Rusza krajowy system cyberbezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie

Stworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC) to cel ustawy, która 28 sierpnia br. weszła w życie. Po raz pierwszy powstaje system z jasnym przydziałem zadań i odpowiedzialności, który umożliwi sprawne działania na rzecz wykrywania, zapobiegania i minimalizowania skutków ataków naruszających cyberbezpieczeństwo RP.

Ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona przez Sejm RP 5 lipca 2018 r., 1 sierpnia podpisał ją Prezydent RP, a następnie została opublikowana w Dzienniku Ustaw RP 13 sierpnia br. (Dz. U. 2018 poz. 1560).

Ustawa oraz towarzyszące jej rozporządzenia wykonawcze w pełni wdrożą do polskiego porządku prawnego tzw. dyrektywę NIS.

Krajowy System Cyberbezpieczeństwa

Kwestia cyberbezpieczeństwa dotyka wielu aspektów, zagrożeń zarówno cywilnych jak i wojskowych, potrzeby zaangażowania różnych organów administracji rządowej i służb. Dlatego też w ustawie przewidziano różnorodne rozwiązania, określono zadania i wskazano podmioty odpowiedzialne za ich realizację.

Do krajowego systemu cyberbezpieczeństwa, poza operatorami, będą włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni – w sposób zharmonizowany z istniejącymi uregulowaniami w tym zakresie.

System zarządzania cyberbezpieczeństwem w Polsce obejmie zarówno na poziom roboczy (Zespół ds. Obsługi Incydentów Krytycznych) jak i instytucjonalny (Pełnomocnik Rządu ds. Cyberbezpieczeństwa oraz Kolegium ds. Cyberbezpieczeństwa).

Kto wchodzi w skład KSC?

Dzięki ustawie powstaje w Polsce krajowy system cyberbezpieczeństwa. W jego skład wejdą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki. W ustawie mowa jest zatem o: operatorach usług kluczowych (OUK), czyli m.in. największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale; dostawcach usług kluczowych (DUC), czyli m.in. internetowych platformach handlowych; organach właściwych (OW), czyli instytucjach publicznych, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla naszej gospodarki np. dla firm zajmujących się transportem lotniczym organem właściwym jest Minister Infrastruktury; Zespołach Reagowania na Incydenty Bezpieczeństwa Komputerowego utworzone w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON), które będą współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa; sektorowych zespołach cyberbezpieczeństwa, np. taki utworzony przez największe banki w Polsce.

Podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa utworzą spójny system pozwalający na podejmowanie różnorodnych oraz skutecznych działań zarówno przeciwdziałających zagrożeniom, jak i zapewniających skuteczne reagowanie w przypadku wystąpienia incydentów.

Wymiana informacji - to serce nowego systemu

Przy Ministrze Cyfryzacji powstanie Pojedynczy Punkt Kontaktowy (PPK), który umożliwi wymianę informacji o poważnych incydentach, które dotknęły co najmniej dwa państwa członkowskie UE. Dzięki temu nasze trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego, a także zespoły sektorowe będą ostrzegane o możliwych zagrożeniach. Ponadto te trzy Zespoły Reagowania będą mogły, poprzez Punkt Kontaktowy, przekazywać innym państwom członkowskim UE ostrzeżenia.

Ustawa wskazuje organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych i usług cyfrowych. Każdemu sektorowi określonemu w załączniku został przydzielony organ właściwy, zgodnie z działami administracji rządowej.

Operatorzy usług kluczowych

Ustawa nakłada obowiązki na operatorów usług, które mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej (usługi kluczowe). Wśród operatorów znajdą się największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale i podmioty tworzące w Polsce infrastrukturę cyfrową.

Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach i ich obsługi we współpracy z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Wymienione podmioty będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.

Wymaganiami z zakresu cyberbezpieczeństwa zostaną także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte zharmonizowanym na poziomie UE reżimem regulacyjnym.

Obowiązki operatorów usług kluczowych

Od momentu otrzymania od organu właściwego decyzji administracyjnej, dany podmiot uznany za operatora usługi kluczowej ma następujące obowiązki:

  • Po 3 miesiącach od otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza incydentami, wyznacza osobę kontaktową z właściwym CSIRT i PPK przy MC, prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności;

  • Po 6 miesiącach od otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację;

  • Po 12 miesiącach od otrzymania decyzji: przygotowuje pierwszy audyt w rozumieniu ustawy, przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom.

