Iron Mountain, które jest jednym z największych centrów digitalizacji na świecie, otrzymało w 2023 r. prestiżowy tytuł Center of Digital Excellence. Firma przeznaczyła do 10 mln zł na modernizację obiektu, w tym na budowę dedykowanego Centrum Digitalizacji Dziedzictwa Kulturowego.
Ministerstwo Cyfryzacji prezentuje projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa, mający na celu wzmocnienie ochrony obywateli i instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni. Projekt uwzględnia przepisy unijnej dyrektywy NIS2, które Polska jest zobowiązana zaimplementować. Planuje się, że nowe regulacje zostaną przyjęte jeszcze w tym roku.
Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa traci ważność 1 sierpnia 2018 r. Wobec znaczących zmian w cyberprzestrzeni konieczna jest skuteczna i precyzyjna nowelizacja obowiązującego prawa, mająca na celu wzmocnienie systemu bezpieczeństwa teleinformatycznego na poziomie krajowym, aby sprostać rosnącym zagrożeniom.
Minister cyfryzacji Krzysztof Gawkowski podkreślił, że priorytetowym projektem na ten rok są zmiany w Krajowym Systemie Cyberbezpieczeństwa. Zmiany w krajobrazie cyberprzestrzeni sprawiają, że wyzwań jest coraz więcej, biorąc pod uwagę liczbę incydentów i ich konsekwencje. Minister jest zdeterminowany, aby wprowadzić nowe prawo szybko, zachowując jednak odpowiedni okres dla przedsiębiorców do dostosowania się do regulacji.
Proponowana ustawa wprowadza nowe regulacje dotyczące dostawców usług cyfrowych oraz instytucji administracji publicznej, które są objęte przepisami obowiązującej ustawy o krajowym systemie cyberbezpieczeństwa. Tysiące kluczowych i istotnych podmiotów na terenie kraju będą zobowiązane do wdrożenia systemu zarządzania bezpieczeństwem informacji w celu zapewnienia bezpieczeństwa świadczonych przez nie usług.
Współpraca z jednostkami administracji wszystkich szczebli oraz sektorem prywatnym będzie wymagała dużego nakładu pracy. Bezpieczeństwo cybernetyczne dotyka wszystkich obszarów funkcjonowania dużych usług. Naszym celem jest stworzenie kompleksowego systemu ochrony instytucji, firm i przede wszystkim obywateli – podkreśla Paweł Olszewski, sekretarz stanu w Ministerstwie Cyfryzacji.
Zmieniając jedną ustawę, zmienia się wiele aspektów. Obecnie Krajowy System Cyberbezpieczeństwa ma na celu zapewnienie niezakłóconego świadczenia usług kluczowych i cyfrowych, oraz osiągnięcie wysokiego poziomu bezpieczeństwa systemów teleinformatycznych. System ten obejmuje operatorów usług kluczowych, dostawców usług cyfrowych, zespoły CSIRT, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy odpowiedzialne za cyberbezpieczeństwo oraz punkt kontaktowy do współpracy w Unii Europejskiej w dziedzinie cyberbezpieczeństwa.
Nowa ustawa dotycząca Krajowego Systemu Cyberbezpieczeństwa ma na celu zapewnienie niezakłóconego świadczenia usług kluczowych i cyfrowych, oraz osiągnięcie wysokiego poziomu bezpieczeństwa systemów teleinformatycznych. System obejmuje operatorów usług kluczowych, dostawców usług cyfrowych, zespoły CSIRT, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy odpowiedzialne za cyberbezpieczeństwo oraz punkt kontaktowy do współpracy w Unii Europejskiej w dziedzinie cyberbezpieczeństwa.
Operatorzy usług kluczowych muszą wdrożyć skuteczne zabezpieczenia, oceniać ryzyko związane z cyberbezpieczeństwem oraz informować o poważnych incydentach i ich obsłudze we współpracy z krajowym CSIRT. Ponadto muszą wyznaczyć osobę odpowiedzialną za cyberbezpieczeństwo świadczonych usług, obsługę i zgłaszanie incydentów oraz udostępnianie wiedzy na temat cyberbezpieczeństwa.
Ustawa wprowadza zmiany w zakresie podmiotów kluczowych i ważnych, zespołów CSIRT, systemu S46 i Pojedynczego Punktu Kontaktowego, nadzoru i środków egzekwowania przepisów przez organy właściwe ds. cyberbezpieczeństwa, kompetencji Ministra Cyfryzacji, zmiany obowiązków Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa, oraz instytucji dostawcy wysokiego ryzyka.
Zgłaszanie incydentów
Zgodnie z projektowaną regulacją incydenty poważne zgłaszane będą do CSIRT sektorowego w ściśle określonym trybie, włączając wczesne ostrzeżenie o incydencie poważnym, zgłoszenia incydentu poważnego, oraz sporządzanie sprawozdań okresowych i końcowych.
Rozwiązania zapewniają szybkie reagowanie na incydenty poważne, skoordynowane działanie, a sprawozdania okresowe i końcowe informacje o incydencie poważnym i jego przebiegu.
