez operatora usług kluczowych, związany będzie z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej, a z kolei incydent istotny – musi mieć istotny wpływ na świadczenie usługi cyfrowej. Przewidziano również incydenty krytyczne, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów gospodarczych i działania instytucji publicznych.

Ustawa ustanawia organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych w sektorach wymienionych w Dyrektywie 2016/1148/UE. Właściwym ministrom dla sektora energii, transportowego, ochrony zdrowia, zaopatrzenia w wodę, infrastruktury cyfrowej i dostawców usług cyfrowych przypisano obowiązki z zakresu cyberbezpieczeństwa o charakterze administracyjnym, regulacyjnym i kontrolnym. W przypadku sektora bankowości i instytucji finansowych właściwość przypisano natomiast Komisji Nadzoru Finansowego. Organy właściwe są elementem krajowego systemu cyberbezpieczeństwa odpowiedzialnym za opracowywanie we współpracy z CSIRT rekomendacji z zakresu cyberbezpieczeństwa w wymiarze sektorowym. Natomiast ustanawiane przez organy właściwe sektorowe zespoły cyberbezpieczeństwa będą miały możliwość przyjmowania zgłoszeń o incydentach poważnych, ich analizę oraz wsparcie w ich obsłudze we współpracy z właściwym CSIRT poziomu krajowego.  

Minister Cyfryzacji będzie m.in. monitorował wdrażanie Strategii Cyberbezpieczeństwa, prowadził wykaz operatorów usług kluczowych, politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa. Będzie również prowadził Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa oraz  realizował obowiązki sprawozdawcze wobec instytucji unijnych. Pojedynczy Punkt Kontaktowy zapewni odbieranie i przekazywanie zgłoszeń incydentów poważnych i istotnych z innych krajów członkowskich, reprezentację Rzeczypospolitej Polskiej w Grupie Współpracy, współpracę z Komisją Europejską, współpracę między organami właściwymi w Rzeczypospolitej Polskiej i organami właściwymi państw członkowskich Unii Europejskiej. W przyszłości zadaniem Ministra Cyfryzacji będzie też rozwój systemu teleinformatycznego umożliwiającego zgłaszanie i obsługę incydentów, szacowanie ryzyka i ostrzeganie o zagrożeniach cyberbezpieczeństwa. 
 
Wychodząc naprzeciw potrzebie wzmocnienia koordynacji działań i wymiany informacji w warstwie strategiczno-politycznej pomiędzy instytucjami odpowiedzialnymi za cyberbezpieczeństwo w sferze cywilnej, wojskowej, sektorów usług kluczowych oraz instytucji odpowiedzialnych za zwalczanie cyberprzestępczości oraz fakt, że dotychczasowe działania miały charakter rozproszony, projektodawca zakłada powołanie pełnomocnika rządu ds. cyberbezpieczeństwa (powoływany i odwoływany przez premiera, podlegający Radzie Ministrów) oraz Kolegium ds. cyberbezpieczeństwa (przewodniczącym ma być premier).

Kiedy ustawa ma zacząć obowiązywać?

Nowe przepisy mają obowiązywać po 14 dniach od daty ich ogłoszenia w Dzienniku Ustaw. W świetle przyjętych rozwiązań w projekcie ustawy o krajowym systemie cyberbezpieczeństwa, do dnia 9 listopada 2018 r. organy właściwe w poszczególnych sektorach muszą wydać decyzje administracyjne o uznaniu za operatora usługi kluczowej.


A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika