Ustawa o krajowym systemie cyberbezpieczeństwa

Dwudziestego szóstego kwietnia 2018 roku w Polsce przez Radę Ministrów została przyjęta nowa ustawa.

Jest to ustawa o krajowym systemie cyberbezpieczeństwa, która ma umożliwić zbudowanie jednolitego, wydajnego systemu, który zapewni bezpieczeństwo w sieci na poziomie całego kraju.

W tym artykule postaramy się w krótki oraz zwięzły, a zarazem zrozumiały sposób opisać zmiany wprowadzane przez ustawę. Zagadnienia związane z cyberbezpieczeństwem stają się coraz bardziej popularne, co jest w stu procentach zrozumiałe ze względu na wyjątkowo szybki rozwój branży IT oraz stale pojawiające się nowe zagrożenia, które mogą być naprawdę poważne i zaszkodzić przedsiębiorstwom. Nowa ustawa, według przedstawicieli Ministerstwa Cyfryzacji, ma zapewnić bezpieczeństwo sieci internetowych z punktu widzenia gospodarki, państwa, a także wszelkiego rodzaju usług cyfrowych.

Jest ona częścią stopniowo wprowadzanego projektu Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022.

Powstać ma złożona struktura, która będzie zwiększać poziom bezpieczeństwa wszelakich rozwiązań sieciowych wykorzystywanych w państwie poprzez stałe monitorowanie pojawiających się cyberzagrożeń oraz specjalny system efektywnej reakcji.

System ten ma szybko reagować na jakiekolwiek incydenty związane z bezpieczeństwem sieciowym. Jego działanie ma być "kompletne, transparentne i kompleksowe". W proces działania systemu mają zostać włączone wszelkie zainteresowane podmioty, tak państwowe, jak i prywatne. Głównym zamiarem wprowadzenia tej ustawy jest bardziej skoordynowane przeciwdziałanie zagrożeniom w sieci. Twórcy wzięli pod uwagę dotychczasowe doświadczenia związane z cyberbezpieczeństwem w instytucjach państwowych oraz uwzględnili także kwestie sektora prywatnego oraz potencjału związanego z jego wykorzystaniem. Połączenie działania sektora prywatnego z publicznym jest kluczem do sukcesu we wprowadzaniu tej ustawy.

W projekcie ustawy określono kilka istotnych kwestii: jak zorganizowany będzie krajowy system cyberbezpieczeństwa, jakie zadania i obowiązki będą posiadać zrzeszone podmioty, w jaki sposób sprawowany będzie nadzór nad podmiotami oraz w jakim trybie ustanawiana będzie Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej. System ten będzie obejmował zarówno operatorów usług kluczowych (z różnych sektorów, jak na przykład energetyczny, transportowy, bankowości, zdrowia czy zaopatrzenia w wodę), jak i dostawców wszelakich usług cyfrowych, krajowe zespoły reagowania na incydenty bezpieczeństwa komputerowego, mniejsze, sektorowe zespoły cyberbezpieczeństwa, organy zajmujące się tym zagadnieniem oraz wiele innych.

Jakie wymagania stawiane są przed operatorami usług kluczowych?

W projekcie ustawy wyszczególnione są zasady wskazywania konkretnych operatorów usług kluczowych oraz określone zostały ich obowiązki. Należy do nich efektywne zarządzanie ryzykiem, wprowadzanie zabezpieczeń systemów informatycznych, mechanizmów postępowania z incydentami bezpieczeństwa, a także organizacja struktur na poziomie operatora.

Dodatkowym obowiązkiem operatorów usług kluczowych ma być przeprowadzanie co dwa lata audytu bezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia tych usług. Mają też zostać powołane osoby, które będą odpowiedzialne za stałe kontaktowanie się z podmiotami krajowego systemu bezpieczeństwa. Podano także kategorie podmiotów z poszczególnych sektorów gospodarki, z których wyłaniani będą operatorzy usług kluczowych.

Dodatkowe wymagania zostaną postawione także przed dostawcami usług cyfrowych. Dotyczy to zarówno szeroko pojętych internetowych platform handlowych, ale też wyszukiwarek internetowych czy usług zajmujących się przetwarzaniem w chmurze. Regulacje dotyczące tych podmiotów są jednak nieco łagodniejsze, głównie ze względu na ich międzynarodowość oraz bardzo transgraniczną specyfikę. Włączenie podmiotów publicznych do systemu cyberbezpieczeństwa zmusza je do zajmowania się wszelkiego rodzaju incydentami związanymi z bezpieczeństwem w sieci. Obowiązek ten będzie mógł być zrealizowany w dowolny sposób. Proponowane rozwiązania mają łączyć ze sobą wszystkie działające obecnie systemy, by maksymalnie wykorzystać potencjał ich działania.

Jak wyglądać ma reakcja na incydenty cyberbezpieczeństwa?

W ustawie jasno określony został pożądany sposób reakcji na incydenty, tak, aby w proces ten włączone były wszystkie zaangażowane podmioty. Trzy najważniejsze założenia dotyczące systemu reagowania to: kompletność, transparentność i kompleksowość.

Ustawa narzuca zadania, które będą wykonywane przez zespoły CSIRT - mają one ponosić odpowiedzialność za przeciwdziałanie wszystkim rodzajom zagrożeń cyberbezpieczeństwa, także o charakterze transgranicznym lub ponadsektorowym. Ich zadaniem ma być również koordynowanie obsługi najpoważniejszych, krytycznych i pilnych incydentów.