Identyfikacja podmiotów kluczowych i ważnych
NIS2 ma bardzo duży zakres podmiotowy, co wymaga wprowadzenia mechanizmu samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie, np. poprzez stronę internetową, z uwagi na niemożliwość wyznaczenia wszystkich podmiotów na podstawie decyzji administracyjnej.
Umożliwi to identyfikację i aktywne wsparcie przez zespoły CSIRT sektorowe i krajowe, a także nadzorowanie przez organy odpowiedzialne za cyberbezpieczeństwo. Dodatkowo, umożliwi przekazywanie danych o liczbie tych podmiotów do Komisji Europejskiej i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa.
Nowe obowiązki dla podmiotów kluczowych i ważnych
Projektowane zmiany nakładają dodatkowe obowiązki na podmioty kluczowe i ważne.
Nowe sektory objęte zakresem ustawy to:
– ścieki;
– zarządzanie usługami ICT;
– przestrzeń kosmiczna;
– usługi pocztowe;
– gospodarowanie odpadami;
– produkcja, wytwarzanie i dystrybucja chemikaliów;
– produkcja, przetwarzanie i dystrybucja żywności;
– produkcja;
– badania naukowe.
Zaktualizowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które podlegają obowiązującym przepisom ustawy o krajowym systemie cyberbezpieczeństwa. Podmioty kluczowe i ważne będą zobowiązane do wprowadzenia systemu zarządzania bezpieczeństwem informacji w procesach świadczenia usług. Zgodnie z art. 21 dyrektywy NIS2, wprowadzane są nowe wymagania dotyczące zarządzania ryzykiem.
Osoba odpowiedzialna za kluczowy lub istotny podmiot będzie ponosić odpowiedzialność za wdrożenie tych zadań przez dany podmiot, a w przypadku niedopełnienia obowiązków przez kierownika takiego podmiotu, będą mogły zostać nałożone na niego kary. Kierownik ten będzie również zobowiązany do ukończenia odpowiedniego szkolenia z zakresu cyberbezpieczeństwa.
Operatorzy usług kluczowych oraz inne podmioty kluczowe i ważne będą musiały regularnie przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych co dwa lata.
Wprowadza się obowiązek korzystania z systemu S46, służącego do wymiany informacji o incydentach, cyberzagrożeniach i podatnościach, oraz ułatwia się korzystanie z tego systemu poprzez wprowadzenie zmian regulacyjnych.
Dostawcy wysokiego ryzyka (HRV) są instytucjami określanymi w zestawie środków dotyczących minimalnej harmonizacji i standaryzacji rozwiązań cyberbezpieczeństwa sieci 5G, znanym jako Toolbox 5G, opublikowanym w styczniu 2020 r. na poziomie UE. Toolbox 5G wymaga transpozycji przez kraje członkowskie i daje im dużą swobodę w jego wdrożeniu.
Nowe przepisy dotyczące wprowadzenia polecenia zabezpieczającego mają na celu stworzenie instytucji prawnej umożliwiającej reakcję na incydent krytyczny. Zgodnie z projektem ustawy Minister Cyfryzacji będzie mógł wydać decyzję generalną po konsultacji z zespołem incydentów krytycznych, dotyczącą konkretnej sprawy, ale z określonymi adresatami. Ustawa zapewnia również możliwość zaskarżenia takiej decyzji do sądu administracyjnego.
Nowa wersja: W ramach polecenia zabezpieczającego będzie możliwe nakazanie określonej grupie podmiotów konkretnego zachowania mającego na celu zapobieżenie incydentowi krytycznemu, np. instalację poprawki bezpieczeństwa, wycofanie oprogramowania lub przeprowadzenie szacowania ryzyka.
Minister będzie musiał wybrać adekwatne rozwiązanie w przypadku nakazania zachowań, które będą zamknięte. Ta przesłanka jest bardzo istotna zarówno podczas stosowania prawa, jak i ewentualnej kontroli takiej decyzji przez sąd administracyjny.
Projekt zakłada istotne zmiany, takie jak:
– Rozszerzenie zakresu Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej;
– Wprowadzenie nowego dokumentu strategicznego – Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;
– Doprecyzowanie zadań organów państwa w obszarze cyberbezpieczeństwa;
– Wyznaczenie CSIRT NASK do pełnienia roli krajowego koordynatora w ramach skoordynowanego ujawniania podatności (CVD) oraz wzmocnienie uprawnień zespołów CSIRT poziomu krajowego, które przeprowadzają badanie sprzętu lub oprogramowania pod kątem podatności zagrażających bezpieczeństwu narodowemu.
Projekt ustawy dotyczący zmiany ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw został opublikowany na stronie https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/902927_projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-niektorych-innych-ustaw.html. Konsultacje publiczne będą trwać do 24 maja 2024 roku.
Informujemy, że komunikaty publikowane są w serwisie PAP w formie dostarczonej przez nadawcę, bez wprowadzania przez PAP SA żadnych zmian w ich treści. Nadawca komunikatu ponosi odpowiedzialność za treść, zgodnie z postanowieniami art. 42 ust. 2 ustawy prawo prasowe. (PAP)
Źródło dystrybucji: pap-mediaroom.pl
