Reklama

Polityka i prawo

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Co w projekcie?

Kolejna wersja nowelizacji ustawy o krajowy systemie cyberbezpieczeństwa została przyjęta przez rząd
Kolejna wersja nowelizacji ustawy o krajowy systemie cyberbezpieczeństwa została przyjęta przez rząd
Autor. Scott Graham/ Unsplash/ Domena publiczna

We wtorek rząd przyjął projekt ustawy o krajowym systemie cyberbezpieczeństwa. Proces nowelizowania ustawy z 5 lipca 2018 roku o KSC trwał od 2020 roku. Jakie zapisy znalazły się w nowym projekcie?

Reklama

W ustawie z 7 czerwca 2023 roku (kolejnej wersji nowelizacji ustawy o KSC - red.) przyjętej przez rząd pojawiło się kilka kluczowych obszarów, istotnych dla całego rynku cyberbezpieczeństwa.

Reklama

Czytaj też

Reklama

Co w projekcie?

Jak wskazano w ocenie skutków regulacji, oczekiwanym efektem ma być zmiana modelu współpracy w ramach systemu: sektorowe zespoły cyberbezpieczeństwa i podmioty świadczące usługi z zakresu cyberbezpieczeństwa zostaną zastąpione przez CSIRT-y sektorowe (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego) i SOC-i zewnętrzne (Security Operation Center), powstaną też SOC-i wewnętrzne.

Do systemu KSC zostaną dodani także przedsiębiorcy z sektora komunikacji elektronicznej (jak np. operatorzy telekomunikacyjni – red.); włączone zostaną ISAC-i (jako centra wymiany informacji m.in. o podatnościach i zagrożeniach, ułatwiając tym samym dostęp do takich informacji zainteresowanym podmiotom (obecnie działa już m.in. ISAC Kolej).

Przepisy wzmacniają też pozycję pełnomocnika ds. cyberbezpieczeństwa poprzez dodatkowe uprawnienia w zakresie wydawania ostrzeżeń o incydentach krytycznych wraz z zalecaniem określonych zachowań. Będzie mógł też wydawać rekomendacje, by wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów wchodzących w skład KSC.

Czytaj też

Krajowy System Certyfikacji

Kolejne istotne zapisy w nowelizacji to powstanie Krajowego Systemu Certyfikacji Cyberbezpieczeństwa (określone zostaną procedury akredytacji dot. oceny zgodności, procedury wydawania certyfikatów oraz obowiązki wobec podmiotów krajowego systemu certyfikacji cyberbezpieczeństwa), w ramach którego wydawane będą certyfikaty w zakresie cyberbezpieczeństwa. Dodatkowo minister będzie odpowiedzialny za programy (przyjmowane w drodze rozporządzenia Rady Ministrów) na podstawie których będzie można przeprowadzać certyfikacje.

Uwzględniono także procedurę dotyczącą tzw. dostawcy wysokiego ryzyka, względem dostawców sprzętu i oprogramowania, którzy będą mogli zostać poddani procedurze sprawdzenia pod kątem zagrożenia dot. zastosowania w kluczowych podmiotach polskiej gospodarki. Jeśli zostanie ono stwierdzone, będą musiały zostać wycofane - sprzęt lub oprogramowanie - w ciągu 7 lat od wydania decyzji administracyjnej przez ministra właściwego ds. informatyzacji.

Powstanie OSSB

W tej wersji nowelizacji także jest mowa o Operatorze Strategicznej Sieci Bezpieczeństwa i uruchomeniu „bezpiecznej sieci telekomunikacyjej, wykorzystywanej na potrzeby realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego przez kluczowe urzędy i podmioty w Polsce”.

Prezes Rady Ministrów wyznacza OSSB, który będzie świadczył usługi telekomunikacyjne dla wskazanych w ustawie podmiotów (dokładne zapisy w tej kwestii omówimy w kolejnym tekście).

CSIRT dla telekomunikacji i w AW

Kolejną zmianą jest budowa sześciu CSIRT-ów sektorowych, co ma pomóc w skuteczniejszym reagowaniu na incydenty. Mowa jest też wprost o CSIRT Telco, który ma wspierać przedsiębiorców komunikacji elektronicznej w obsłudze incydentów z ich zakresu.

Powstanie również CISRT INT – prowadzony przez Szefa Agencji Wywiadu, będzie przeznaczony dla jednostek podległych ministrowi spraw zagranicznych (lub przez niego nadzorowanych), o czym pisaliśmy jako pierwsi na łamach CyberDefence24 w tym materiale .

Czytaj też

Ustawa oznacza m.in. więcej obowiązków dla ISAC, dostawców sprzętu lub oprogramowania czy przedsiębiorców telekomunikacyjnych. Zmiany obejmą również operatorów usług kluczowych, którzy między innymi będą zobowiązani wyznaczyć dwie osoby do kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa (a nie jedną, jak do tej pory); zgłoszenia poważnych incydentów będą przekazywane do zespołu CSIRT sektorowego za pomocą systemu S46 (będą zobowiązani do korzystania z niego od 1 stycznia 2024 roku).

Będą oni musieli regularnie przeprowadzać aktualizacje oprogramowania, zgodnie z zaleceniami producenta (z uwzględnieniem analizy wpływu aktualizacji na bezpieczeństwo usługi kluczowej i poziomu krytyczności poszczególnych aktualizacji).

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Komentarze

    Reklama