Nie dziwi nas, że projekt budzi wiele emocji, ale te trzeba studzić. Pamiętajmy, że dotyczy on przede wszystkim naszego bezpieczeństwa narodowego i dalszego rozwoju. Nie da się dziś budować silnej gospodarki bez solidnej podstawy cyberbezpieczeństwa, a taką ma zapewnić nowelizacja UKSC. W debacie publicznej potrzeba nam edukacji i objaśniania nadchodzących zmian, a nie podsycania obaw i wątpliwości.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma na celu zapewnienie wyższego poziomu ochrony infrastruktury krytycznej oraz poprawę zarządzania bezpieczeństwem cyfrowym w Polsce. Główne założenia ustawy koncentrują się na określeniu minimalnych standardów bezpieczeństwa dla podmiotów kluczowych i ważnych oraz na wdrożeniu szczegółowych zasad zarządzania ryzykiem. Wprowadzono również system kar finansowych dla podmiotów, które nie spełniają wymogów ustawowych, a ich wysokość może sięgać nawet 10 milionów euro. Nowe przepisy nakładają obowiązek raportowania incydentów bezpieczeństwa w ściśle określonych terminach, aby móc szybciej reagować i skutecznie minimalizować skutki zagrożeń. Wprowadzono również systematyczne audyty bezpieczeństwa oraz szczegółowe plany zarządzania ryzykiem, które muszą zostać opracowane przez podmioty kluczowe i ważne.

W celu skutecznego egzekwowania przepisów nowelizacja wprowadza kontrole doraźne, pozwalające na podjęcie natychmiastowych działań w przypadku wykrycia naruszeń. Prowadzą je urzędnicy monitorujący, którzy mogą być delegowani Wzór smoka: budowanie i stosowanie w handlu na określony czas, nie dłuższy niż miesiąc. Nowe przepisy precyzują również zasady nakładania kar finansowych. Wysokość kary zależy od charakteru naruszenia, czasu jego trwania oraz możliwości finansowych podmiotu.

Proponowany obecnie kształt i zakres przepisów są bardzo obiecujące. Niezależnie od powyższego projekt nowelizacji nadal nie przewiduje możliwości złożenia wniosku o ponowne rozpatrzenie sprawy w przypadku decyzji uznającej danego dostawcę za dostawcę wysokiego ryzyka, a decyzja ta wciąż ma podlegać natychmiastowemu wykonaniu. Kolejną zmianą jest budowa sześciu CSIRT-ów sektorowych, co ma pomóc w skuteczniejszym reagowaniu na incydenty. Mowa jest też wprost o CSIRT Telco, który ma wspierać przedsiębiorców komunikacji elektronicznej w obsłudze incydentów z ich zakresu. W przypadku gdy podmiot ich nie dostarczy lub będą one niewystarczające, organ właściwy ustali podstawę wymiaru kary pieniężnej w sposób szacunkowy, uwzględniając w szczególności wielkość danego podmiotu, specyfikę jego działalności lub ogólnodostępne dane finansowe. W pierwszej kolejności organ właściwy informuje podmiot kluczowy lub ważny o wstępnych ustaleniach, które mogą prowadzić do zastosowania wobec podmiotu środków egzekwowania przepisów.

Wraz z rozwojem nowoczesnych technologii wzrasta Klient doświadczony na rynku Forex również ryzyko naruszenia bezpieczeństwa informacji. Aby nadążyć za zmianami i sprostać pojawiającym się wyzwaniom konieczne jest wprowadzania adekwatnych regulacji prawnych. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa stanowi odpowiedź nie tylko zagrożenia dotyczące spraw cyberbezpieczeństwa, ale i wymogów dyrektywy NIS2, której celem jestem harmonizacji przepisów w całej Unii Europejskiej w zakresie reagowania na zagrożenia cyfrowe. Informatyzacji będzie mógł wydać w razie wystąpienia incydentu krytycznego, w celu doprowadzenia do efektywnej i pilnej reakcji na taki incydent. Chodzi w szczególności o koordynację działań podmiotu, u którego doszło do incydentu, z działaniami odpowiedniego CSIRT. Przedsiębiorcy komunikacji elektronicznej to nowe podmioty, na które zostaną nałożone obowiązki po wejściu w życie nowelizacji ustawy o KSC.

