Pozostałe

Wkrótce ustawa o cyberbezpieczeństwie

Ustawa o cyberbezpieczeństwie przyjęta przez Sejm

Przyjęta przez Sejm ustawa ma umożliwić zbudowanie krajowego systemu cyberbezpieczeństwa. Jego cel to zapewnienie niezakłóconego świadczenia usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych. Wymaga to osiągnięcia odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług.

Po przyjęciu przez Sejm 5 lipca 2018 r., ustawa została wysłana do Senatu do dalszych prac.

Ustawa o krajowym systemie cyberbezpieczeństwa implementuje do polskiego prawa dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywę NIS).

Na mocy nowych przepisów zostanie utworzony w Polsce krajowy system cyberbezpieczeństwa. W jego skład wejdą m.in. najwięksi przedsiębiorcy z wybranych sektorów gospodarki oraz administracja rządowa i samorządowa.

Ustawa nakłada obowiązki na operatorów usług, które mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej (usługi kluczowe). Wśród operatorów znajdą się największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale i podmioty tworzące w Polsce infrastrukturę cyfrową.

Operatorzy usług kluczowych

Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach i ich obsługi we współpracy z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Wymienione podmioty będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.

Wymaganiami z zakresu cyberbezpieczeństwa zostaną także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte zharmonizowanym na poziomie UE reżimem regulacyjnym.


Krajowy System Cyberbezpieczeństwa

Kwestia cyberbezpieczeństwa dotyka wielu aspektów, zagrożeń zarówno cywilnych jak i wojskowych, potrzeby zaangażowania różnych organów administracji rządowej i służb. Dlatego też w projekcie przewidziano różnorodne rozwiązania, określono zadania i wskazano podmioty odpowiedzialne za ich realizację.

Do krajowego systemu cyberbezpieczeństwa, poza operatorami, będą włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni – w sposób zharmonizowany z istniejącymi uregulowaniami w tym zakresie.

System zarządzania cyberbezpieczeństwem w Polsce obejmie zarówno na poziom roboczy (Zespół ds. Obsługi Incydentów Krytycznych) jak i instytucjonalny (Pełnomocnik Rządu ds. Cyberbezpieczeństwa oraz Kolegium ds. Cyberbezpieczeństwa).

Nadzór i wymiana informacji

Ustawa wskazuje organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych i usług cyfrowych. Każdemu sektorowi określonemu w załączniku został przydzielony organ właściwy, zgodnie z działami administracji rządowej.

Projekt przewiduje również utworzenie pojedynczego punktu kontaktowego ds. cyberbezpieczeństwa. Będzie on prowadzony przez ministra właściwego do spraw informatyzacji, który ma odpowiadać za wymianę informacji na poziomie kraju oraz współpracę na poziomie Unii Europejskiej.

Obsługa incydentów i CSIRT

Ustawa przyjęła federacyjny model obsługi incydentów, gdzie podmioty krajowego systemu będą zgłaszały incydenty do właściwego CSIRT. Rolę CSIRT przyjęły na siebie Agencja Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (CSIRT NASK) oraz resort obrony narodowej (CSIRT MON). Będą one współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa. Razem zapewnią spójny i kompletny system zarządzania ryzykiem na poziomie krajowym, realizując zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także zapewniając koordynację obsługi zgłoszonych incydentów.

Podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa utworzą spójny system pozwalający na podejmowanie różnorodnych i skutecznych działań zarówno przeciwdziałających zagrożeniom, jak i zapewniających skuteczne reagowanie w przypadku pojawienia się takich zagrożeń.

Obserwuj nas na:

Potrzebujesz porady prawnej?

KOMENTARZE (0)

Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!


Dodaj komentarz

DODAJ KOMENTARZ

ZOBACZ TAKŻE:

  • 23.8.2018

    Tworzenie Krajowego Systemu Cyberbezpieczeństwa na finiszu

    Dzięki nowej ustawie powstanie w Polsce krajowy system cyberbezpieczeństwa. W jego skład wejdą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych (...)

  • 3.6.2014

    Wadliwą pralkę czy lodówkę wymienimy na nową

    Kupiłeś wadliwą pralkę, lodówkę czy też inny sprzęt AGD? Oddajesz go kilkakrotnie do naprawy, ale ciągle się psuje? Wkrótce wystarczy, że sprzęt ulegnie usterce drugi raz, a sprzedawca będzie (...)

  • 16.8.2018

    Polskie Domy Drewniane zaczną działać już wkrótce

    Zmiany w Prawie ochrony środowiska przewidują utworzenie spółki Polskie Domy Drewniane (PDD), która będzie wspierać budownictwo mieszkaniowe w Polsce przy wykorzystaniu technologii energooszczędnego (...)

  • 4.9.2018

    Rusza krajowy system cyberbezpieczeństwa

    Stworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC) to cel ustawy, która 28 sierpnia br. weszła w życie. Po raz pierwszy powstaje system z jasnym przydziałem zadań i odpowiedzialności, (...)

  • 5.8.2018

    Krajowy System Cyberbezpieczeństwa

    Powstanie Krajowego Systemu Cyberbezpieczeństwa (KSC), który będzie wykrywał, zapobiegał i minimalizował skutki ataków naruszających bezpieczeństwo informatyczne kraju – to cel (...)