Miesięcznik informatyków i menedżerów IT sektora publicznego

Eryk Chilmon

Krajowy system cyberbezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeństwa, której projekt został przyjęty 26 kwietnia 2018 r., ma zapewnić „niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych” – podało Centrum Informacyjne Rządu. Incydenty mają spotkać się z „efektywną reakcją” wszystkich zainteresowanych podmiotów, koordynowaną w ramach systemu, który ma być „kompletny, transparentny i kompleksowy”.

W projekcie ustawy określono organizację krajowego systemu cyberbezpieczeństwa (zadania i obowiązki podmiotów do niego wchodzących), sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Projekt zawiera także zasady wskazywania operatorów usług kluczowych i określa ich obowiązki. Dotyczą one wdrożenia efektywnego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, stosowanie skutecznych zabezpieczeń systemów informacyjnych, procedur i mechanizmów zgłaszania i postępowania z incydentami czy organizację struktur na poziomie operatora. Operator usługi kluczowej ma również zapewnić przeprowadzenie co najmniej raz na dwa lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej. Na poziomie operatorów usług kluczowych zostaną również powołane osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Do krajowego systemu cyberbezpieczeństwa będą włączone podmioty publiczne, a zgodnie z przyjętym rozwiązaniem ustawowym podmiot publiczny będzie zobowiązany do obsługi incydentu, z pozostawieniem mu swobody co do sposobu realizacji tego obowiązku. Proponowane rozwiązanie uwzględnia istniejące już i ciągle rozbudowywane wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo w poszczególnych resortach. Jedną z najistotniejszych zmian jest określenie w projektowanej ustawie systemu reagowania na incydenty i włączenie w ten proces wszystkich zainteresowanych podmiotów. Ustawa określa zadania CSIRT, które będą odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów. Po drugie ustawa przewiduje włączenie aspektów cyberbezpieczeństwa do sfery zarządzania państwem. CSIRT będą się wzajemnie informować oraz informować Rządowe Centrum Bezpieczeństwa o incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego.

Ustawa ustanawia organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych w sektorach wymienionych w dyrektywie 2016/1148/UE. Właściwym ministrom dla sektora energii, transportowego, ochrony zdrowia, zaopatrzenia w wodę, infrastruktury cyfrowej i dostawców usług cyfrowych przypisano obowiązki z zakresu cyberbezpieczeństwa o charakterze administracyjnym, regulacyjnym i kontrolnym. W przypadku sektora bankowości i instytucji finansowych właściwość przypisano natomiast Komisji Nadzoru Finansowego. Organy właściwe są elementem krajowego systemu cyberbezpieczeństwa odpowiedzialnym za opracowywanie we współpracy z CSIRT rekomendacji z zakresu cyberbezpieczeństwa w wymiarze sektorowym. Natomiast ustanawiane przez organy właściwe sektorowe zespoły cyberbezpieczeństwa będą miały możliwość przyjmowania zgłoszeń o incydentach poważnych, ich analizę oraz wsparcie w ich obsłudze we współpracy z właściwym CSIRT poziomu krajowego.

Minister Cyfryzacji będzie m.in. monitorował wdrażanie Strategii Cyberbezpieczeństwa, prowadził wykaz operatorów usług kluczowych, politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa. Będzie również prowadził Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa oraz realizował obowiązki sprawozdawcze wobec instytucji unijnych.

[...]

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej