Logotyp serwisu CyberDefence24
Reklama

Polityka i prawo

Jak ma wyglądać nowy krajowy system cyberbezpieczeństwa?

fot. Zdjęcie poglądowe; Jack Sloop/ Unsplash/ Domena publiczna
fot. Zdjęcie poglądowe; Jack Sloop/ Unsplash/ Domena publiczna

Na początku października została opublikowana kolejna wersja nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Projekt – jak informowaliśmy jako pierwsi – krótko po tym, jak został przekazany do rozpatrywania przez Stały Komitet Rady Ministrów, został wycofany z rozpatrywania. Teraz ma zająć się nim Komitet Rady Ministrów ds. bezpieczeństwa narodowego i spraw obronnych. Co znalazło się w nowelizacji KSC?

Reklama

W Biuletynie Informacji Publicznej Cyfryzacji KPRM pojawił się projekt ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) oraz ustawy – Prawo zamówień publicznych.

Reklama

Ostatnią wersją (datowana na 25 marca br.) zajmował się Stały Komitet Rady Ministrów. Później rynek ponownie właściwie nie wiedział, co dzieje się z projektem. Ostatnia wersja nowelizacji pojawiła się z kolei na początku października. To jej zapisy omówimy w tekście.

    Zmiany w nowelizacji mają dotyczyć przede wszystkim (wskazujemy ważniejsze – zdaniem CyberDefence24 - zapisy):

    Reklama
    • usunięcia przepisów regulujących powstanie i funkcjonowanie spółki Polskie 5G;
    • usunięcia przepisów dotyczących Funduszu celowego na rzecz strategicznej sieci bezpieczeństwa;
    • zastąpiono przepisy dotyczące Funduszu na rzecz strategicznej sieci bezpieczeństwa przepisami regulującymi przyznawanie i rozliczanie dotacji dla Operatora strategicznej sieci bezpieczeństwa (OSSB);
    • monitorowanie limitu wydatków na poszczególne CSIRT sektorowe będzie należało do właściwości ministrów nadzorujących poszczególne sektory;
    • do czasu osiągnięcia przez Operatora strategicznej sieci bezpieczeństwa (OSSB) pełnej zdolności operacyjnej do świadczenia usług, podmioty, o których mowa w ustawie mogą zawierać umowy na świadczenie usług z innymi operatorami telekomunikacyjnymi
    • wskazania w projekcie, że przedsiębiorcy komunikacji elektronicznej powinni przeprowadzać szacowanie ryzyka co najmniej raz w roku
    • w zgłoszeniu poważnego incydentu telekomunikacyjnego opisuje się wpływ tego incydentu na świadczenie usług kluczowych i cyfrowych (jeżeli jest on znany), podobnie jak w przypadku poważnego incydentu telekomunikacyjnego;
    • przedsiębiorca komunikacji elektronicznej informuje swoich użytkowników o znacznym zagrożeniu wystąpienia incydentu telekomunikacyjnego (jeżeli nie spowoduje to zwiększenia poziomu ryzyka dla bezpieczeństwa sieci lub usług komunikacji elektronicznej);
    • wskazano, że ISAC (ang. Information Sharing and Analysis Center - centrum analiz i wymiany informacji) może zawrzeć porozumienie z ministrem właściwym ds. informatyzacji, aby uzyskać dostęp do systemu S46. Taki ISAC zostaje następnie wpisany do wykazu;
    • podmiot krajowego systemu cyberbezpieczeństwa może wnieść zastrzeżenia do rekomendacji nie później niż w terminie 7 dni od ich opublikowania w BIP Ministra Cyfryzacji
    • prezes UKE zapewnia funkcjonowanie CSIRT Telco (sektora telekomunikacyjnego) oraz może powierzyć wykonywanie jego zadań jednostce podległej lub nadzorowanej przez ministra właściwego ds. informatyzacji;
    • CSIRT sektorowe i CSIRT Telco informują odpowiednio organ właściwy ds. cyberbezpieczeństwa i prezesa UKE o zamiarze przeprowadzenia oceny bezpieczeństwa
    • doprecyzowano uprawnienia CSIRT Telco przy przetwarzaniu danych osobowych pozyskanych w związku z wykonywaniem zadań;
    • usunięto wymóg uzyskania przez CSIRT sektorowy zgody CSIRT poziomu krajowego na złożenie wniosku o wezwanie operatora usługi kluczowej do usunięcia podatności
    • minister właściwy ds. informatyzacji będzie mógł pobierać próbki certyfikowanych produktów i dokonywać ich badań (wymóg prawa europejskiego – red.)
    • podmiot krajowego systemu cyberbezpieczeństwa uwzględnia rekomendacje w zarządzaniu ryzykiem, jeżeli zostały one do niego skierowane;
    • podmioty, które zakupiły produkty wskazane w decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka, przed wydaniem tej decyzji, będą mogły korzystać z nich tak jakby te produkty już znajdowały się w ich systemach;
    • skarga na decyzję o uznaniu za dostawcę wysokiego ryzyka będzie rozpoznawana przez 3 sędziów, usunięto zapis, który uniemożliwiał wstrzymanie przez sąd administracyjny natychmiastowej wykonalności decyzji o uznaniu za dostawcę wysokiego ryzyka;
    • Prezes Rady Ministrów może określić, w drodze rozporządzenia, minimalne wymagania techniczne jakie musi spełniać strategiczna sieć bezpieczeństwa oraz minimalny poziom bezpieczeństwa usług transmisji danych, połączeń głosowych oraz wiadomości tekstowych,
    • potencjalny Operator strategicznej sieci bezpieczeństwa musi wyrazić zgodę na przyjęcie na siebie tej roli, doprecyzowano również wymogi dla Operatora strategicznej sieci bezpieczeństwa, w przypadku gdy Operator strategicznej sieci bezpieczeństwa uporczywie nie zapewnia odpowiedniego poziomu usług, podmioty publiczne mogą zawrzeć umowę z innym operatorem, doprecyzowanie uprawnienia prezesa UKE i terminów związanych z analizą cen i usług oferowanych przez OSSB;
    • prywatni właściciele nieruchomości będą obowiązani do zapewnia OSSB dostępu do nieruchomości i umożliwienia umieszczenia na niej infrastruktury telekomunikacyjnej;
    • prezesowi UKE przyznano uprawnienie do wydania decyzji zastępującej albo zmieniającej umowę z OSSB i doprecyzowanie przepisów dotyczących uzyskiwania dostępu przez Operatora strategicznej sieci bezpieczeństwa do infrastruktury telekomunikacyjnej;
    • OSSB będzie miał obowiązek przekazywania prezesowi UKE informacji o zawartych umowach i ich warunkach oraz na żądanie prezesa UKE – innych informacji niezbędnych do realizacji zadań;
    • w sytuacji szczególnego zagrożenia, w przypadku pełnego wykorzystania możliwości świadczenia usług w zakresie częstotliwości 703-713 MHz i 758-768 MHz OSSB będzie mógł zażądać od podmiotu dysponującego rezerwacją częstotliwości z zakresu 713-733 MHz oraz 768-788 MHz udostępnienia zasobów częstotliwości (w takich wypadkach pierwszeństwo będą miały Siły Zbrojne RP)
    • określenie nowej formy odwoływania Operatora strategicznej sieci bezpieczeństwa i wyznaczania nowego,
    Reklama

    Cele realizowanych zmian

    Reklama

    Jak czytamy w OSR do projektu nowelizacji, „ustawa zwiększy poziom bezpieczeństwa podmiotów krajowego systemu cyberbezpieczeństwa, w tym spółek Skarbu Państwa i jednostek samorządu terytorialnego”.

    Zdaniem twórców projektu spełnia wymogi „neutralności technologicznej (tu sprawa może być dyskusjna ze względu na ocenę firm, które mogą zostać uznane za dostawcę wysokiego ryzyka - red.), wykorzystania danych z rejestrów publicznych oraz ochrony danych osobowych”.

    Reklama

    Ustawa wprowadza administracyjne kary za niedostosowanie się do obowiązków wynikających z nowelizacji, a skargi na decyzje administracyjne będą rozpatrywane przez właściwe sądy.

    Co istotne - jak oceniono - implementacja projektu sprawi, że konieczne będzie zatrudnienie wysoko wykwalifikowanych cyberspecjalistów oraz przekwalifikowanie się dotychczasowej kadry.

    Reklama
      Reklama

      Co się zmieni z chwilą wejścia w życie ustawy?

      Reklama

      Wskazano także na realne skutki wprowadzenia nowelizacji dla rynku cyberbezpieczeństwa w Polsce po wejściu ustawy w życie (ustawa wejdzie w życie po upływie 30 dni od ogłoszenia.).

      Podstawowe zmiany to:

      Reklama
      • wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo powołane w ramach operatora usługi kluczowej staną się SOC wewnętrznymi (ang. Security operations center - centrum operacji bezpieczeństwa);
      • podmioty świadczące usługi z zakresu cyberbezpieczeństwa, z którym dotychczas operator usługi kluczowej zawarł umowę staną się SOC zewnętrznymi;
      • sektorowy zespół cyberbezpieczeństwa stanie się CSIRT sektorowym;
      • podmioty publiczne wyznaczą osoby do kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w terminie 3 miesięcy od dnia wejścia w życie ustawy;
      • organy właściwe do spraw cyberbezpieczeństwa będą miały 18 miesięcy na ustanowienie CSIRT sektorowego;
      • operatorzy usług kluczowych będą zobowiązani do korzystania z systemu S46 od 1 stycznia 2023 roku;
      • wdrożone zostaną działania, by wyznaczyć Operatora strategicznej sieci bezpieczeństwa (OSSB).
      Reklama

      W zakresie certyfikacji pierwszym krokiem będzie stworzenie jednolitych procedur akredytacji i certyfikacji na potrzeby cyberbezpieczeństwa. Równocześnie utworzony zostanie organ nadzorujący (Polskie Centrum Akredytacji). Początkowo certyfikacja będzie się odbywała w ramach europejskich programów certyfikacji.

      Co ciekawe, szef Agencji Wywiadu będzie zobowiązany utworzyć CSIRT INT.

      Reklama

      Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

      Reklama
      Reklama

      Jak odkryto blokady w pociągach Newagu?

      YouTube cover video

      Komentarze

        Reklama

        Czytaj także

        GSM-R ruszy w tym roku?
        donald trump prezydent USA
        Trump wstrzymał programy pomocowe. Rosja uderza w USA
        policja ukraińska grupa oszustwo banki
        Policja rozbiła ukraińską grupę. Oszukiwała klientów banków
        Jak wykorzystać AI w cyberbezpieczeństwie?
        Ukraina wojna zniszczenia rosja ataki rakietowe
        Sprawa rosyjskiego propagandzisty. Zapadł wyrok
        Internet pełen zagrożeń. Jak chronić dzieci i młodzież?
        Naukowcy z Uniwersytetu Warszawskiego budują prototyp odbiornika atomowego dla Europejskiej Agencji Kosmicznej
        Polscy naukowcy budują kosmiczny sensor kwantowy
        Ursula von der Leyen Komisja Europejska UE
        Unia ogłasza InvestAI. Miliardy na AI i gigafabryki
        Reklama