CERT Narodowy na razie przy NASK

W liczącym 45 stron dokumencie, czytamy, że „rozbudowa krajowego systemu cyberbezpieczeństwa w wymiarze operacyjnym będzie związana ze zbudowaniem przez organizatora systemu nowych instytucji CSIRT Narodowego i funkcjonalności pojedynczego punktu kontaktowego”. Strategia opublikowana na stronie resortu kierowanego przez minister Annę Streżyńską zakłada, że do czasu przyjęcia ustawy o krajowym systemie cyberbezpieczeństwa i wobec braku umocowania ustawowego CERT.GOV.PL (Rządowego Zespołu Reagowania na Incydenty Komputerowe, działającego w strukturze Departamentu Bezpieczeństwa Teleinformatycznego ABW i pełniącego też funkcję Krajowego Punktu Kontaktowego do celów wymiany informacji odnoszących się do cyberprzestępstw – przyp. red.) preferowaną formułą będzie powierzenie roli CERT Narodowego zespołowi CERT Polska. Działa on w ramach Naukowej i Akademickiej Sieci Komputerowej instytutu naukowo-badawczego (NASK).

Ministerstwo Cyfryzacji chce, żeby powierzenie CERT Polska/NASK roli Narodowego CSIRT odbyło się z wykorzystaniem procedury opisanej w art. 37 ustawy z dnia 30 kwietnia 2010 roku o instytutach badawczych. Na podstawie powołanego przepisu Minister Cyfryzacji może nałożyć na NASK jako instytut naukowo-badawczy zadanie, zgodnie z zakresem działania określonym w statucie instytutu, jeżeli jest to niezbędne ze względu na potrzeby obronności lub bezpieczeństwa publicznego, w przypadku stanu klęski żywiołowej lub w celu wykonania zobowiązań międzynarodowych. Zakres działania NASK określony w § 8 statutu instytutu z dnia 25 marca 2011 r. obejmuje m.in. prowadzenie badań naukowych i prac rozwojowych w zakresie bezpieczeństwa sieci i systemów teleinformatycznych.

Autorzy strategii cyberbezpieczeństwa dla RP postulują, by realizacja zadania w postaci obowiązku utworzenia i pełnienia funkcji CSIRT Narodowego oraz funkcjonalności punktu kontaktowego odbywała się na podstawie umowy pomiędzy NASK a ministrem cyfryzacji. Umowa ma „określać zarówno szczegółowe obowiązki CERT Narodowego, w tym obowiązek prowadzenia platformy wymiany informacji, zasady składania raportów i przekazywania bieżących informacji do organizatora systemu, jak również zasady współpracy z CSIRT rządowym (CERT.GOV.PL – przyp. red.), CSIRT sektorowymi (operatorami usług kluczowych, operatorzy telekomunikacyjni, operatorzy usług zaufania, certyfikacji)  i Policją (POL-CERT dla sieci teleinformatycznych Policji – przyp. red.)”. Ministerstwo Cyfryzacji uważa, że dodatkowo w NASK jako instytucie naukowo-badawczym mogłoby powstać „akredytowane laboratorium dokonujące oceny lub certyfikacji produktów informatycznych (sprzętu lub oprogramowania) stosowanych w systemach podmiotów sfery publicznej i w zainteresowanych podmiotach prywatnych”.