Za niewykonanie przez OUK obowiązków wynikających z ustawy przewidziano zastosowanie kar finansowych (patrz rozdział 14 ustawy).

Najważniejsze daty zapisane w ustawie

Poza ww. datami związanymi z obowiązkami OUK, OW np. Ministerstwo Cyfryzacji, najpóźniej do 9 listopada br., są zobowiązane do zidentyfikowania i wydania decyzji administracyjnej o uznaniu danego podmiotu za operatora usługi kluczowej. Data ta jest także granicznym terminem przekazania przez organy właściwe Ministrowi Cyfryzacji wniosków o wpisanie zidentyfikowanych operatorów do wykazu operatorów usług kluczowych.

Natomiast obowiązkiem Ministra Cyfryzacji jest przekazanie do 9 listopada br. Komisji Europejskiej informacji dotyczących m.in. wykazu usług kluczowych oraz liczby zidentyfikowanych operatorów. Na Ministrze Cyfryzacji spoczywa także obowiązek przygotowania strategii cyberbezpieczeństwa RP. Przyjęcie tej strategii ma nastąpić najpóźniej do 31 października 2019 r.

Prezes Rady Ministrów w terminie do 3 miesięcy od wejścia w życie tej ustawy powoła Pełnomocnika do Spraw Cyberbezpieczeństwa, czyli osobę odpowiedzialną za koordynowanie działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w Polsce.

Obsługa incydentów i CSIRT

Ustawa przyjęła federacyjny model obsługi incydentów, gdzie podmioty krajowego systemu będą zgłaszały incydenty do właściwego CSIRT. Rolę CSIRT przyjęły na siebie Agencja Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (CSIRT NASK) oraz resort obrony narodowej (CSIRT MON). Będą one współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa. Razem zapewnią spójny i kompletny system zarządzania ryzykiem na poziomie krajowym, realizując zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także zapewniając koordynację obsługi zgłoszonych incydentów.

Podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa utworzą spójny system pozwalający na podejmowanie różnorodnych i skutecznych działań zarówno przeciwdziałających zagrożeniom, jak i zapewniających skuteczne reagowanie w przypadku pojawienia się takich zagrożeń.

Pobierz plik PDF: Organ właściwy - schemat graficzny (plik PDF)
Pobierz plik PDF: Operatorzy usług kluczowych - schemat graficzny (plik PDF)

Rozporządzenia wykonawcze do ustawy

Przygotowano osiem rozporządzeń wykonawczych, bez których pełne wdrożenie nowego systemu nie byłoby możliwe.

Zob. też:

 

Potrzebujesz porady prawnej?

Jak nie dać się cyberprzemocy?

Jak nie dać się cyberprzemocy?

Co trzeci nastolatek, który doświadczył przemocy w Internecie, nikomu o tym nie powiedział, nikogo nie poprosił o pomoc - to jeden z wniosków badania NASK "Nastolatki 3.0". Jak radzić sobie z tym problemem? ##baner## Mniej ni cyberprzemoc, internet, sieć, nastolatek, przestępstwo, (...)

Jak nie dać się cyberprzemocy?

Jak nie dać się cyberprzemocy?

Co trzeci nastolatek, który doświadczył przemocy w Internecie, nikomu o tym nie powiedział, nikogo nie poprosił o pomoc - to jeden z wniosków badania NASK "Nastolatki 3.0". Jak radzić sobie z tym problemem? ##baner## Mniej ni cyberprzemoc, internet, sieć, nastolatek, przestępstwo, (...)

Przeniesienie numeru jeszcze prościej i bezpieczniej

Przeniesienie numeru jeszcze prościej i bezpieczniej

1 marca 2019 r. weszły w życie przepisy rozporządzenia Ministra Cyfryzacji w sprawie warunków korzystania z uprawnień w publicznych sieciach telekomunikacyjnych ułatwiające przeniesienie numeru przy zmianie dostawcy usług. przeniesienie numeru, telefon, numer, abonent, operator, dostawca (...)

Przeniesienie numeru jeszcze prościej i bezpieczniej

Przeniesienie numeru jeszcze prościej i bezpieczniej

1 marca 2019 r. weszły w życie przepisy rozporządzenia Ministra Cyfryzacji w sprawie warunków korzystania z uprawnień w publicznych sieciach telekomunikacyjnych ułatwiające przeniesienie numeru przy zmianie dostawcy usług. przeniesienie numeru, telefon, numer, abonent, operator, dostawca (...)

Zapytaj prawnika:

Dodaj załącznikDodaj załącznik

Oświadczenia i zgody RODO:


PORADY PRAWNIKA

Ochrona danych osobowych

Ochrona danych osobowych

Krajowy Rejestr Długów BIG S.A. ma ustawowy obowiązek prezentacji informacji konsumentom na ich wniosek. Chciałem skorzystać i zobaczyć jak wygląda taka informacja. Zarejestrowałem się na na stronie (...)

*upadłość domu maklerskiego

*upadłość domu maklerskiego

Inwestuję na GPW .Co dzieje się z wolnymi środkami pieniężnymi oraz już zakupionymi akcjami w razie upadłości domu maklerskiego? Czy wchodzą one do masy upadłości? W przypadku ogłoszenia upadłości (...)

Wymagania dla sprzedaży zagranicznych kosmetyków

Wymagania dla sprzedaży zagranicznych kosmetyków

Klientka zakupiła u mnie w firmie kosmetyki do włosów, kosmetyki nie posiadają polskich opisów. Czy kosmetyki bez polskich opisów mogą być dopuszczone do sprzedaży? Czy klientka może zarządać (...)

Ochrona danych osobowych

Ochrona danych osobowych

Krajowy Rejestr Długów BIG S.A. ma ustawowy obowiązek prezentacji informacji konsumentom na ich wniosek. Chciałem skorzystać i zobaczyć jak wygląda taka informacja. Zarejestrowałem się na na stronie (...)

*upadłość domu maklerskiego

*upadłość domu maklerskiego

Inwestuję na GPW .Co dzieje się z wolnymi środkami pieniężnymi oraz już zakupionymi akcjami w razie upadłości domu maklerskiego? Czy wchodzą one do masy upadłości? W przypadku ogłoszenia upadłości (...)

Wymagania dla sprzedaży zagranicznych kosmetyków

Wymagania dla sprzedaży zagranicznych kosmetyków

Klientka zakupiła u mnie w firmie kosmetyki do włosów, kosmetyki nie posiadają polskich opisów. Czy kosmetyki bez polskich opisów mogą być dopuszczone do sprzedaży? Czy klientka może zarządać (...)

Wysokość kary umownej

Wysokość kary umownej

Operator telefonii komórkowej wypowiedział pani x umowę o świadczenie usług połączeń komórkowych, ponieważ pani x nie opłaciła rachunków. Za nie dotrzymanie przez panią x warunków umowy (...)

Wysokość kary umownej

Wysokość kary umownej

Operator telefonii komórkowej wypowiedział pani x umowę o świadczenie usług połączeń komórkowych, ponieważ pani x nie opłaciła rachunków. Za nie dotrzymanie przez panią x warunków umowy (...)

Opłata za wydanie billingu

Opłata za wydanie billingu

Potrzebny jest mi wykaz moich połączeń telefonicznych wychodzących z jednego dnia 2 miesiące temu. Billing nie jest już dostępny online, a operator poinformował mnie, że mogę zamówić go pocztą (...)

Zerwanie umowy z operatorem sieci komórkowej

Zerwanie umowy z operatorem sieci komórkowej

Mąż w 2006 roku podpisał 2 letnią umowę z operatorem sieci komórkowej (telefon komórkowy na abonament). Po kilku miesiącach zaczęły powstawać zaległości z płatnościami, regulowane nieregularnie (...)

Nierzetelne postępowanie operatora

Nierzetelne postępowanie operatora

W grudniu 2003 r. podpisałem kontrakt z operatorem telefonii komórkowej jako abonent jednej z taryf. Miał on wygasnąć w grudniu 2005 r. Zawsze płaciłem rachunki na czas. Od czerwca do września (...)