Aspekty związane z cyberbezpieczeństwem mają także zostać włączone do sfery ogólnego zarządzania państwem. Rządowe Centrum Bezpieczeństwa będzie informowane przez poszczególne CSIRT (które będą także porozumiewać się między sobą) o incydentach krytycznych i ich możliwych konsekwencjach dla porządku publicznego.

Incydenty mają zostać podzielone na kilka kategorii. Są one zależne od zgłaszającego dany incydent podmiotu oraz stopnia jego oddziaływania. Pierwszym typem jest incydent poważny - zgłasza go operator usługi kluczowej i jest on związany z problemami ze świadczeniem danej usługi (może nawet oznaczać całkowite przerwanie jej świadczenia). Kolejny typ to incydent istotny, który wpływa na świadczenie danej usługi cyfrowej w znaczący sposób. Ostatnią kategorię stanowią incydenty krytyczne - wyrządzają one znaczną szkodę bezpieczeństwu publicznemu, mogą mieć wpływ na krajowe interesy gospodarcze bądź na porządek publiczny i działanie instytucji państwowych.

W treści ustawy zostały także wyznaczone organy właściwe ds. cyberbezpieczeństwa, które odpowiadają za sprawowanie nadzoru nad operatorami usług kluczowych.

Ministrowie sektora energii, transportu, zaopatrzenia w wodę, ochrony zdrowia, infrastruktury cyfrowej mają przez ustawę przypisane konkretne obowiązki związane z różnymi dziedzinami cyberbezpieczeństwa. Dotyczą one zarówno administracji, regulacji, jak i kontroli. Obowiązkami narzuconymi przez ustawę w kwestiach cyberbezpieczeństwa finansowego w sektorze bankowości zajmować będzie się Komisja Nadzoru Finansowego. Organy właściwe zajmować będą się opracowywaniem konkretnych rekomendacji w wymiarze sektorowym (we współpracy z CSIRT). W każdym sektorze powstanie specjalistyczny zespół bezpieczeństwa, który będzie przyjmować zgłoszenia o poważnych incydentach i zajmować się ich analizą.

Rola Ministra Cyfryzacji we wprowadzaniu ustawy

Minister Cyfryzacji będzie nadzorował wprowadzanie ustawy, zajmował się prowadzeniem wykazu operatorów usług kluczowych i polityką informacyjną dotyczącą systemu bezpieczeństwa w kraju. Przez Ministra prowadzony będzie także specjalny Pojedynczy Punkt Kontaktowy, gdzie odbierane będą zgłoszenia dotyczące incydentów bezpieczeństwa (także z innych krajów członkowskich). Polska będzie dzięki temu reprezentowana w Grupie Współpracy i będzie współpracować z innymi krajami członkowskimi i Komisją Europejską. Minister zajmować się będzie również rozwojem systemu teleinformatycznego w państwie, który będzie umożliwiał łatwe zgłaszanie incydentów bezpieczeństwa.

Nowa funkcja - pełnomocnik rządu ds. cyberbezpieczeństwa

W rządzie zostanie także powołany nowy ekspert - pełnomocnik rządu do spraw cyberbezpieczeństwa (powoływać go będzie premier, pełnomocnik będzie podlegać Radzie Ministrów). Powstanie także Kolegium do spraw cyberbezpieczeństwa, którego przewodniczącym będzie premier. Ma to wzmocnić koordynację działań, a także wymianę informacji w sferze cywilnej i wojskowej. Działania nie będą już tak rozproszone jak kiedyś, a instytucje rozpoczną ścisłą współpracę, co umożliwi zwiększenie ogólnego poziomu cyberbezpieczeństwa w kraju, zwłaszcza na poziomie usług publicznych oraz bezpieczeństwa gospodarczego.

Opisywana w artykule ustawa ma rozpocząć obowiązywanie po czternastu dniach od daty ogłoszenia w Dzienniku Ustaw. Już 9 listopada 2018 roku organy właściwe muszą wybrać operatorów usług kluczowych oraz wydać decyzje dotyczące tego wyboru. Dodatkową ustawą, która również została przyjęta, i o której warto wspomnieć to ustawa węzłowa. Stanowi ona projekt ustawy o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw. Ustawa ta przewiduje wprowadzenie jednego identyfikatora, który będzie umożliwiał użytkownikom korzystanie z wszystkich cyfrowych usług administracji rządowej w spójny sposób. Wprowadzone zostaną także regulacje stanowiące podstawę prawną do funkcjonowania nowej, publicznej aplikacji mobilnej o nazwie mDokumenty.

Jak można wywnioskować z powyższego artykułu, nowe ustawy wprowadzają wiele istotnych zmian i mogą być traktowane jako prawdziwa rewolucja w dziedzinie cyberbezpieczeństwa w naszym kraju. Powinniśmy cieszyć się z poważnego traktowania kwestii związanych z bezpieczeństwem w sieci i z wprowadzania usystematyzowanych rozwiązań z nim związanych. Jak doskonale wiadomo – aktualnie w sieci przechowywane są ogromne ilości istotnych informacji, korzystają z niej wszystkie przedsiębiorstwa i nie możemy już sobie wyobrazić wyglądu naszej cywilizacji bez potęgi Internetu. Zadbajmy więc o zabezpieczenie naszych danych i doceniajmy starania rządu, mające na celu usystematyzowanie cyberbezpieczeństwa w Polsce i Europie.

Kontakt: