Projekt ustawy o krajowym systemie cyberbezpieczeństwa

Rada Ministrów przyjęła projekt ustawy o krajowym systemie cyberbezpieczeństwa, przedłożony przez ministra cyfryzacji.


Projekt ustawy ma umożliwić zbudowanie krajowego systemu cyberbezpieczeństwa, który zapewni niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych – przez osiągnięcie odpowiedniego poziomu bezpieczeństwa  systemów informacyjnych służących do świadczenia tych usług.

Podjęte działania mają spowodować, że Polska w sposób bardziej skoordynowany będzie przeciwdziałać zagrożeniom płynącym z cyberprzestrzeni.

Przygotowując projekt ustawy brano pod uwagę istniejący system bezpieczeństwa i związane z nim doświadczenia instytucjonalne. Stworzono możliwość uwzględnienia w całości systemu sektora prywatnego i związanego z nim potencjału. W projekcie ustawy określono organizację krajowego systemu cyberbezpieczeństwa (zadania i obowiązki podmiotów do niego wchodzących), sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Krajowy system cyberbezpieczeństwa będzie obejmował operatorów usług kluczowych (m.in. z sektorów: energetycznego, transportowego, bankowości i infrastruktury rynków finansowych, zaopatrzenia w wodę, zdrowotnego), dostawców usług cyfrowych, zespoły CSIRT poziomu krajowego (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa (odpowiedzialne za nadzór nad operatorami usług kluczowych) oraz Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (służący komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie).

Projekt zawiera zasady wskazywania operatorów usług kluczowych i określa ich obowiązki. Dotyczą one wdrożenia efektywnego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, stosowanie skutecznych zabezpieczeń systemów informacyjnych, procedur i mechanizmów zgłaszania oraz postępowania z incydentami czy organizacji struktur na poziomie operatora. Operator usługi kluczowej ma również zapewnić przeprowadzenie co najmniej raz na dwa lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej. Na poziomie operatorów usług kluczowych powołane zostaną również osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Do krajowego systemu cyberbezpieczeństwa wejdą podmioty publiczne. Podmiot publiczny będzie zobowiązany do obsługi incydentu (pozostawiono mu jednak swobodę wyboru sposobu realizacji tego obowiązku). Rozwiązanie to uwzględnia istniejące, ale też ciągle rozbudowywane wewnętrzne struktury, odpowiedzialne za cyberbezpieczeństwo w poszczególnych resortach.

Wymaganiami z zakresu cyberbezpieczeństwa zostaną objęci również dostawcy usług cyfrowych (chodzi o internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe). Ze względu na transgraniczny charakter tych usług i międzynarodową specyfikę podmiotów – obowiązki dla dostawców usług cyfrowych zostaną objęte łagodniejszym reżimem regulacyjnym (ustawa odwołuje się tutaj do rozporządzenia wykonawczego Komisji Europejskiej 2018/151).

Jedną z najistotniejszych zmian zawartych w projekcie ustawy jest określenie systemu reagowania na incydenty i włączenie w ten proces wszystkich zainteresowanych podmiotów. Cechą tego systemu będzie kompletność (ustanowienie we wszystkich kluczowych sektorach), transparentność i kompleksowość.

Po pierwsze – ustawa określa zadania CSIRT, które będą odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów. Po drugie – ustawa przewiduje włączenie aspektów cyberbezpieczeństwa do sfery zarządzania państwem. CSIRT będą się wzajemnie informować oraz informować Rządowe Centrum Bezpieczeństwa o incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego.

Projekt ustawy wprowadza kilka kategorii incydentów, które są zróżnicowane w zależności od rodzaju podmiotu, który je zgłasza i stopnia ich oddziaływania (progów).

Incydent poważny, zgłaszany przez operatora usług kluczowych, związany będzie z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej, a z kolei incydent istotny – musi mieć istotny wpływ na świadczenie usługi cyfrowej. Przewidziano również incydenty krytyczne, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów gospodarczych i działania instytucji publicznych.

Ponadto, w projekcie ustawy ustanowiono organy właściwe ds. cyberbezpieczeństwa, odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych w sektorach wymienionych w dyrektywie 2016/1148/UE.

Przyjęto, że minister właściwy ds. informatyzacji będzie m.in. monitorował wdrażanie Strategii Cyberbezpieczeństwa oraz prowadził wykaz operatorów usług kluczowych  i politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa. Ma też realizować obowiązki sprawozdawcze wobec instytucji unijnych. W przyszłości jego zadaniem będzie rozwój systemu teleinformatycznego umożliwiającego zgłaszanie i obsługę incydentów, szacowanie ryzyka i ostrzeganie o zagrożeniach cyberbezpieczeństwa. Minister ma też prowadzić Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa. Punkt zapewni m.in. odbieranie i przekazywanie zgłoszeń incydentów poważnych oraz istotnych z innych krajów członkowskich UE, a także współpracę z Komisją Europejską.

Jednocześnie wychodząc naprzeciw potrzebie wzmocnienia koordynacji działań i wymiany informacji między instytucjami odpowiedzialnymi za cyberbezpieczeństwo w sferach: cywilnej, wojskowej, sektorów usług kluczowych oraz instytucji odpowiedzialnych za zwalczanie cyberprzestępczości – założono powołanie pełnomocnika rządu ds. cyberbezpieczeństwa (będzie powoływany i odwoływany przez premiera, ma podlegać Radzie Ministrów) oraz Kolegium ds. cyberbezpieczeństwa (przewodniczącym ma być premier).

Nowe przepisy mają obowiązywać po 14 dniach od daty ich ogłoszenia w Dzienniku Ustaw (do 9 listopada 2018 r. zostaną wydane decyzje administracyjne o uznaniu za operatora usługi kluczowej).


Zobacz także