Zbudowanie krajowego systemu cyberbezpieczeństwa, który zapewni niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych - taki jest cel projektu ustawy o krajowym systemie cyberbezpieczeństwa, który w czwartek przyjął rząd.

Wdrożenie rozwiązań zawartych w projekcie, przedłożonym przez ministra cyfryzacji, ma spowodować, że Polska w sposób bardziej skoordynowany będzie przeciwdziałać zagrożeniom płynącym z cyberprzestrzeni - informuje Centrum Informacyjne Rządu. Projekt jest dostosowaniem polskiego prawa do unijnej dyrektywy ws. bezpieczeństwa sieciowego i informatycznego (tzw. dyrektywa NIS).

"Jedną z najistotniejszych zmian zawartych w projekcie ustawy jest określenie systemu reagowania na incydenty i włączenie w ten proces wszystkich zainteresowanych podmiotów. Cechą tego systemu będzie kompletność (ustanowienie we wszystkich kluczowych sektorach), transparentność i kompleksowość" - czytamy w komunikacie CIR.

Po pierwsze – ustawa określa zadania CSIRT (ang. Computer Security Incident Response Team), które będą odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów - zaznacza CIR. Po drugie – ustawa przewiduje włączenie aspektów cyberbezpieczeństwa do sfery zarządzania państwem.

Ponadto CSIRT będą się wzajemnie informować oraz informować Rządowe Centrum Bezpieczeństwa o incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego.

Projekt ustawy wprowadza zarazem kilka kategorii incydentów, które są zróżnicowane w zależności od rodzaju podmiotu, który je zgłasza i stopnia ich oddziaływania (progów).

"Incydent poważny, zgłaszany przez operatora usług kluczowych, związany będzie z poważnym obniżeniem jakości lub przerwaniem ciągłości świadczenia usługi kluczowej, a z kolei incydent istotny – musi mieć istotny wpływ na świadczenie usługi cyfrowej. Przewidziano również incydenty krytyczne, skutkujące znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów gospodarczych i działania instytucji publicznych" - głosi komunikat.

CIR dodaje ponadto, że przygotowując projekt ustawy brano pod uwagę istniejący system bezpieczeństwa i związane z nim doświadczenia instytucjonalne.

"Stworzono możliwość uwzględnienia w całości systemu sektora prywatnego i związanego z nim potencjału. W projekcie ustawy określono organizację krajowego systemu cyberbezpieczeństwa (zadania i obowiązki podmiotów do niego wchodzących), sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej" - informuje komunikat.

Krajowy system cyberbezpieczeństwa ma, według komunikatu CIR, obejmować operatorów usług kluczowych (m.in. z sektorów: energetycznego, transportowego, bankowości i infrastruktury rynków finansowych, zaopatrzenia w wodę, zdrowotnego), dostawców usług cyfrowych, zespoły CSIRT poziomu krajowego (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa (odpowiedzialne za nadzór nad operatorami usług kluczowych) oraz Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (służący komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie).

"Projekt zawiera zasady wskazywania operatorów usług kluczowych i określa ich obowiązki. Dotyczą one wdrożenia efektywnego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, stosowanie skutecznych zabezpieczeń systemów informacyjnych, procedur i mechanizmów zgłaszania oraz postępowania z incydentami czy organizacji struktur na poziomie operatora" - głosi komunikat CIR.

"Operator usługi kluczowej ma również zapewnić przeprowadzenie co najmniej raz na dwa lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej. Na poziomie operatorów usług kluczowych powołane zostaną również osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa" - dodaje komunikat.

Do krajowego systemu cyberbezpieczeństwa, informuje CIR, wejdą podmioty publiczne, które będą zobowiązane do obsługi incydentu (pozostawiono mu jednak swobodę wyboru sposobu realizacji tego obowiązku).

Wymaganiami z zakresu cyberbezpieczeństwa zostaną objęci również dostawcy usług cyfrowych (chodzi o internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe).

Ponadto, w projekcie ustawy ustanowiono organy właściwe ds. cyberbezpieczeństwa, odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych.

"Przyjęto, że minister właściwy ds. informatyzacji będzie m.in. monitorował wdrażanie Strategii Cyberbezpieczeństwa oraz prowadził wykaz operatorów usług kluczowych i politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa. Ma też realizować obowiązki sprawozdawcze wobec instytucji unijnych. W przyszłości jego zadaniem będzie rozwój systemu teleinformatycznego umożliwiającego zgłaszanie i obsługę incydentów, szacowanie ryzyka i ostrzeganie o zagrożeniach cyberbezpieczeństwa. Minister ma też prowadzić Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa. Punkt zapewni m.in. odbieranie i przekazywanie zgłoszeń incydentów poważnych oraz istotnych z innych krajów członkowskich UE, a także współpracę z Komisją Europejską" - czytamy w komunikacie.

Jednocześnie wychodząc naprzeciw potrzebie wzmocnienia koordynacji działań i wymiany informacji między instytucjami odpowiedzialnymi za cyberbezpieczeństwo w sferach: cywilnej, wojskowej, sektorów usług kluczowych oraz instytucji odpowiedzialnych za zwalczanie cyberprzestępczości – założono powołanie pełnomocnika rządu ds. cyberbezpieczeństwa (będzie powoływany i odwoływany przez premiera, ma podlegać Radzie Ministrów) oraz Kolegium ds. cyberbezpieczeństwa (przewodniczącym ma być premier) - zaznacza CIR.

Nowe przepisy mają obowiązywać po 14 dniach od daty ich ogłoszenia w Dzienniku Ustaw (do 9 listopada 2018 r. zostaną wydane decyzje administracyjne o uznaniu za operatora usługi kluczowej).