E-mail jako dowód w sprawie

E-mail jako dowód w sprawie

W sprawie gospodarczej jednym z pomocniczych dowodów mają być wydruki e-maili. Czy można w pozwie wnioskować o wezwanie dostawcy usługi internetowej do wydania potwierdzenia istnienia takiego maila? (...)

Naliczanie opłat za nieświadczone usługi

Naliczanie opłat za nieświadczone usługi

Chciałbym się zapytać jak od strony prawnej wygląda taka sprawa. Kilka miesięcy temu rozpocząłem spór z operatorem w sprawie faktury, która wg mnie została niepoprawnie naliczona. Ponieważ, (...)

FORUM PRAWNE

Dopłaty dodatkow do zleceń - SendIt i windykacja

Dopłaty dodatkow do zleceń - SendIt i windykacja Mam problem z pośrednikiem (SendIt) firmy kurierskiej UPS. Wysyłałam za pośrednictwem tej firmy przesyłki, ok 450 od marca 2012 roku do końca września (...)

Umowa z siłownią

Umowa z siłownią Witam wszystkich. Od kilku lat korzystam z usług jednej z siłowni fitness academy. Często kupowałam karnet do klubu na stronie ebeactive.pl w promocji 3+3 za 269 zł. Zawsze klub (...)

Zmiana warunków umowy

Zmiana warunków umowy Jeśli regulamin świadczenia usług telakomunikacyjnych jest powołany w treści umowy, czy zmiana regulaminu stanowi wypowiedzenie warunków umowy? Czy nie wyrażenie zgody przez (...)

Zmiana szybkości internetu, a zmuszanie do podpisania umowy 2 letniej.

Zmiana szybkości internetu, a zmuszanie do podpisania umowy 2 letniej. Dostawca net (operator telewizji i Internetu kablowego), zmienił cennik usług. Dotychczasowa cena i szybkość łącz była nieadekwatna (...)

Sprawdzenie umowy deweloperskiej, szukam prawnika z Lublina

Sprawdzenie umowy deweloperskiej, szukam prawnika z Lublina Witam! Nie wiem, czy zakładam w dobrym dziale. Szukam prawnika z Lublina, który pomoże w sprawdzeniu umowy z deweloperem, może też sprawdzi (...)

Dopłaty dodatkow do zleceń - SendIt i windykacja

Dopłaty dodatkow do zleceń - SendIt i windykacja Mam problem z pośrednikiem (SendIt) firmy kurierskiej UPS. Wysyłałam za pośrednictwem tej firmy przesyłki, ok 450 od marca 2012 roku do końca września (...)

Umowa z siłownią

Umowa z siłownią Witam wszystkich. Od kilku lat korzystam z usług jednej z siłowni fitness academy. Często kupowałam karnet do klubu na stronie ebeactive.pl w promocji 3+3 za 269 zł. Zawsze klub (...)

Zmiana warunków umowy

Zmiana warunków umowy Jeśli regulamin świadczenia usług telakomunikacyjnych jest powołany w treści umowy, czy zmiana regulaminu stanowi wypowiedzenie warunków umowy? Czy nie wyrażenie zgody przez (...)

Zmiana szybkości internetu, a zmuszanie do podpisania umowy 2 letniej.

Zmiana szybkości internetu, a zmuszanie do podpisania umowy 2 letniej. Dostawca net (operator telewizji i Internetu kablowego), zmienił cennik usług. Dotychczasowa cena i szybkość łącz była nieadekwatna (...)

Sprawdzenie umowy deweloperskiej, szukam prawnika z Lublina

Sprawdzenie umowy deweloperskiej, szukam prawnika z Lublina Witam! Nie wiem, czy zakładam w dobrym dziale. Szukam prawnika z Lublina, który pomoże w sprawdzeniu umowy z deweloperem, może też sprawdzi (...)

Reklamacja Telefonu - ile mozna czekac na zwrot!

Reklamacja Telefonu - ile mozna czekac na zwrot! Pomocy.. najpierw oddalem telefon do serwisu w styczniu.. a pod koniec marca dostalem zwrot z informacja ze nie odpowiedzialem na kosztorys i nie wymienili (...)

Porady prawne