Chodzi o przyjętą w lipcu 2016 r. unijną dyrektywę w sprawie bezpieczeństwa sieci i informacji (NIS), która ustanawia wspólne standardy cyberbezpieczeństwa w krajach UE. Powinny one do 9 maja br. przyjąć niezbędne przepisy związane z dyrektywą.
Państwa unijne muszą powołać instytucje ds. bezpieczeństwa sieci telekomunikacyjnych, które będą nadzorowały wypełnianie dyrektywy, oraz zespoły reagowania na incydenty komputerowe (Computer Security Incident Response Teams - CSIRTs). Mają też przyjąć własne strategie i plany współpracy w zakresie bezpieczeństwa sieci telekomunikacyjnych i informacji. Dyrektywa zacznie obowiązywać od 10 maja br.
W Polsce wdrożenie przepisów dyrektywy zakłada rządowy projekt ustawy o krajowym systemie cyberbezpieczeństwa.
- W tym momencie jesteśmy na etapie komisji prawniczej, czyli jesteśmy po Komitecie Stałym Rady Ministrów, który projekt ustawy przyjął. Komisja prawnicza jest zaplanowana na przyszły tydzień. Jeśli się zakończy uzgodnieniami, to w ostatnim tygodniu kwietnia mielibyśmy Radę Ministrów, a w drugiej połowie maja czy w połowie maja zakładam, że trwałyby prace w parlamencie i w wariancie optymistycznym prezydent podpisałby ustawę w drugiej połowie czerwca - powiedział na posiedzeniu komisji administracji i spraw wewnętrznych wiceszef Ministerstwa Cyfryzacji Karol Okoński.
- Będzie to oznaczać, że na moment wejścia w życie dyrektywy NIS, czyli na 9 maja br. nie będziemy mieli uchwalonych przepisów krajowych. Nie jesteśmy zadowoleni z tego, ale wszystko wskazuje na to, że terminu 9 maja nie da się utrzymać - dodał.
Okoński powiedział, że opóźnienie w wejściu przepisów może wynieść do półtora miesiąca. Dodał, że w innych krajach UE np. we Francji, Czechach i Niemczech zostały już przyjęte przepisy wdrażające przepisy dyrektywy, zaś parlamenty Słowacji, Finlandii i Chorwacji pracują nad przepisami. W pozostałych krajach albo - tak jak w Polsce - prace toczą się na poziomie rady ministrów, albo są na etapie konsultacji międzyresortowych lub przed konsultacjami publicznymi.
Okoński wskazał, że obecnie "nie ma żadnej krajowej ustawy, która by w sposób szczegółowy obejmowała zagadnienia cyberbezpieczeństwa w poszczególnych sektorach".
- Sama ustawa jest siłą rzeczy implementacją dyrektywy NIS, ale generalnie jest też okazją do opisania i stworzenia efektywnego sposobu zarzadzania bezpieczeństwem teleinformatycznym w państwie. Zakładamy, że dzięki tym przepisom będziemy mogli zapewnić nieprzerwane świadczenie kluczowych usług cyfrowych oraz osiągnięty zostanie odpowiedni poziom bezpieczeństwa systemów, które są przewidziane do świadczenia tych usług - podkreślił.
Biorący udział w posiedzeniu komisji dyrektor Departament Teleinformatyki MSWiA Dariusz Bogucki podkreślił, że resort ciągle styka się z wyzwaniami związanymi z cyberbezpieczeństwem.
Zapewnił, że resort podejmuje wszelkie działania, by zapewnić bezpieczeństwo swoich systemów teleinformatycznych.
Budowany system cyberbezpieczeństwa będzie obejmował m.in. operatorów usług kluczowych, np. z sektora zdrowotnego, energetycznego, transportowego, w tym kolejowego, lotniczego, drogowego i wodnego. Dodatkowo obejmie dostawców usług cyfrowych, a także podmioty świadczące usługi z zakresu cyberbezpieczeństwa.
Z projektu wynika, że operatorzy usług kluczowych będą zobowiązani do np. wdrożenia zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach. Do krajowego systemu cyberbezpieczeństwa będą również włączone organy administracji publicznej, czyli np. ABW, MON, a także przedsiębiorcy telekomunikacyjni.
Wymaganiami z zakresu cyberbezpieczeństwa zostaną również objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe.
Projekt przewiduje także powołanie organów ds. cyberbezpieczeństwa odpowiedzialnych za nadzór operatorów usług kluczowych i usług cyfrowych.(PAP)
autor: Krzysztof Markowski
krm/ wus/