Jak wskazuje resort cyfryzacji - autor projektu - nowe przepisy mają zapewnić ochronę cyberprzestrzeni na poziomie krajowym. Ma ona gwarantować m.in. niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych poprzez osiągnięcie wysokiego poziomu bezpieczeństwa systemów informacyjnych służących do ich świadczenia.

Stworzenie systemu cyberbezpieczeństwa oraz jego rozbudowa ma umożliwić zwiększenie poziomu zabezpieczeń systemów teleinformatycznych oraz ograniczyć potencjalne skutki incydentów, w tym straty finansowe.

Budowany system - jak wyjaśnia resort - będzie obejmować m.in. operatorów usług kluczowych, czyli np. z sektora zdrowotnego, energetycznego, transportowego, w tym kolejowego, lotniczego, drogowego czy wodnego. Dodatkowo obejmie dostawców usług cyfrowych, a także podmioty świadczące usługi z zakresu cyberbezpieczeństwa.

Z projektu wynika, że operatorzy usług kluczowych będą zobowiązani do np. wdrożenia zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach. "Wymienione podmioty będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa" - podkreśla MC.

Do krajowego systemu cyberbezpieczeństwa będą również włączone organy administracji publicznej, czyli np. ABW, MON, a także przedsiębiorcy telekomunikacyjni.

Wymaganiami z zakresu cyberbezpieczeństwa zostaną również objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe.

Ustawa zobowiązuje ministra właściwego ds. informatyzacji m.in. do opracowania Strategii Cyberbezpieczeństwa, prowadzenia polityki informacyjnej nt. krajowego systemu cyberbezpieczeństwa, realizacji obowiązków sprawozdawczych wobec instytucji unijnych.

Ponadto, minister 1 stycznia 2021 r. będzie musiał uruchomić system teleinformatyczny, umożliwiający zgłaszanie i obsługę incydentów, szacowanie ryzyka teleinformatycznego, ostrzeganie o zagrożeniach cyberbezpieczeństwa.

Natomiast zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) będą współpracować ze sobą, aby zapewnić spójny i kompletny system zarządzania ryzykiem w zakresie cyberbezpieczeństwa państwa oraz obsługę zgłoszonych incydentów, w tym zwłaszcza incydentów poważnych i krytycznych, najpoważniejszych z punktu widzenia państwa.

Projekt proponuje także powołanie organów ds. cyberbezpieczeństwa odpowiedzialnych za nadzór operatorów usług kluczowych i usług cyfrowych.

Proponuje się, aby został powołany pojedynczy punkt kontaktowy ds. cyberbezpieczeństwa prowadzony przez ministra. Punkt będzie odpowiedzialny za wymianę informacji związanych z cyberbezpieczeństwem na poziomie kraju oraz za współpracę transgraniczną na poziomie Unii Europejskiej.

Przyjęcie ustawy wynika z konieczności wdrożenia do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego. (PAP)

autor: Katarzyna Fiuk