Nowe podejście do cyberbezpieczeństwa? Poznaliśmy założenia nowelizacji KSC

Stwierdzenie, że na ten projekt czekał cały rynek cyberbezpieczeństwa jest tak oczywiste, jak fakt, że Polska jest dziś w czołówce najczęściej atakowanych państw NATO w cyberprzestrzeni. Stąd tak krytyczne jest dostosowanie przepisów do rosnących wyzwań, jakie niewątpliwie w obliczu cyfrowego świata wciąż się piętrzą.

Poznaliśmy wreszcie (18!) wersję nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, a pierwszą - w wykonaniu nowego rządu.

W czasie spotkania z dziennikarzami kierownictwo resortu cyfryzacji przedstawiło najważniejsze punkty, jakie znalazły się w projekcie, który - jak oceniono - w „70 proc. składa się z nowości”.

Wicepremier i minister cyfryzacji Krzysztof Gawkowski projekt nazwał „ustawą KSC 3.0”, która w „70 proc. składa się z nowości, a w 30 proc. z dojrzałości”.

Zaznaczył, że podstawą jest przyjęcie przepisów dotyczących Toolbox 5G, które do tej pory nie zostały przyjęte, co jak ocenił Gawkowski „jest prawdziwym skandalem”. Dodatkowo, podstawą jest implementacja Dyrektywy NIS 2, z czym polski rząd nie może zwlekać.

Przyjęcie projektu jeszcze w tym roku?

Obecnie obowiązująca ustawa z 5 lipca 2018 roku jest już - pisząc oględnie - przestarzała, zwłaszcza jeśli weźmie się pod uwagę rosnącą skalę cyberzagrożeń, sytuację geopolityczną i potrzebę wzmocnienia systemu bezpieczeństwa państwa zarówno na poziomie krajowym, jak i międzynarodowym.

Przede wszystkim nowelizacja obejmie nowe podmioty określone jako kluczowe i ważne, których w perspektywie przyszłości będzie tysiące. Będą musiały się dostosować do wymogów ustawy pod katem bezpieczeństwa usług cyfrowych.

Jakie są najważniejsze punkty ustawy?

Znacznie zwiększy się katalog podmiotów, które będą miały obowiązki, ale i otrzymają wsparcie w zakresie cyberbezpieczeństwa (ma to związek z implementacją dyrektywy NIS2). Chodzi o podmioty kluczowe i ważne - podstawą ma być mechanizm samoidentyfikacji – podmioty będą zobowiązane zarejestrować się w nowym systemie. Otrzymają m.in. wsparcie ze strony CSIRT-ów sektorowych i CSIRT-ów poziomu krajowego oraz zostaną objęte nadzorem.

Wśród obowiązków dla podmiotów kluczowych i ważnych znajdzie się wprowadzenie systemu zarządzania bezpieczeństwem informacji dotyczących procesów związanych ze świadczeniem usług. Natomiast kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację wskazanych zadań i będzie musiał odbyć szkolenie z cyberbezpieczeństwa. Niewypełnienie obowiązków będzie skutkowało karą.

Poza operatorami usług kluczowych, także podmioty kluczowe i ważne będą zobowiązane do przeprowadzania audytów bezpieczeństwa swoich systemów informacyjnych co dwa lata.

Co jeszcze istotnego zawarto w projekcie? Nowe CSIRT-y sektorowe: obowiązkami zostaną objęte takie jak sektory jak m.in. ścieki; zarządzanie usługami ICT; przestrzeń kosmiczna; usługi pocztowe czy gospodarowanie odpadami. Jak się dowiedzieliśmy, nie będzie Zespołu reagowania na cyberincydenty w Agencji Wywiadu (co opisywaliśmy na łamach CyberDefence24 tutaj), co jest zmianą w stosunku do poprzednich wersji projektu za poprzedniego rządu.

Polecenie zabezpieczające ma umożliwić reakcję na incydent krytyczny. Minister cyfryzacji po konsultacji z zespołem incydentów krytycznych będzie mógł wydać akt (w formie decyzji generalnej) i nakazać określonym podmiotom działanie, którego celem będzie przeciwdziałanie incydentowi krytycznemu (dotyczące wykluczenia podatności, szacowania ryzyka itp.).

System S46 ma być głównym środkiem komunikacji pomiędzy podmiotami objętymi KSC. Podmioty kluczowe i ważne będą zobowiązane do korzystania z tego systemu, by wymieniać informacje o incydentach, cyberzagrożeniach i podatnościach.

