W Sejmie trwają prace nad projektem ustawy o krajowym systemie cyberbezpieczeństwa, która m.in wprowadzi do polskiego porządku prawnego zapisy unijnej dyrektywy w zakresie bezpieczeństwa sieci i systemów informatycznych.

Chodzi o sektory usług mających kluczowe znaczenie dla utrzymania krytycznej działalności społeczno-gospodarczej, a więc w energetyce, transporcie, bankowości, instytucjach finansowych, sektorze ochrony zdrowia, zaopatrzenia w wodę i infrastrukturze cyfrowej. Za cyberbezpieczeństwo odpowiedzialne będą Zespoły Reagowania na Incydenty Komputerowe (CSRiT)- Ministerstwa Obrony Narodowej, Narodowego Centrum Bezpieczeństwa i Rządowy. 

Operator incydent zgłasza niezwłocznie

Regulacja wprowadza m.in. wymogi jakie musi spełnić operator usługi kluczowej i obowiązki jakie będzie miał. Główny to zapewnienie bezpieczeństwa usług oraz ciągłości ich świadczenia, będzie musiała być też wyznaczona osoba "łącznik" do kontaktów m.in. z Ministerstwem Cyfryzacji i Zespołem Reagowania na Incydenty Komputerowe  oraz z innymi operatorami usług kluczowych.

Kolejną kwestią ma być budowanie świadomości użytkowników, tak by potrafili rozpoznawać zagrożenia. Operator będzie też zobowiązany do informowania ich o zagrożeniach i stosowaniu zabezpieczeń. Projekt nakłada na niego też obowiązek opracowania i nadzoru nad dokumentacją dotyczącą cyberbezpiezeństwa - rodzaje tworzonej dokumentacji mają być określone w rozporządzeniu Rady Ministrów.

Operator ma też niezwłocznie zgłosić, że doszło do incydentu CSRiT oraz obsłużyć go - zidentyfikować, zarejestrować oraz zaklasyfikować na podstawie określonych progów: poważny, istotny lub krytyczny

Dostawca - zabezpieczenie współmierne do ryzyka

Z kolei dostawca usług cyfrowych ma zapewnić poziom bezpieczeństwa współmierny do ryzyka na jakie narażone są świadczone przez niego usługi cyfrowe. Chodzi m.in. o przeprowadzanie czynności umożliwiających wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów, oraz zapewnienie w niezbędnym zakresie dostępu do informacji dla właściwych Zespołów Reagowania na Incydenty Komputerowe.

Projekt określa też szczegółowo jak powinno wyglądać zgłoszenie incydentu określonego jako istotny. Ma być przekazywane elektronicznej, a w przypadku braku takiej możliwości przy użyciu innych dostępnych środków komunikacji i zawierać m.in. dane podmiotu zgłaszającego, w tym firmę przedsiębiorcy, numer we właściwym rejestrze, siedzibę i adres, imię i nazwisko, numer telefonu, adres poczty elektronicznej osoby składającej zgłoszenie oraz opis wpływu incydentu na świadczenie usługi cyfrowej oraz liczbę użytkowników nim dotkniętych.

Podmiot publiczny też objęty wymogami

Regulacja określa też obowiązki podmiotów publicznych w zakresie cyberbezpieczeństwa, mają m.in. udostępniać informacje na temat zagrożeń. Będą mieć też obowiązek zgłaszania incydentów, zarządzania nimi, a jeśli będzie taka konieczność - przy incydentach krytycznych - współpracowania z zespołami CSIRT.

Kary od 15 tys. do miliona zł

Projekt ustawy przewiduje też kary za nie przestrzeganie jej zapisów. Ukaranym będzie można być zarówno za brak odpowiednich środków technicznych i operacyjnych, jak i nie zgłaszanie incydentów poważnych, nie zapewnianie ich obłsugi i nie współdziałanie z CSIRT.

Kary przewidziano też m.in. dla tych operatorów, którzy nie wyznaczyli osoby odpowiedzialnej za kontakty z podmiotami wchodzącymi w skład krajowego systemu cyberbezpieczeństwa - za to grozić będą najniższe kwoty do 15 tys. zł.

Za każdy przypadek niezgłoszenia incydentu poważnego lub istotnego grozić będzie od 20 tys. zł kary. Nieprzeprowadzenie audytu, nie usunięcie w terminie nieprawidłowości stwierdzonych podczas kontroli skutkować będzie karami sięgającymi 200 tys. zł.

Operatorom lub dostawcom, którzy uporczywie będą naruszać przepisy ustawy grozić będzie nawet milion zł.

Będzie nowy minister

Powołany ma zostać Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa, który będzie odpowiedzialny za koordynowanie na poziomie krajowym realizacji zadań dotyczących tych kwestii.

Do jego zadań będzie należeć m.in. analiza i ocena funkcjonowania krajowego systemu cyberbezpieczeństwa, jak również nadzór nad procesem zarządzania ryzykiem krajowego systemu. Ma też opiniować projekty aktów prawnych oraz innych dokumentów rządowych mających wpływ na realizację tych zadań oraz np. inicjować krajowe ćwiczenia.
 
Projekt przewiduje też powołanie Kolegium do Spraw Cyberbezpieczeństwa jako organu opiniodawczo-doradczego w sprawach planowania, nadzorowania i koordynowania działalności zespołów CSIRT i sektorowych zespołów cyberbezpieczeństwa.