Wszystko wskazuje na to, że Polska nie zdąży przyjąć krajowych przepisów w związku z unijną dyrektywą dotyczącą cyberbezpieczeństwa (NIS) przed rozpoczęciem jej obowiązywania w UE - poinformował w środę wiceminister cyfryzacji Karol Okoński.

Chodzi o przyjętą w lipcu 2016 r. unijną dyrektywę w sprawie bezpieczeństwa sieci i informacji (NIS), która ustanawia wspólne standardy cyberbezpieczeństwa w krajach UE. Powinny one do 9 maja br. przyjąć niezbędne przepisy związane z dyrektywą.

Państwa unijne muszą powołać instytucje ds. bezpieczeństwa sieci telekomunikacyjnych, które będą nadzorowały wypełnianie dyrektywy, oraz zespoły reagowania na incydenty komputerowe (Computer Security Incident Response Teams - CSIRTs). Mają też przyjąć własne strategie i plany współpracy w zakresie bezpieczeństwa sieci telekomunikacyjnych i informacji. Dyrektywa zacznie obowiązywać od 10 maja br.

W Polsce wdrożenie przepisów dyrektywy zakłada rządowy projekt ustawy o krajowym systemie cyberbezpieczeństwa.

"W tym momencie jesteśmy na etapie komisji prawniczej, czyli jesteśmy po Komitecie Stałym Rady Ministrów, który projekt ustawy przyjął. Komisja prawnicza jest zaplanowana na przyszły tydzień. Jeśli się zakończy uzgodnieniami, to w ostatnim tygodniu kwietnia mielibyśmy Radę Ministrów, a w drugiej połowie maja czy w połowie maja zakładam, że trwałyby prace w parlamencie i w wariancie optymistycznym prezydent podpisałby ustawę w drugiej połowie czerwca" - powiedział na posiedzeniu komisji administracji i spraw wewnętrznych wiceszef Ministerstwa Cyfryzacji Karol Okoński.

"Będzie to oznaczać, że na moment wejścia w życie dyrektywy NIS, czyli na 9 maja br. nie będziemy mieli uchwalonych przepisów krajowych. Nie jesteśmy zadowoleni z tego, ale wszystko wskazuje na to, że terminu 9 maja nie da się utrzymać" - dodał.

Okoński powiedział, że opóźnienie w wejściu przepisów może wynieść do półtora miesiąca. Dodał, że w innych krajach UE np. we Francji, Czechach i Niemczech zostały już przyjęte przepisy wdrażające przepisy dyrektywy, zaś parlamenty Słowacji, Finlandii i Chorwacji pracują nad przepisami. W pozostałych krajach albo - tak jak w Polsce - prace toczą się na poziomie rady ministrów, albo są na etapie konsultacji międzyresortowych lub przed konsultacjami publicznymi.

Okoński wskazał, że obecnie "nie ma żadnej krajowej ustawy, która by w sposób szczegółowy obejmowała zagadnienia cyberbezpieczeństwa w poszczególnych sektorach".

"Sama ustawa jest siłą rzeczy implementacją dyrektywy NIS, ale generalnie jest też okazją do opisania i stworzenia efektywnego sposobu zarzadzania bezpieczeństwem teleinformatycznym w państwie. Zakładamy, że dzięki tym przepisom będziemy mogli zapewnić nieprzerwane świadczenie kluczowych usług cyfrowych oraz osiągnięty zostanie odpowiedni poziom bezpieczeństwa systemów, które są przewidziane do świadczenia tych usług" - podkreślił.

Biorący udział w posiedzeniu komisji dyrektor Departament Teleinformatyki MSWiA Dariusz Bogucki podkreślił, że resort ciągle styka się z wyzwaniami związanymi z cyberbezpieczeństwem.

"Naprawdę zdarzają się próby włamania do sytemu i cyberataki, próby pozyskania wiedzy czy też załatwienia sobie jakichś spraw. Mogę powiedzieć, że jakiś czas temu odnotowaliśmy próbę włamania do resortu w celu wyrobienia sobie dowodu osobistego. Ktoś chciał sobie wyrobić fałszywy dowód osobisty, ale robił to wyjątkowo nieudolnie" - dodał. Zapewnił, że resort podejmuje wszelkie działania, by zapewnić bezpieczeństwo swoich systemów teleinformatycznych.

Projekt ustawy o krajowym systemie cyberbezpieczeństwa ma zapewnić ochronę cyberprzestrzeni, m.in. niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych, poprzez osiągnięcie wysokiego poziomu bezpieczeństwa systemów informatycznych służących do ich świadczenia. A także ograniczyć potencjalne skutki ataków, w tym strat finansowych.

Budowany system cyberbezpieczeństwa będzie obejmował m.in. operatorów usług kluczowych, np. z sektora zdrowotnego, energetycznego, transportowego, w tym kolejowego, lotniczego, drogowego i wodnego. Dodatkowo obejmie dostawców usług cyfrowych, a także podmioty świadczące usługi z zakresu cyberbezpieczeństwa.

Z projektu wynika, że operatorzy usług kluczowych będą zobowiązani do np. wdrożenia zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach. Do krajowego systemu cyberbezpieczeństwa będą również włączone organy administracji publicznej, czyli np. ABW, MON, a także przedsiębiorcy telekomunikacyjni.

Wymaganiami z zakresu cyberbezpieczeństwa zostaną również objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe.

Projekt przewiduje także powołanie organów ds. cyberbezpieczeństwa odpowiedzialnych za nadzór operatorów usług kluczowych i usług cyfrowych.