Krajobraz cyfrowy się zmienił, więc…
Od 1 sierpnia 2018 roku obowiązuje w Polsce ustawa o Krajowym Systemie Cyberbezpieczeństwa. W ciągu tych lat krajobraz cyfrowy przeszedł dynamiczną transformację, co wyraźnie uwidoczniło potrzebę aktualizacji i wzmocnienia przepisów. Nowe zagrożenia i ich zwiększona liczba stały się pretekstem do przeprowadzenia gruntownej i skutecznej nowelizacji obecnie działającej ustawy. Wzmocnienie systemu bezpieczeństwa na poziomie krajowym ma strategiczne znaczenie dla ochrony zarówno sektora publicznego, jak i prywatnych użytkowników internetu.
– Zmiany w Krajowym Systemie Cyberbezpieczeństwa to dla nas priorytetowy projekt na ten rok. Przez ostatnie lata wiele zmieniło się w krajobrazie cyberprzestrzeni, a wyzwań jest coraz więcej, biorąc pod uwagę liczbę incydentów i ich konsekwencje. Jesteśmy zdeterminowani, aby wprowadzić nowe prawo szybko, ale zachowując odpowiedni okres dla przedsiębiorców do dostosowania się do regulacji – powiedział wicepremier, minister cyfryzacji Krzysztof Gawkowski.
Zaostrzone wymogi
Projektowana nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadza zaostrzone wymogi dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które już podlegają obecnym regulacjom. Zgodnie z nowymi przepisami, tysiące podmiotów w całym kraju zostanie zobowiązanych do wdrożenia kompleksowego systemu zarządzania bezpieczeństwem informacji. Zasady, które chce wprowadzić resort cyfryzacji, mają usprawnić proces związany ze świadczeniem usług, co jest odpowiedzią na rosnące zagrożenia w cyberprzestrzeni i zwiększającą się zależność społeczeństwa od technologii cyfrowych.
– Przed nami dużo pracy w zakresie współpracy z jednostkami administracji wszystkich szczebli oraz z sektorem prywatnym. Cyberbezpieczeństwo dotyka właściwie każdego elementu funkcjonowania wszystkich dużych usług. Zależy nam na zbudowaniu kompleksowego systemu, który będzie chronił instytucje, firmy oraz przede wszystkim obywateli – dodał Paweł Olszewski, sekretarz stanu w Ministerstwie Cyfryzacji.
Co zmieni „nowela”?
Nowelizacja ustawy o cyberbezpieczeństwie przewiduje szereg kompleksowych zmian, w tym roli i obowiązków podmiotów kluczowych oraz funkcjonowania zespołów CSIRT, a także usprawnień w systemie S46 i roli Pojedynczego Punktu Kontaktowego. Ustawa rozszerza również nadzór oraz wprowadza nowe środki egzekwowania przepisów przez organy odpowiedzialne za cyberbezpieczeństwo, jednocześnie modyfikując kompetencje Ministra Cyfryzacji, obowiązki Pełnomocnika ds. Cyberbezpieczeństwa oraz Kolegium ds. Cyberbezpieczeństwa. Wprowadza także regulacje dotyczące instytucji dostawcy wysokiego ryzyka.
Jeśli chodzi o zgłaszanie incydentów, tu według nowych przepisów, powinny one być zgłaszane do CSIRT sektorowego w precyzyjnie określonym trybie. System wczesnych ostrzeżeń oraz zgłaszanie incydentów mają zapewnić szybkie i skoordynowane działanie w odpowiedzi na zagrożenia. Podmioty kluczowe będą zobowiązane do zgłaszania wykrytych incydentów niezwłocznie, a maksymalnie w ciągu 24 godzin. Przedsiębiorcy telekomunikacyjni mają na to 12 godzin, natomiast finalne zgłoszenie incydentu poważnego powinno nastąpić nie później niż 72 godziny po jego wykryciu. Procedura zakłada także sporządzanie sprawozdań okresowych oraz końcowych, które są przekazywane odpowiednim jednostkom CSIRT w terminie do 8 godzin od otrzymania zgłoszenia. Wczesne ostrzeżenia mogą również zawierać wnioski, na przykład o wsparcie techniczne przy obsłudze incydentu, co ułatwia zarządzanie kryzysowe.
