Polityka i prawo

Jak ma wyglądać nowy krajowy system cyberbezpieczeństwa?

fot. Zdjęcie poglądowe; Jack Sloop/ Unsplash/ Domena publiczna

Na początku października została opublikowana kolejna wersja nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Projekt – jak informowaliśmy jako pierwsi – krótko po tym, jak został przekazany do rozpatrywania przez Stały Komitet Rady Ministrów, został wycofany z rozpatrywania. Teraz ma zająć się nim Komitet Rady Ministrów ds. bezpieczeństwa narodowego i spraw obronnych. Co znalazło się w nowelizacji KSC?

W Biuletynie Informacji Publicznej Cyfryzacji KPRM pojawił się projekt ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) oraz ustawy – Prawo zamówień publicznych.

Ostatnią wersją (datowana na 25 marca br.) zajmował się Stały Komitet Rady Ministrów. Później rynek ponownie właściwie nie wiedział, co dzieje się z projektem. Ostatnia wersja nowelizacji pojawiła się z kolei na początku października. To jej zapisy omówimy w tekście.

Czytaj też

Zmiany w nowelizacji mają dotyczyć przede wszystkim (wskazujemy ważniejsze – zdaniem CyberDefence24 - zapisy):

  • usunięcia przepisów regulujących powstanie i funkcjonowanie spółki Polskie 5G;
  • usunięcia przepisów dotyczących Funduszu celowego na rzecz strategicznej sieci bezpieczeństwa;
  • zastąpiono przepisy dotyczące Funduszu na rzecz strategicznej sieci bezpieczeństwa przepisami regulującymi przyznawanie i rozliczanie dotacji dla Operatora strategicznej sieci bezpieczeństwa (OSSB);
  • monitorowanie limitu wydatków na poszczególne CSIRT sektorowe będzie należało do właściwości ministrów nadzorujących poszczególne sektory;
  • do czasu osiągnięcia przez Operatora strategicznej sieci bezpieczeństwa (OSSB) pełnej zdolności operacyjnej do świadczenia usług, podmioty, o których mowa w ustawie mogą zawierać umowy na świadczenie usług z innymi operatorami telekomunikacyjnymi
  • wskazania w projekcie, że przedsiębiorcy komunikacji elektronicznej powinni przeprowadzać szacowanie ryzyka co najmniej raz w roku
  • w zgłoszeniu poważnego incydentu telekomunikacyjnego opisuje się wpływ tego incydentu na świadczenie usług kluczowych i cyfrowych (jeżeli jest on znany), podobnie jak w przypadku poważnego incydentu telekomunikacyjnego;
  • przedsiębiorca komunikacji elektronicznej informuje swoich użytkowników o znacznym zagrożeniu wystąpienia incydentu telekomunikacyjnego (jeżeli nie spowoduje to zwiększenia poziomu ryzyka dla bezpieczeństwa sieci lub usług komunikacji elektronicznej);
  • wskazano, że ISAC (ang. Information Sharing and Analysis Center - centrum analiz i wymiany informacji) może zawrzeć porozumienie z ministrem właściwym ds. informatyzacji, aby uzyskać dostęp do systemu S46. Taki ISAC zostaje następnie wpisany do wykazu;
  • podmiot krajowego systemu cyberbezpieczeństwa może wnieść zastrzeżenia do rekomendacji nie później niż w terminie 7 dni od ich opublikowania w BIP Ministra Cyfryzacji
  • prezes UKE zapewnia funkcjonowanie CSIRT Telco (sektora telekomunikacyjnego) oraz może powierzyć wykonywanie jego zadań jednostce podległej lub nadzorowanej przez ministra właściwego ds. informatyzacji;
  • CSIRT sektorowe i CSIRT Telco informują odpowiednio organ właściwy ds. cyberbezpieczeństwa i prezesa UKE o zamiarze przeprowadzenia oceny bezpieczeństwa
  • doprecyzowano uprawnienia CSIRT Telco przy przetwarzaniu danych osobowych pozyskanych w związku z wykonywaniem zadań;
  • usunięto wymóg uzyskania przez CSIRT sektorowy zgody CSIRT poziomu krajowego na złożenie wniosku o wezwanie operatora usługi kluczowej do usunięcia podatności
  • minister właściwy ds. informatyzacji będzie mógł pobierać próbki certyfikowanych produktów i dokonywać ich badań (wymóg prawa europejskiego – red.)
  • podmiot krajowego systemu cyberbezpieczeństwa uwzględnia rekomendacje w zarządzaniu ryzykiem, jeżeli zostały one do niego skierowane;
  • podmioty, które zakupiły produkty wskazane w decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka, przed wydaniem tej decyzji, będą mogły korzystać z nich tak jakby te produkty już znajdowały się w ich systemach;
  • skarga na decyzję o uznaniu za dostawcę wysokiego ryzyka będzie rozpoznawana przez 3 sędziów, usunięto zapis, który uniemożliwiał wstrzymanie przez sąd administracyjny natychmiastowej wykonalności decyzji o uznaniu za dostawcę wysokiego ryzyka;
  • Prezes Rady Ministrów może określić, w drodze rozporządzenia, minimalne wymagania techniczne jakie musi spełniać strategiczna sieć bezpieczeństwa oraz minimalny poziom bezpieczeństwa usług transmisji danych, połączeń głosowych oraz wiadomości tekstowych,
  • potencjalny Operator strategicznej sieci bezpieczeństwa musi wyrazić zgodę na przyjęcie na siebie tej roli, doprecyzowano również wymogi dla Operatora strategicznej sieci bezpieczeństwa, w przypadku gdy Operator strategicznej sieci bezpieczeństwa uporczywie nie zapewnia odpowiedniego poziomu usług, podmioty publiczne mogą zawrzeć umowę z innym operatorem, doprecyzowanie uprawnienia prezesa UKE i terminów związanych z analizą cen i usług oferowanych przez OSSB;
  • prywatni właściciele nieruchomości będą obowiązani do zapewnia OSSB dostępu do nieruchomości i umożliwienia umieszczenia na niej infrastruktury telekomunikacyjnej;
  • prezesowi UKE przyznano uprawnienie do wydania decyzji zastępującej albo zmieniającej umowę z OSSB i doprecyzowanie przepisów dotyczących uzyskiwania dostępu przez Operatora strategicznej sieci bezpieczeństwa do infrastruktury telekomunikacyjnej;
  • OSSB będzie miał obowiązek przekazywania prezesowi UKE informacji o zawartych umowach i ich warunkach oraz na żądanie prezesa UKE – innych informacji niezbędnych do realizacji zadań;
  • w sytuacji szczególnego zagrożenia, w przypadku pełnego wykorzystania możliwości świadczenia usług w zakresie częstotliwości 703-713 MHz i 758-768 MHz OSSB będzie mógł zażądać od podmiotu dysponującego rezerwacją częstotliwości z zakresu 713-733 MHz oraz 768-788 MHz udostępnienia zasobów częstotliwości (w takich wypadkach pierwszeństwo będą miały Siły Zbrojne RP)
  • określenie nowej formy odwoływania Operatora strategicznej sieci bezpieczeństwa i wyznaczania nowego,

