Wdrożenie nowych rozwiązań  ma spowodować, że Polska w sposób bardziej skoordynowany będzie przeciwdziałać zagrożeniom płynącym z cyberprzestrzeni - informuje Centrum Informacyjne Rządu. Projekt jest dostosowaniem polskiego prawa do unijnej dyrektywy ws. bezpieczeństwa sieciowego i informatycznego (tzw. dyrektywa NIS).


Zadania dla różnych instytucji
Ustawa o Krajowym Systemie Cyberbezpieczeństwa pozwoli na uwzględnienie w całości systemu sektora prywatnego i związanego z nim potencjału. Określono w niej organizację krajowego systemu cyberbezpieczeństwa (zadania i obowiązki podmiotów do niego wchodzących), sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej

Energetyka, banki, woda, zdrowie
Krajowy system cyberbezpieczeństwa ma obejmować operatorów usług kluczowych (m.in. z sektorów: energetycznego, transportowego, bankowości i infrastruktury rynków finansowych, zaopatrzenia w wodę, zdrowotnego), dostawców usług cyfrowych, zespoły CSIRT poziomu krajowego (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa (odpowiedzialne za nadzór nad operatorami usług kluczowych) oraz Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (służący komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie).

Obowiązki dla operatorów kluczowych usług
Ustawa zawiera zasady wskazywania operatorów usług kluczowych i określa ich obowiązki. Dotyczą one wdrożenia efektywnego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, stosowanie skutecznych zabezpieczeń systemów informacyjnych, procedur i mechanizmów zgłaszania oraz postępowania z incydentami czy organizacji struktur na poziomie operatora. Operator usługi kluczowej ma również zapewnić przeprowadzenie co najmniej raz na dwa lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej. Na poziomie operatorów usług kluczowych powołane zostaną również osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Do krajowego systemu cyberbezpieczeństwa wejdą podmioty publiczne. Podmiot publiczny będzie zobowiązany do obsługi incydentu (pozostawiono mu jednak swobodę wyboru sposobu realizacji tego obowiązku). Rozwiązanie to uwzględnia istniejące, ale też ciągle rozbudowywane wewnętrzne struktury, odpowiedzialne za cyberbezpieczeństwo w poszczególnych resortach.

Powiązanie z zagranicznymi systemami
Wymaganiami z zakresu cyberbezpieczeństwa zostaną objęci również dostawcy usług cyfrowych (chodzi o internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe). Ze względu na transgraniczny charakter tych usług i międzynarodową specyfikę podmiotów – obowiązki dla dostawców usług cyfrowych zostaną objęte łagodniejszym reżimem regulacyjnym (ustawa odwołuje się tutaj do rozporządzenia wykonawczego Komisji Europejskiej 2018/151).

Zasady reagowania na incydenty
Jedną z najistotniejszych zmian zawartych w ustawie jest określenie systemu reagowania na incydenty i włączenie w ten proces wszystkich zainteresowanych podmiotów. Cechą tego systemu będzie kompletność (ustanowienie we wszystkich kluczowych sektorach), transparentność i kompleksowość.

Po pierwsze – ustawa określa zadania CSIRT, które będą odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów. Po drugie – ustawa przewiduje włączenie aspektów cyberbezpieczeństwa do sfery zarządzania państwem. CSIRT będą się wzajemnie informować oraz informować Rządowe Centrum Bezpieczeństwa o incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego.

Ustawa wprowadza kilka kategorii incydentów, które są zróżnicowane w zależności od rodzaju podmiotu, który je zgłasza i stopnia ich oddziaływania (progów). Incydent poważny, zgłaszany przez operatora usług kluczowych, związany będzie z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej, a z kolei incydent istotny – musi mieć istotny wpływ na świadczenie usługi cyfrowej. Przewidziano również incydenty krytyczne, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów gospodarczych i działania instytucji publicznych.

W ustawie ustanowiono organy właściwe ds. cyberbezpieczeństwa, odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych w sektorach wymienionych w dyrektywie 2016/1148/UE.

Minister będzie monitorował
Ustawa przewiduje, że minister właściwy ds. informatyzacji będzie m.in. monitorował wdrażanie Strategii Cyberbezpieczeństwa oraz prowadził wykaz operatorów usług kluczowych i politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa. Ma też realizować obowiązki sprawozdawcze wobec instytucji unijnych. W przyszłości jego zadaniem będzie rozwój systemu teleinformatycznego umożliwiającego zgłaszanie i obsługę incydentów, szacowanie ryzyka i ostrzeganie o zagrożeniach cyberbezpieczeństwa. Minister ma też prowadzić Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa. Punkt zapewni m.in. odbieranie i przekazywanie zgłoszeń incydentów poważnych oraz istotnych z innych krajów członkowskich UE, a także współpracę z Komisją Europejską.

Pełnomocnik będzie koordynował
Jak podkreślali autorzy projektu ustawy, wychodząc naprzeciw potrzebie wzmocnienia koordynacji działań i wymiany informacji między instytucjami odpowiedzialnymi za cyberbezpieczeństwo w sferach: cywilnej, wojskowej, sektorów usług kluczowych oraz instytucji odpowiedzialnych za zwalczanie cyberprzestępczości – założono powołanie pełnomocnika rządu ds. cyberbezpieczeństwa (będzie powoływany i odwoływany przez premiera, ma podlegać Radzie Ministrów) oraz Kolegium ds. cyberbezpieczeństwa (przewodniczącym ma być premier).

Nowe przepisy mają obowiązywać po 14 dniach od daty ich ogłoszenia w Dzienniku Ustaw (do 9 listopada 2018 r. zostaną wydane decyzje administracyjne o uznaniu za operatora usługi kluczowej).