Cyberbezpieczeństwo | Prawo i regulacje

Będą zmiany w krajowym systemie cyberbezpieczeństwa, jakie?

Katarzyna Urbańska | Związek Banków Polskich / ZBP
Będą zmiany w krajowym systemie cyberbezpieczeństwa, jakie?
Fot. stock.adobe.com/Michael Traitov
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Na stronie RCL opublikowany został projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy - Prawo zamówień publicznych (nr druku RCL UD68; wersja projektu z dnia 7 września 2020 r.).
Projekt ustawy zakłada przebudowanie modelu współpracy w ramach krajowego systemu cyberbezpieczeństwa #cyberbezpieczeństwo

Aktualnie Krajowy System Cyberbezpieczeństwa składa się z wielu podmiotów (przede wszystkim operatorów usług kluczowych), na które nałożono obowiązki związane z zapewnieniem bezpieczeństwa informacji, a także obsługą bezpieczeństwa. Operatorzy usług kluczowych zostali podzieleni według sektorów i podsektorów. Dla każdego sektora ustanowiono organ właściwy ds. cyberbezpieczeństwa, który odpowiada za wyznaczenie operatorów i kontrolę nad przestrzeganiem przepisów ustawy. Incydenty wpływające na działalność operatorów usług kluczowych (incydenty poważne) i dostawców usług cyfrowych (incydenty istotne), a także incydenty w podmiotach publicznych, są raportowane do jednego z trzech krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT).

Co zakłada projekt ustawy?

Projekt ustawy zakłada:

1) przebudowanie modelu współpracy w ramach krajowego systemu cyberbezpieczeństwa – CSIRT sektorowe i SOC (operacyjne centra bezpieczeństwa) zastąpią dotychczasowe sektorowe zespoły cyberbezpieczeństwa i podmioty świadczące usługi z zakresu cyberbezpieczeństwa;

2) dodanie nowego rodzaju podmiotu – ISAC – który umożliwi nawet niewielkim a wyspecjalizowanym podmiotom na dołączenie się do krajowego systemu cyberbezpieczeństwa;

3) wzmocnienie pozycji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa poprzez nadanie konkretnych uprawnień do wydawania ostrzeżeń i poleceń zabezpieczających.

Dostawcy sprzętu lub oprogramowania będą mogli zostać poddani procedurze sprawdzającej

Dodatkowo, dostawcy sprzętu lub oprogramowania będą mogli zostać poddani procedurze sprawdzającej pod kątem zagrożeń dla społeczno-ekonomicznego bezpieczeństwa państwa. W przypadku, w którym zostaną zidentyfikowani jako źródło zagrożenia, zostaną wyłączeni z systemu zamówień publicznych w Polsce. Skutkiem sporządzonej oceny będzie mogło być zobowiązanie podmiotów krajowego systemu cyberbezpieczeństwa do ograniczenia z korzystania produktów, oprogramowania i usług danego dostawcy sprzętu lub oprogramowania.
Ustawa ma wejść w życie 21 grudnia 2020 r.

Źródło: Związek Banków Polskich / ZBP