Rząd przyjął ustawę o krajowym systemie cyberbezpieczeństwa
„Podjęte działania mają spowodować, że Polska w sposób bardziej skoordynowany będzie przeciwdziałać zagrożeniom płynącym z cyberprzestrzeni” – czytamy w komunikacie.
Przygotowując projekt ustawy brano pod uwagę istniejący system bezpieczeństwa i związane z nim doświadczenia instytucjonalne. Stworzono możliwość uwzględnienia w całości systemu sektora prywatnego i związanego z nim potencjału. W projekcie ustawy określono organizację krajowego systemu cyberbezpieczeństwa (zadania i obowiązki podmiotów do niego wchodzących), sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej, podano także.
Efektywny system zarządzania bezpieczeństwem
„Projekt zawiera zasady wskazywania operatorów usług kluczowych i określa ich obowiązki. Dotyczą one wdrożenia efektywnego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, stosowanie skutecznych zabezpieczeń systemów informacyjnych, procedur i mechanizmów zgłaszania oraz postępowania z incydentami czy organizacji struktur na poziomie operatora” – czytamy dalej.
Operator usługi kluczowej ma również zapewnić przeprowadzenie co najmniej raz na dwa lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej. Na poziomie operatorów usług kluczowych powołane zostaną również osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, podano także.
„Wymaganiami z zakresu cyberbezpieczeństwa zostaną objęci również dostawcy usług cyfrowych (chodzi o internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe). Ze względu na transgraniczny charakter tych usług i międzynarodową specyfikę podmiotów – obowiązki dla dostawców usług cyfrowych zostaną objęte łagodniejszym reżimem regulacyjnym (ustawa odwołuje się tutaj do rozporządzenia wykonawczego Komisji Europejskiej 2018/151)” – czytamy również.
Jedną z najistotniejszych zmian zawartych w projekcie ustawy jest określenie systemu reagowania na incydenty i włączenie w ten proces wszystkich zainteresowanych podmiotów. Cechą tego systemu będzie kompletność (ustanowienie we wszystkich kluczowych sektorach), transparentność i kompleksowość, podkreślono.
„Ustawa przewiduje włączenie aspektów cyberbezpieczeństwa do sfery zarządzania państwem. CSIRT będą się wzajemnie informować oraz informować Rządowe Centrum Bezpieczeństwa o incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego” – czytamy w komunikacie.
Kilka kategorii incydentów do zgłoszenia
Projekt ustawy wprowadza kilka kategorii incydentów, które są zróżnicowane w zależności od rodzaju podmiotu, który je zgłasza i stopnia ich oddziaływania (progów), dodano.
„Incydent poważny, zgłaszany przez operatora usług kluczowych, związany będzie z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej, a z kolei incydent istotny – musi mieć istotny wpływ na świadczenie usługi cyfrowej. Przewidziano również incydenty krytyczne, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów gospodarczych i działania instytucji publicznych” – czytamy dalej.
Przyjęto, że minister właściwy ds. informatyzacji będzie m.in. monitorował wdrażanie Strategii Cyberbezpieczeństwa oraz prowadził wykaz operatorów usług kluczowych i politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa. Założono też powołanie pełnomocnika rządu ds. cyberbezpieczeństwa (będzie powoływany i odwoływany przez premiera, ma podlegać Radzie Ministrów) oraz Kolegium ds. cyberbezpieczeństwa (przewodniczącym ma być premier), podano także.
Przepisy mają obowiązywać po 14 dniach od daty ich ogłoszenia w Dzienniku Ustaw (do 9 listopada 2018 r. zostaną wydane decyzje administracyjne o uznaniu za operatora usługi kluczowej).
Źródło: ISBnews