Będą zmiany w krajowym systemie cyberbezpieczeństwa, jakie?
Aktualnie Krajowy System Cyberbezpieczeństwa składa się z wielu podmiotów (przede wszystkim operatorów usług kluczowych), na które nałożono obowiązki związane z zapewnieniem bezpieczeństwa informacji, a także obsługą bezpieczeństwa. Operatorzy usług kluczowych zostali podzieleni według sektorów i podsektorów. Dla każdego sektora ustanowiono organ właściwy ds. cyberbezpieczeństwa, który odpowiada za wyznaczenie operatorów i kontrolę nad przestrzeganiem przepisów ustawy. Incydenty wpływające na działalność operatorów usług kluczowych (incydenty poważne) i dostawców usług cyfrowych (incydenty istotne), a także incydenty w podmiotach publicznych, są raportowane do jednego z trzech krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT).
Co zakłada projekt ustawy?
Projekt ustawy zakłada:
1) przebudowanie modelu współpracy w ramach krajowego systemu cyberbezpieczeństwa – CSIRT sektorowe i SOC (operacyjne centra bezpieczeństwa) zastąpią dotychczasowe sektorowe zespoły cyberbezpieczeństwa i podmioty świadczące usługi z zakresu cyberbezpieczeństwa;
2) dodanie nowego rodzaju podmiotu – ISAC – który umożliwi nawet niewielkim a wyspecjalizowanym podmiotom na dołączenie się do krajowego systemu cyberbezpieczeństwa;
3) wzmocnienie pozycji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa poprzez nadanie konkretnych uprawnień do wydawania ostrzeżeń i poleceń zabezpieczających.
Dostawcy sprzętu lub oprogramowania będą mogli zostać poddani procedurze sprawdzającej
Dodatkowo, dostawcy sprzętu lub oprogramowania będą mogli zostać poddani procedurze sprawdzającej pod kątem zagrożeń dla społeczno-ekonomicznego bezpieczeństwa państwa. W przypadku, w którym zostaną zidentyfikowani jako źródło zagrożenia, zostaną wyłączeni z systemu zamówień publicznych w Polsce. Skutkiem sporządzonej oceny będzie mogło być zobowiązanie podmiotów krajowego systemu cyberbezpieczeństwa do ograniczenia z korzystania produktów, oprogramowania i usług danego dostawcy sprzętu lub oprogramowania.
Ustawa ma wejść w życie 21 grudnia 2020 r.