Zmianie uległy też obowiązki Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa oraz ministra właściwego ds. informatyzacji.

Będą wydawane ostrzeżenia, nakazy oraz decyzje administracyjne nakazujące lub zaniechanie określonego działania. W praktyce oznaczać to będzie np. nadzór prewencyjny lub następczy nad podmiotami kluczowymi oraz tylko następczy - nad podmiotami ważnymi.

Zgłaszanie incydentów: poważne incydenty mają być zgłaszane do CSIRT sektorowego w określonym trybie w zależności od tego czy jest to podmiot kluczowy i ważny (nie później niż 24 godziny); przedsiębiorca telekomunikacyjny (nie później niż w ciągu 12 godzin).

Z kolei CSIRT sektorowy przekazuje wczesne ostrzeżenie oraz zgłoszenia niezwłocznie, nie później niż 8 godzin od jego otrzymania, do właściwego CSIRT MON, CSIRT NASK albo CSIRT GOV. Ma to pomóc w szybkim reagowaniu na poważny incydent, koordynacji działania i szybkim raportowaniu.

Co usunięto z projektu w stosunku do jego poprzednich wersji? Jak się dowiedzieliśmy, to m.in. przepisy dotyczące Operatora Strategicznej Sieci Bezpieczeństwa (OSSB). Więcej na ten temat pisaliśmy w tym materiale.

Dostawcy wysokiego ryzyka (HRV)

To punkt, który niewątpliwie wzbudzał największe kontrowersje w przypadku każdej kolejnej próby nowelizacji. W projekcie zawarto regulacje dotyczące możliwości wskazania dostawcy wysokiego ryzyka (HRV), co ma się odbywać w drodze decyzji administracyjnej podjętej przez ministra cyfryzacji.

Wicepremier i minister cyfryzacji Krzysztof Gawkowski zaznaczył, że nie realizują ustawy „pod konkretnego producenta czy państwo” (w domyśle chodzi o m.in. Chiny). Jak ma wyglądać procedura wskazywania HRV?

Minister cyfryzacji ma otrzymać informację dotyczącą zagrożenia bezpieczeństwa państwa względem danego dostawcy sprzętu/ usługi (chodzi zarówno o powiązania kapitałowe, jak np. warunki techniczne); postępowanie administracyjne będzie wszczynane z urzędu, następnie stanowisko przygotuje Kolegium Cyberbezpieczeństwa (w poszerzonym składzie niż to było w przypadku poprzednich wersji, wśród osób zasiadających w KC znajdą się m.in. szefowie służb, UOKIK, Prokurator Generalny, ABW, SKW, AW, MS, CBZC), a po konsultacji minister cyfryzacji wyda decyzję administracyjną.

Zmieniono także terminy wycofania ze swoich systemów sprzętów czy produktów pochodzących od dostawcy wysokiego ryzyka - to 7 lat lub 4 lata (poprzednio było to 5 lat).

Kiedy przyjęcie nowelizacji KSC?

Jak przekazał wiceminister cyfryzacji Paweł Olszewski, resort zakłada przyjęcie przepisów do końca roku. Miesiąc przewidziano na wejście przepisów w życie; a 6 miesięcy to czas, jaki otrzymają podmioty kluczowe i ważne na dostosowanie się do regulacji.

„Jesteśmy otwarci na uwagi, wnioski, zmiany przepisów, będziemy je analizowali, współpracowali z rynkiem, resortami, tak aby projekt, który wyjdzie z rządu i trafi do Sejmu został szybko procedowany. Jesteśmy w fazie regularnej wojny w cyberprzestrzeni, bo działania naszych przeciwników politycznych, jak i grup przestępczych są na takim poziomie aktywności, że musimy mieć narzędzia do twardego reagowania” - stwierdził Olszewski.

Jak dodał, Polska musi być pionierem w cyberbezpieczeństwie, a nowelizacja KSC ma być punktem wyjścia do tego, aby „państwo miało narzędzia, by chronić obywateli”.

Konsultacje publiczne potrwają do 24 maja 2024 r. Projekt znalazł się już w Rządowym Centrum Legislacji.

Szczegółowe zapisy nowelizacji KSC będziemy także opisywali na łamach CyberDefence24.pl w kolejnych dniach.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].