Polityka i prawo
MC przyznaje, że nie wyrobi się z wdrożeniem dyrektywy o cyberbezpieczeństwie
Już za miesiąc mija termin na wdrożenie do polskiego porządku prawnego unijnej dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych. Projekt, który miał ją wdrożyć – ustawa o krajowym systemie cyberbezpieczeństwa – dopiero czeka na akceptację rządu. Ministerstwo Cyfryzacji właśnie przyznało, że nie zdąży w zakładanym terminie.
Chodzi o tzw. dyrektywę NIS (ang. Network and Information Systems Directive). Jak mówił w środę wiceminister cyfryzacji Karol Okoński, wszystko wskazuje na to, że terminu wdrożenia dyrektywy wyznaczonego na 9 maja, "nie uda się dotrzymać".
W ubiegłym tygodniu projekt ustawy o krajowym systemie cyberbezpieczeństwa został przyjęty przez Komitet Stały Rady Ministrów. Teraz czeka na akceptację tzw. komisji prawniczej, która ma się zebrać w przyszłym tygodniu. Jeśli i tam projekt przejdzie uzgodnienia, może – jak powiedział wiceminister – trafić pod obrady rządu w ostatnim tygodniu kwietnia. Optymistycznie licząc (co przyznał sam Okoński), początek prac w Sejmie mógłby nastąpić w połowie maja, a podpis prezydenta – w połowie czerwca.
Będzie to oznaczać, że na moment wejścia w życie dyrektywy, czyli na 9 maja nie będziemy mieli uchwalonych przepisów krajowych, natomiast ten przedział prawny, kiedy będzie wciąż obowiązywało polskie prawo, przewidujemy w tym momencie na mniej więcej jakiś miesiąc-półtora miesiąca
Jednocześnie Okoński zwracał uwagę, że ustawy implementujące dyrektywę NIS przyjęły do tej pory 3 z 28 państw UE (Niemcy, Francja i Czechy), a prace parlamentarne trwają w kolejnych trzech krajach (Finlandia, Słowacja i Chorwacja). Pozostałe państwa UE są na etapie prac legislacyjnych w ramach rządu, konsultacji międzyresortowych, przed konsultacjami publicznymi lub wręcz dopiero pracują nad roboczymi wersjami projektów.
Jednocześnie Okoński zwracał uwagę, że ustawy implementujące dyrektywę NIS przyjęły do tej pory 3 z 28 państw UE (Niemcy, Francja i Czechy), a prace parlamentarne trwają w kolejnych trzech krajach (Finlandia, Słowacja i Chorwacja). Pozostałe państwa UE są na etapie prac legislacyjnych w ramach rządu, konsultacji międzyresortowych, przed konsultacjami publicznymi lub wręcz dopiero pracują nad roboczymi wersjami projektów.
To pewnie nie jest do końca pocieszające, ale z perspektywy porównywania otoczenia w państwach członkowskich jesteśmy mniej więcej w środku stawki, jeśli chodzi o stopień zaawansowania prac nad ustawą
Przyjęcie ustawy o krajowym systemie cyberbezpieczeństwa jest o tyle ważne, że – jak to ujął wiceminister – "nie ma w tym momencie zbiorczej ustawy, która by w sposób szczegółowy opisywała zagadnienia cyberbezpieczeństwa w poszczególnych sektorach".
Sama ustawa siłą rzeczy jest jak gdyby implementacją dyrektywy NIS, stąd też wynikają pewne terminy, ale generalnie jest też okazją po prostu do tworzenia i opisania efektywnego sposobu zarządzania bezpieczeństwem teleinformatycznym w państwie. Siłą rzeczy po wdrożeniu tych przepisów zakładamy, że dzięki temu będziemy w stanie zapewnić niezakłócone świadczenie usług kluczowych i usług cyfrowych oraz że zostanie osiągnięty odpowiedni poziom bezpieczeństwa tych systemów informatycznych, które są przewidziane do świadczenia tych usług, tzn. mówimy jednocześnie o poziomie zabezpieczeń, jak i o zapewnieniu ciągłości działania.
Projektowana ustawa o krajowym systemie cyberbezpieczeństwa ma zapewnić ochronę cyberprzestrzeni na poziomie krajowym. Przepisy mają gwarantować m.in. niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych. Ma się to stać poprzez osiągnięcie wysokiego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług. Ustawa ma doprowadzić do zwiększenia poziomu zabezpieczeń systemów teleinformatycznych oraz ograniczyć potencjalne skutki incydentów, w tym straty finansowe.
Krajowy system cyberbezpieczeństwa ma obejmować operatorów usług kluczowych (m.in.: z sektora energetyki, transportu, ochrony zdrowia i bankowości), dostawców usług cyfrowych, zespoły CSIRT (czyli Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej.
Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka, a także do przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Wymienione podmioty będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Do krajowego systemu będą również włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni.
Wymaganiami z zakresu cyberbezpieczeństwa zostaną również objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte łagodniejszym reżimem regulacyjnym. Ustawa odwołuje się tutaj do decyzji wykonawczej Komisji Europejskiej.
Do zadań ministra właściwego do spraw informatyzacji należeć będzie m.in. opracowanie Strategii Cyberbezpieczeństwa, informowanie na temat krajowego systemu, sprawozdawczość wobec instytucji unijnych oraz uruchomienie z początkiem 2021 r. systemu teleinformatycznego, umożliwiającego zautomatyzowane zgłaszanie i obsługę incydentów, szacowanie ryzyka teleinformatycznego oraz ostrzeganie o zagrożeniach.
Zakłada się, że zespoły CSIRT poziomu krajowego będą współpracować, aby zapewnić spójny i kompletny system zarządzania ryzykiem w zakresie cyberbezpieczeństwa państwa oraz obsługę zgłoszonych incydentów, zwłaszcza poważnych i krytycznych.