Cele realizowanych zmian

Jak czytamy w OSR do projektu nowelizacji, „ustawa zwiększy poziom bezpieczeństwa podmiotów krajowego systemu cyberbezpieczeństwa, w tym spółek Skarbu Państwa i jednostek samorządu terytorialnego”.

Zdaniem twórców projektu spełnia wymogi „neutralności technologicznej (tu sprawa może być dyskusjna ze względu na ocenę firm, które mogą zostać uznane za dostawcę wysokiego ryzyka - red.), wykorzystania danych z rejestrów publicznych oraz ochrony danych osobowych”.

Ustawa wprowadza administracyjne kary za niedostosowanie się do obowiązków wynikających z nowelizacji, a skargi na decyzje administracyjne będą rozpatrywane przez właściwe sądy.

Co istotne - jak oceniono - implementacja projektu sprawi, że konieczne będzie zatrudnienie wysoko wykwalifikowanych cyberspecjalistów oraz przekwalifikowanie się dotychczasowej kadry.

Czytaj też

Co się zmieni z chwilą wejścia w życie ustawy?

Wskazano także na realne skutki wprowadzenia nowelizacji dla rynku cyberbezpieczeństwa w Polsce po wejściu ustawy w życie (ustawa wejdzie w życie po upływie 30 dni od ogłoszenia.).

Podstawowe zmiany to:

  • wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo powołane w ramach operatora usługi kluczowej staną się SOC wewnętrznymi (ang. Security operations center - centrum operacji bezpieczeństwa);
  • podmioty świadczące usługi z zakresu cyberbezpieczeństwa, z którym dotychczas operator usługi kluczowej zawarł umowę staną się SOC zewnętrznymi;
  • sektorowy zespół cyberbezpieczeństwa stanie się CSIRT sektorowym;
  • podmioty publiczne wyznaczą osoby do kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w terminie 3 miesięcy od dnia wejścia w życie ustawy;
  • organy właściwe do spraw cyberbezpieczeństwa będą miały 18 miesięcy na ustanowienie CSIRT sektorowego;
  • operatorzy usług kluczowych będą zobowiązani do korzystania z systemu S46 od 1 stycznia 2023 roku;
  • wdrożone zostaną działania, by wyznaczyć Operatora strategicznej sieci bezpieczeństwa (OSSB).

W zakresie certyfikacji pierwszym krokiem będzie stworzenie jednolitych procedur akredytacji i certyfikacji na potrzeby cyberbezpieczeństwa. Równocześnie utworzony zostanie organ nadzorujący (Polskie Centrum Akredytacji). Początkowo certyfikacja będzie się odbywała w ramach europejskich programów certyfikacji.

Co ciekawe, szef Agencji Wywiadu będzie zobowiązany utworzyć CSIRT INT.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także