Dyrektywa NIS2 w samorządzie nowe obowiązki Ochrona danych osobowych

W przypadku pozytywnego wyniku audytu podmiot otrzymuje certyfikat zgodności, który stanowi potwierdzenie dostosowania do wymagań ustawy oraz międzynarodowych standardów. Warto jednak pamiętać, że zgodność musi być regularnie monitorowana poprzez cykliczne audyty. Ich częstotliwość zależy od specyfiki organizacji, ale zazwyczaj odbywają się co najmniej raz w roku. Stwierdzenie, że na ten projekt czekał cały rynek cyberbezpieczeństwa jest tak oczywiste, jak fakt, że Polska jest dziś w czołówce najczęściej atakowanych państw NATO w cyberprzestrzeni.

Operatorzy usług FxPro kluczowych to wyznaczone przedsiębiorstwa i instytucje, które świadczą usługi o istotnym znaczeniu dla działania państwa, a świadczenie tej usługi zależy od systemu informatycznego i wystąpienie incydentu mogłoby zakłócenie jego działanie. Z kolei CSIRT Telco powołany zostanie przy Urzędzie Komunikacji Elektronicznej w celu wsparcia przedsiębiorców komunikacji elektronicznej w obsłudze incydentów telekomunikacyjnych (na podobnych zasadach jak CSIRT sektorowy). 2) gromadzenie i analiza informacji o podatnościach, cyberzagrożeniach i incydentach oraz zapewnienie podmiotom krajowego systemu cyberbezpieczeństwa dostępu do tych informacji i wyników analiz. Mowa o podmiotach, które mogą w sposób nieuprawniony posługiwać się danymi lub oddziaływać na bezpieczeństwo i stabilność naszych sieci. Projektowane przepisy określają zasady dotyczące czasu na wycofanie sprzętu i usług od takich podmiotów, zwłaszcza w tak wrażliwych miejscach jak bazy wojskowe, instalacje militarne, czy w budynkach administracji publicznej.

CSIRT sektorowy

Będą oni musieli regularnie przeprowadzać aktualizacje oprogramowania, zgodnie z zaleceniami producenta (z uwzględnieniem analizy wpływu aktualizacji na bezpieczeństwo usługi kluczowej i poziomu krytyczności poszczególnych aktualizacji). O otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. z 2023 r. poz. 1524). Nałożona na podmiot lub jego kierownika kara pieniężna musi zostać uiszczona w terminie 14 dni od dnia, w którym decyzja o jej wymierzeniu stała się ostateczna lub od dnia doręczenia decyzji z klauzulą natychmiastowej wykonalności.

Inne istotne zmiany, jakie zostaną dokonane w projekcie dotyczą:

Termin na to wynosi 2 miesiące od dnia, w którym decyzja została ogłoszona w dzienniku urzędowym ministra właściwego do spraw informatyzacji. Informatyzacji udostępnia wykaz usług świadczonych przez podmioty kluczowe i ważne, stosowany w systemie S46, w Biuletynie Informacji Publicznej na swojej stronie. Zespołowi CSIRT nadano dwa ważne uprawnienia, które są niezbędne do skutecznego przeprowadzenia oceny bezpieczeństwa. Po drugie, CSIRT będzie mógł zyskać dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, a także uzyskać dostęp do całości lub części systemu informacyjnego. Nowelizacja – jak już wspomniano wcześniej – wprowadza nową klasyfikację podmiotów, dzieląc je na kluczowe i ważne. Wprowadzono również nowe obowiązki rejestracji w wykazie prowadzonym przez Ministerstwo Cyfryzacji.

Dzięki temu inwestycje w cyberbezpieczeństwo mają się stać łatwiejsze do zrealizowania. Zasadnicza różnica w nadzorze nad podmiotami kluczowymi i ważnymi dotyczy jego charakteru. Nadzór sprawowany nad podmiotami kluczowymi może być bowiem zarówno prewencyjny, jak i następczy, podczas gdy w przypadku podmiotów ważnych może być on prowadzony jedynie następczo, w szczególności, gdy wystąpi uzasadnione podejrzenie, że zachodzi możliwość naruszenia przepisów ustawy. Tak samo jak na gruncie przepisów obecnie obowiązującej ustawy, w jej znowelizowanej wersji przewidziano przyjęcie przez Radę Ministrów w formie Dywersyfikacja rynku Forex uchwały Strategii Cyberbezpieczeństwa RP. Wprowadzenie prawnego obowiązku utworzenia CSIRT sektorowych dla wszystkich sektorów określonych w załącznikach 1 i 2 do ustawy ma na celu usprawnienie funkcjonowania i zwiększenie skuteczności systemu reagowania na incydenty.

Mając w pamięci różne potrzeby, interpretacje i oczekiwania podmiotów publicznych i komercyjnych w tej kwestii uznaliśmy, że ciężko było pogodzić każdego z interesariuszy. Rozmawialiśmy tam o bezpieczeństwie łańcucha dostaw i oprócz przedstawicieli dostawców technologii z wielu branży, w dyskusji uczestniczyli też integratorzy, którzy te technologie muszą wdrażać w konkretnych organizacjach. Ich spojrzenie na to, jakie są potrzeby badania bezpieczeństwa łańcucha dostaw, głębokości tej analizy, celowości certyfikacji są inne niż dostawców technologii. Pozytywnie oceniam więc fakt, że się przestrzeń do otwartej dyskusji i klarownego wskazywania różnic.

  • DAO jest „dzieckiem” otwartego oprogramowania komputerowego.
  • Krajowy system cyberbezpieczeństwa (KSC) – system, którego celem jest zapewnienie cyberbezpieczeństwa usług mających kluczowe znaczenie dla działania państwa polskiego, świadczonych przez podmioty publiczne i wybrane przedsiębiorstwa (operatorów usług kluczowych i dostawców usług cyfrowych).
  • Integralnym elementem nowelizacji jest również obowiązek współpracy podmiotów objętych przepisami z zespołami CSIRT (Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego).
  • Procedura uznania dostawcy za DWR może zostać wszczęta z urzędu przez Ministra Cyfryzacji lub na wniosek przewodniczącego Kolegium ds.
  • Jest to o tyle istotne, że w związku z zaplanowanymi na 15 października 2023 r.
  • Dyrektywa NIS2 zmienia kategorie podmiotów w krajowym systemie cyberbezpieczeństwa.

Nowelizacja ustawy KSC – kluczowe terminy

  • W ramach każdego z przytoczonych poniżej obowiązków projektowana ustawa może precyzować dodatkowe obowiązki i uregulowania, toteż niniejsze opracowanie należy traktować jako zarys zobowiązań.
  • Wówczas to działanie było niezbędne do tego, aby zatrzymać specjalistów z zakresu cyberbezpieczeństwa w administracji publicznej, szczególnie w wysokopoziomowych instytucjach bardzo ważnych z punktu widzenia bezpieczeństwa państwa.
  • Ocena bezpieczeństwa będzie mogła być przeprowadzona wyłącznie za zgodą podmiotu krajowego systemu cyberbezpieczeństwa, wyrażoną w postaci pisemnej lub elektronicznej pod rygorem nieważności.
  • Z kolei CSIRT sektorowy przekazuje wczesne ostrzeżenie oraz zgłoszenia niezwłocznie, nie później niż 8 godzin od jego otrzymania, do właściwego CSIRT MON, CSIRT NASK albo CSIRT GOV. Ma to pomóc w szybkim reagowaniu na poważny incydent, koordynacji działania i szybkim raportowaniu.
  • Taki przepływ może przyczynić się do szybkiego przekazywania informacji o zagrożeniach i atakach oraz w konsekwencji umożliwić zabezpieczenie systemów.

Jeśli zachodzi potrzeba współpracy, konsolidacji, to regulacja zawiera możliwość spełnienia funkcji sektorowych na poziomie CSiRT krajowego. Inne elementy, takie jak polecenie zabezpieczające, zawarte w poprzedniej noweli, są także i w obecnym projekcie. Nowości, zmiany, komentarze i interpretacje prawa dla przedsiębiorców.

Do tej pory powstały dwa takie zespoły – CSIRT KNF (dla sektora finansowego) oraz Centrum e-Zdrowia (dla sektora ochrony zdrowia). Informacje uzyskane w wyniku oceny stanowić będą tajemnicę prawnie chronioną, a CSIRT nie będzie mógł wykorzystać ich do realizacji innych ustawowych zadań. Wprowadza się jednak zasadę informowania ministra właściwego do spraw informatyzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa o ujawnionych podczas oceny bezpieczeństwa podatnościach, które mogą występować w systemach informacyjnych innych podmiotów.

Środki egzekwowania przepisów

W ramach dzielenia regulacji na elementy podstawowe dla implementacji NIS2 i dodatkowe zarekomendowaliśmy zatem, aby kwestia Operatora Strategicznej Sieci Bezpieczeństwa był prowadzony w ramach odrębnej regulacji. Nie jest więc tak, że skreślimy te przepisy i nigdy ich nie będzie. Zaproponowaliśmy jednak, że – jeśli mają znaleźć swoją kontynuację – to tak, jak z ustawą o certyfikacji, niech dokona się to na drodze odrębnej ustawy. Naszym celem było ustanowienie procedury, która przyniesie możliwość działania w każdej sytuacji, która może zaistnieć. Natomiast – podobnie jak procedura polecenia zabezpieczającego – tak i procedura określenia dostawcy wysokiego ryzyka wymaga wielu elementów do wywołania. Z niektórych rozwiązań starego projektu ustawy zrezygnowaliśmy, ponieważ NIS2 już w swoim zakresie nam to poukładał.

Uprawnienia nadzorcze wobec podmiotów kluczowych i ważnych przyznane zostały wyłącznie organom właściwym do spraw cyberbezpieczeństwa (dalej w tekście jako ,,organy właściwe”). Projekt nowelizacji ustawy o KSC z 3 października 2024 r. Odszedł od wcześniejszej koncepcji i przewidywał autonomiczną definicję dostawców usług zarządzanych cyberbezpieczeństwa. Definicja ta oprócz wprowadzenia przykładowego katalogu usług, które należało rozumieć jako usługi zarządzane z zakresu cyberbezpieczeństwa, wprowadzała dość istotną zmianę – spod zakresu definicji wyłączono bowiem wprost usługi konsultacji.

Warto, by w tym celu wykorzystano wiedzę i doświadczenie między innymi sektora prywatnego, głęboko zaangażowanego w cyberbezpieczeństwo polskiej cyberprzestrzeni. O ochronie informacji niejawnych (Dz. U. 2010 Nr 182 poz. 1228). O dostępie do informacji publicznej (Dz. U. z 2022 r. poz. 902).

Przy doborze nakazów lub zakazów z powyższego katalogu niezbędne jest uwzględnienie adekwatności środków, co w szczególności powinno wynikać z analizy przeprowadzanej przez ministra we współpracy z ZIK. „Jesteśmy otwarci na uwagi, wnioski, zmiany przepisów, będziemy je analizowali, współpracowali z rynkiem, resortami, tak aby projekt, który wyjdzie z rządu i trafi do Sejmu został szybko procedowany. Jesteśmy w fazie regularnej wojny w cyberprzestrzeni, bo działania naszych przeciwników politycznych, jak i grup przestępczych są na takim poziomie aktywności, że musimy mieć narzędzia do twardego reagowania” – stwierdził Olszewski. W czasie spotkania z dziennikarzami kierownictwo resortu cyfryzacji przedstawiło najważniejsze punkty, jakie znalazły się w projekcie, który – jak oceniono – w „70 proc. ITwiz powstał po to, aby dostarczyć jak najlepszych narzędzi do komunikacji z osobami podejmującymi decyzje o zakupie rozwiązań informatycznych. ITwiz to miesięcznik dostępny w wersji drukowanej i cyfrowej, serwis internetowy, komunikacja przez social media, a także spotkania networkingowe i konferencje prowadzone przez najlepszych ekspertów specjalizujących się w nowoczesnych technologiach.

Warto już dziś monitorować zmiany, aby w odpowiednim czasie powziąć działania zmierzające do zapewnienia zgodności z nowymi wymogami. Osoby zarządzające podmiotami kluczowymi i ważnymi także podlegają odpowiedzialności. Zgodnie z projektowanymi rozwiązaniami, kierownicy podmiotów mogą zostać ukarani karą pieniężną do 600% swojego wynagrodzenia, jeżeli nie wywiązują się z obowiązków wynikających z ustawy. To Market News European Stocks Higher After Another Range-Bound Session in Asia dodatkowy mechanizm, który ma na celu motywowanie osób na stanowiskach kierowniczych do pilnego przestrzegania przepisów.

Projektowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które są objęte przepisami obecnej ustawy o krajowym systemie cyberbezpieczeństwa. Podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług. Środków technicznych i organizacyjnych, do których podjęcia zobowiązani mają być przedsiębiorcy komunikacji elektronicznej, będzie mógł zostać określony w rozporządzeniu wydanym przez ministra właściwego ds.

11) Przestępstwo, w którym sprawca nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych. 10) Przestępstwo, w którym sprawca w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. 7) Przestępstwo polegające na sprowadzeniu niebezpieczeństwa dla życia lub zdrowia wielu osób albo dla mienia w wielkich rozmiarach w ramach którego sprawca zakłóca, uniemożliwia lub w inny sposób wpływaj na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych. Jednym z takich rozwiązań jest przyznanie organowi właściwemu kompetencji do nadania decyzji o wymierzeniu kary rygoru natychmiastowej wykonalności w całości lub w części.