Dłuższa lista podmiotów kluczowych
W ramach nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadzono także serię obowiązków dla podmiotów kluczowych i ważnych, obejmujących zarówno tradycyjne sektory, jak energetyka czy transport, jak i nowe obszary, takie jak zarządzanie ściekami, przestrzeń kosmiczna, usługi pocztowe, gospodarowanie odpadami, a także produkcja i dystrybucja chemikaliów oraz żywności. Dodatkowo zaktualizowano regulacje dotyczące badania naukowego i zarządzania usługami ICT.
Zaktualizowane przepisy wymagają od tych podmiotów wprowadzenia efektywnego systemu zarządzania bezpieczeństwem informacji, co jest odpowiedzią na rosnące zagrożenia w cyberprzestrzeni i wymogi dyrektywy NIS2. Kierownicy tych podmiotów są zobowiązani do nadzoru nad realizacją tych zadań, a nieprzestrzeganie przepisów może skutkować nałożeniem kar. Ponadto wymagane jest, aby przeszli oni odpowiednie szkolenie z zakresu cyberbezpieczeństwa.
Podmioty te będą również zobowiązane do regularnych, dwuletnich audytów bezpieczeństwa swoich systemów informacyjnych oraz do korzystania z systemu S46, który umożliwia wymianę informacji o incydentach, cyberzagrożeniach i podatnościach. Wprowadzone zmiany regulacyjne mają na celu ułatwienie korzystania z tego systemu, co jest ważne dla skuteczniejszej ochrony przed cyberzagrożeniami.
Instytucja dostawców wysokiego ryzyka (HRV)
W odpowiedzi na rosnące wyzwania, związane z cyberbezpieczeństwem sieci 5G, wprowadzono też instytucję dostawców wysokiego ryzyka (HRV), która wynika z zestawu środków określanych jako Toolbox 5G, opublikowanego w styczniu 2020 roku. Toolbox 5G, mający na celu minimalną harmonizację i standaryzację rozwiązań na poziomie Unii Europejskiej, pozwala krajom członkowskim na pewną swobodę w jego wdrożeniu.
Nowelizacja ustawy o cyberbezpieczeństwie wprowadza także polecenie zabezpieczające jako instrument prawnie umożliwiający reakcję na incydenty krytyczne. Minister Cyfryzacji, po konsultacji z zespołem incydentów krytycznych, może wydać takie polecenie w formie decyzji generalnej, co oznacza, że dotyczy konkretnej sytuacji, ale adresowane jest do z góry określonej grupy podmiotów. Decyzje te podlegają zaskarżeniu do sądu administracyjnego.
Polecenie zabezpieczające może nakazywać podmiotom przyjęcie konkretnych środków zapobiegawczych, takich jak instalacja poprawek bezpieczeństwa, wycofanie oprogramowania czy przeprowadzenie oceny ryzyka. Minister ma obowiązek wybrać rozwiązanie adekwatne do sytuacji, co jest istotne zarówno dla prawidłowego stosowania prawa, jak i w kontekście ewentualnej kontroli sądowej.
Projekt ustawy przewiduje również szereg zmian mających na celu wzmocnienie ogólnokrajowej strategii cyberbezpieczeństwa, poprzez rozbudowę istniejących dokumentów strategicznych oraz precyzyjniejsze określenie zadań odpowiednich organów państwowych. Podkreśla się tu również rolę CSIRT NASK jako koordynatora w procesach związanych z zarządzaniem podatnościami oraz wzmacnia uprawnienia zespołów CSIRT, które będą odpowiedzialne za analizę i ocenę sprzętu oraz oprogramowania w kontekście narodowego bezpieczeństwa.
