Ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona przez Sejm RP 5 lipca 2018 r., 1 sierpnia podpisał ją prezydent RP, a następnie została opublikowana w Dzienniku Ustaw RP 13 sierpnia br.
Ustawa oraz towarzyszące jej rozporządzenia wykonawcze w pełni wdrożą do polskiego porządku prawnego tzw. dyrektywę NIS.
"Dzięki ustawie powstanie w Polsce krajowy system cyberbezpieczeństwa. W jego skład wejdą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki. W ustawie mowa jest zatem o: operatorach usług kluczowych (OUK), czyli m.in. największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale; dostawcach usług kluczowych (DUC), czyli m.in. internetowych platformach handlowych; organach właściwych (OW), czyli instytucjach publicznych, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla naszej gospodarki np. dla firm zajmujących się transportem lotniczym organem właściwym jest minister infrastruktury; Zespołach Reagowania na Incydenty Bezpieczeństwa Komputerowego utworzone w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej - Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON), które będą
współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa; sektorowych zespołach cyberbezpieczeństwa, np. taki utworzony przez największe banki w Polsce" - czytamy w komunikacie.
Podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa utworzą spójny system pozwalający na podejmowanie różnorodnych i skutecznych działań zarówno przeciwdziałających zagrożeniom, jak i zapewniających skuteczne reagowanie w przypadku wystąpienia incydentów.
"Przy ministrze cyfryzacji powstanie Pojedynczy Punkt Kontaktowy (PPK), który umożliwi wymianę informacji o poważnych incydentach, które dotknęły co najmniej dwa państwa członkowskie UE. Dzięki temu nasze trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego, a także zespoły sektorowe będą ostrzegane o możliwych zagrożeniach. Ponadto te trzy Zespoły Reagowania będą mogły, poprzez Punkt Kontaktowy, przekazywać innym państwom członkowskim UE ostrzeżenia" - wskazano także.
Od momentu otrzymania od organu właściwego decyzji administracyjnej, dany podmiot uznany za operatora usługi kluczowej jest zobowiązany do:
Po 3 miesiącach od otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza incydentami, wyznacza osobę kontaktową z właściwym CSIRT i PPK przy MC, prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności;
Po 6 miesiącach od otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację;
Po 12 miesiącach od otrzymania decyzji: przygotowuje pierwszy audyt w rozumieniu ustawy, przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom.
Jednocześnie przypominamy, że za niewykonanie przez OUK obowiązków wynikających z ustawy , przewidziano zastosowanie kar finansowych (patrz rozdział 14 ustawy), podano także w materiale.
Prezes Rady Ministrów w terminie do 3 miesięcy od wejścia w życie tej ustawy powoła Pełnomocnika do Spraw Cyberbezpieczeństwa, czyli osobę odpowiedzialną za koordynowanie działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w Polsce.
Finalizowane są obecnie prace nad ośmioma rozporządzeniami wykonawczymi, bez których pełne wdrożenie nowego systemu nie jest możliwe, podał także resort.
Joanna Świątkowska, dyrektor programowy Europejskiego Forum Cyberbezpieczeństwa - CYBERSEC, ekspert Instytutu Kościuszki, zwraca uwagę, że przepisy ustawy mają szansę przyczynić się do wzmocnienia niezakłóconego funkcjonowania usług, z których obywatele korzystają każdego dnia.
"Operatorzy usług kluczowych wyznaczani w takich sektorach jak m.in. transport, ochrona zdrowia, bankowość, będą zobligowani do implementowania szeregu działań nakierowanych na zwiększenie poziomu cyberbezpieczeństwa. Co więcej, ich działania będą kontrolowane, a w wypadku niewłaściwego postepowania będą mogły być nałożone na nich sankcje. Ustawa nakazuje więc wyższe starania o bezpieczeństwo i daje instrumenty bardziej skutecznego ich egzekwowania, wdrażania działań naprawczych. Jeśli zatem wymagania te będą solidnie wdrażane, to każdy obywatel powinien poczuć się bezpieczniej - jest większa szansa, że usługi, na których polegają w życiu codziennym będą im dostarczane wtedy, kiedy będą oni tego potrzebowali" - powiedziała Świątkowska, cytowana w odrębnym komunikacie Instytutu Kościuszki.
Dodatkowo, poziom bezpieczeństwa obywateli zwiększy się także pośrednio. Operatorzy usług kluczowych, na mocy ustawy będą zobowiązani do niezwłocznego zgłaszania naruszeń cyberbezpieczeństwa, dodała.
"Wiadomo, że skuteczna walka z cyberzagrożeniami wymaga szybkiego dzielenia się informacjami o incydentach, zagrożeniach, doświadczeniach. Niestety, podmioty z wielu powodów nie są chętne, aby tymi informacjami się dzielić. Bez tej współpracy wszyscy jesteśmy bardziej bezbronni. Wymóg zgłaszania incydentów sprawia, że organy, które są odpowiedzialne za reagowanie na incydenty komputerowe, przygotowanie rekomendacji, informowanie społeczeństwa, dostaną informacje i będą lepiej wypełniać swoje zadania. To w sposób pośredni przyczyni się do zwiększenia bezpieczeństwa nas wszystkich" - wskazała dyrektor.
