Ministerstwo Cyfryzacji skierowało właśnie do konsultacji publicznych projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy prawo zamówień publicznych. Resort przekonuje, że jej głównym celem jest wdrożenie zaleceń unijnych w zakresie bezpieczeństwa sieci telekomunikacyjnych oraz usprawnienie funkcjonowania najważniejszych instytucji w krajowym systemie cyberbezpieczeństwa. W praktyce jednak dla blisko 4,2 tys. firm z branży telekomunikacyjnej, administracji, a także producentów sprzętu informatycznego i dostawców oprogramowania projektowane przepisy oznaczają nowe obowiązki i kary, i to już niedługo. Nowela ma wejść w życie już 21 grudnia 2020 roku. Co się zmieni?

Czytaj więcej o krajowym systemie cyberbezpieczeństwa >>

 

Branża telco wejdzie do krajowego systemu cyberbezpieczeństwa

Po pierwsze przedsiębiorcy komunikacji elektronicznej staną się częścią krajowego systemu cyberbezpieczeństwa. Wprowadzona zostanie nowa kategoria incydentu – incydent telekomunikacyjny. Dla wsparcia przedsiębiorców komunikacji elektronicznej zostanie powołany odrębny Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, czyli CSIRT Telco, którego zadania będą analogiczne do zadań innych CSIRT sektorowych. CSIRT Telco będzie prowadził minister właściwy do spraw informatyzacji. - Kwestię bezpieczeństwa sieci telekomunikacyjnych wielokrotnie podnosiliśmy na forum europejskim - mówi minister cyfryzacji Marek Zagórski, pełnomocnik rządu do spraw cyberbezpieczeństwa. - Niezawodność i niezakłócone świadczenie usług telekomunikacyjnych ma i będzie miało coraz większe znaczenie dla cyberbezpieczeństwa usług kluczowych i cyfrowych - dodaje. To jednak nie koniec zmian. Jak zauważa Łukasz Olejnik, niezależny ekspert do spraw cyberbezpieczeństwa, autor bloga prywanitk.pl w przypadku stwierdzenia przesyłania komunikatów zagrażających bezpieczeństwu sieci i usług będzie można zastosować środki polegające na  zablokowaniu przesłania takiego komunikatu. -  W przypadku zidentyfikowania niepożądanych działań w sieci - może dojść do blokady takich szkodliwych treści - wyjaśnia Łukasz Olejnik.

Projekt wdraża też zalecenia i standardy opublikowane w tak zwanym 5G Toolbox, czyli minimalny poziom harmonizacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G.

 

Cezary Banasiński, Marcin Rojszczak

Sprawdź  

Dostawy i producenci nie gwarantujący  cyberbezpieczeństwa będą wykluczeni z rynku

W nowym art. 66a nowelizacja przyzna Kolegium do spraw cyberbezpieczeństwa możliwość oceny ryzyka dostawcy sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa na wniosek członka kolegium. Jeżeli Kolegium oceni ryzyko danego dostawcy jako umiarkowane lub niskie to dostawca może przedstawić środki zaradcze i plan naprawczy. W przypadku wysokiego ryzyka podmioty krajowego systemu cyberbezpieczeństwa nie będą mogły wprowadzać do użytkowania sprzętu, oprogramowania i usług danego dostawcy, a dotychczas używany sprzęt będzie trzeba wycofać w ciągu 5 lat od ogłoszenia komunikatu o ocenie ryzyka. Obowiązkiem pełnomocnika rządu ds. cyberbezpieczeństwa - obecnie jest nim Marek Zagórski, minister cyfryzacji - będzie zamieszczenie takiego ogłoszenia w Monitorze Polskim. Za używanie zakazanego sprzętu i oprogramowania podmiotom prywatnym będą grozić kary w wysokości do 3 proc. całkowitego rocznego światowego obrotu, a publicznym jedynie w wysokości do 100 tys. zł.  Co więcej podmioty z wysokim ryzykiem, czyli zidentyfikowani jako źródło zagrożenia, zostaną wyłączeni z zamówień publicznych.

Czytaj więcej o ocenie ryzyka dostawców IT >>

Powstanie więcej sektorowych zespołów reagowania na incydenty bezpieczeństwa komputerowego - CSIRT.

Przebudowany zostanie model współpracy w ramach krajowego systemu cyberbezpieczeństwa. Powstanie więcej sektorowych CSIRT. Obecnie mimo istnienia takiej możliwości, dotychczas powstał tylko jeden dla sektora bankowości i infrastruktury rynków finansowych (CSIRT-KNF). Zmiany umożliwią powstanie CSIRT we wszystkich sektorach gospodarki kluczowych dla społeczno-ekonomicznego bezpieczeństwa państwa. - To bardzo dobry pomysł. Powstaje tu jednak pytanie, jaki podmiot powinien takie centrum stworzyć lub nim kierować, bo przecież nie będzie to specjalnie powołana instytucja. Wedle ustawy, centrów ISAC może być wiele, a pełną listę będzie mieć minister cyfryzacji - zauważa Łukasz Olejnik.

Ponadto powołane zostaną operacyjne centra  bezpieczeństwa, czyli SOC. Operator usługi kluczowej będzie musiał powołać zespół SOC wewnątrz swojej struktury lub zawrzeć umowę dotyczącą prowadzenia SOC na jego zlecenie. Dany SOC może realizować swoje zadania  także na rzecz innych podmiotów. - Nie mam wątpliwości, że wzmocnienie SOC to krok w dobrym kierunku. Takie centra pozwalają lepiej identyfikować zagrożenia i ułatwiają szybką reakcję, zwłaszcza gdy będą mogły być wspierane przez zewnętrzne wyspecjalizowane firmy - ocenia Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Partners. CSIRT sektorowe i SOC zastąpią dotychczasowe sektorowe zespoły cyberbezpieczeństwa i podmioty świadczące usługi z zakresu cyberbezpieczeństwa.

Dostęp do wiedzy eksperckiej

Za sprawą nowelizacji mają powstać też centra wymiany informacji między podmiotami krajowego systemu cyberbezpieczeństwa (z angielskiego zwane ISAC, czyli Information Sharing and Analysis Center). Jak czytamy w uzasadnieniu do tej pory w Polsce nie powstały centra ISAC, choć w USA pierwsze utworzono już pod koniec poprzedniego wieku.  Gdy powstaną, będą stanowić platformę
współpracy poprzez wymianę informacji na temat przyczyn, incydentów, zagrożeń jak również dzielenie się doświadczeniem wiedzą i analizami. Usprawnią także współpracę podmiotów z zespołami CSIRT poziomu krajowego.

14 dni na zgłaszanie uwag

Przez 14 dni można zgłaszać uwagi do projektu. - Zachęcamy do konsultacji i liczymy na kontynuację dobrej współpracy z operatorami usług kluczowych, dostawcami usług cyfrowych, partnerami społecznymi, zapoczątkowanej przy uzgodnieniach projektu Strategii Cyberbezpieczeństwa – mówi Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa Ministerstwa Cyfryzacji. Branża telekomunikacyjna, którą najbardziej mogą dotknąć nowe przepisy, uważa, że 14 dni to za mało na konsultacje.