Stąd tak krytyczne jest dostosowanie przepisów do rosnących wyzwań, jakie niewątpliwie w obliczu cyfrowego świata wciąż się piętrzą.
Dodatkowo, podstawą jest implementacja Dyrektywy NIS 2, z czym polski rząd nie może zwlekać.
O ile wiemy, że certyfikacja jest nam bardzo potrzebna, to OSSB jest przedsięwzięciem bardzo ważnym, ale w naszym rozumieniu wymaga także dodatkowej pracy koncepcyjnej nad tym, co chcemy przez wprowadzenie instytucji Operatora Strategicznej Sieci Bezpieczeństwa osiągnąć.
2 Wersję projektu przedstawioną w październiku ubiegłego roku opisywaliśmy TUTAJ.

Mục lục

Kiedy przyjęcie nowelizacji KSC?

Że zakres definicji powinien obejmować podmioty świadczące usługi SOC (Security Operations Center), CSIRT (Computer Security Incident Response Team) oraz CERT (Computer Emergency Response Team). Zadaniem organów właściwych jest wyznaczanie w swoim sektorze operatorów usług kluczowych, monitorowanie stosowania przez nich przepisów ustawy, przeprowadzanie kontroli oraz podejmowanie innych działań mających na celu wzmocnienie poziomu cyberbezpieczeństwa. Obowiązkiem podmiotów publicznych jest wyznaczenie osoby kontaktowej odpowiedzialnej za utrzymywaniem kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz zgłaszanie incydentów do właściwego zespołu CSIRT. O nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa mówi się już od dawna. Pierwsza wersja zmian przedstawiona została 7 września 2020 roku, a zatem procedura na etapie rządowym trwa już niemal trzy lata 2.

Pamiętajmy, jest to decyzja w znaczeniu administracyjnym, czyli podlega określonemu procesowi.
Obowiązki te mają zostać nałożone na wszystkich przedsiębiorców komunikacji elektronicznej, a więc w szczególności na podmioty takie jak dostawcy poczty elektronicznej, czy podmioty dostarczające usługi przekazywania wiadomości, czaty grupowe, czy różnego rodzaju komunikatory.
Nowelizacja ustawy KSC to odpowiedź na dynamicznie zmieniające się realia technologiczne i geopolityczne oraz rosnącą liczbę cyberataków.
Nowelizacja nakłada obowiązek przeprowadzania regularnych audytów bezpieczeństwa dla podmiotów kluczowych i ważnych co dwa lata.

Zastosowania w kluczowych podmiotach polskiej gospodarki. Jeśli zostanie ono stwierdzone, będą musiały zostać wycofane – sprzęt lub oprogramowanie – w ciągu 7 lat od wydania decyzji administracyjnej przez ministra właściwego ds. Ocena bezpieczeństwa będzie mogła być przeprowadzona wyłącznie za zgodą podmiotu krajowego systemu cyberbezpieczeństwa, wyrażoną w postaci pisemnej lub elektronicznej pod rygorem nieważności. Dopuszcza się jednak wykonanie takiej oceny na zlecenie organu właściwego do spraw cyberbezpieczeństwa, co wypełnia wprowadzone dyrektywą NIS 2 przepisy dotyczące tzw. Nie może ona jednak zakłócać pracy systemu informacyjnego, ograniczać jego dostępności lub prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie.

Minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanym jako Toolbox 5G. Toolbox 5G wymaga transponowania przez kraje członkowskie, które mają wiele swobody co do jego wdrożenia. W Polsce zgodność z NIS 2 ma zostać osiągnięte poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Dyrektywa NIS2- kogo dotyczą nowe przepisy-podmioty kluczowe i ważne

Świadczenie usług doradczych w zakresie cyberbezpieczeństwa należy oddzielić od świadczenia usług prawnych, a poza tym nie powinno ono obejmować incydentalnego przekazywania pewnych wskazówek czy rekomendacji. CSIRT INT utworzony ma być w celu zapewnienia wsparcia w obsłudze incydentów zgłaszanych przez jednostki podległe Ministrowi Spraw Zagranicznych (lub przez niego nadzorowane), w tym posiadające infrastrukturę krytyczną. W jego constituency znajdzie się oczywiście także sama Agencja Wywiadu. Co istotne, infrastruktura SOC, która ma być wykorzystywana do realizacji zadań z ustawy o KSC 4, będzie musiała znajdować się na terenie RP. Z kolei osoby realizujące te zadania w ramach SOC wewnętrznego lub zewnętrznego będą zobowiązane posiadać poświadczenie bezpieczeństwa (do informacji niejawnych o klauzuli „poufne” lub wyższej). 2) czasowego ograniczenia ruchu sieciowego z adresów IP lub adresów URL, zidentyfikowanego jako przyczyna incydentu, wchodzącego do infrastruktury tego podmiotu.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa – fakty i mity

Wśród obowiązków dla podmiotów kluczowych i ważnych znajdzie się wprowadzenie systemu zarządzania bezpieczeństwem informacji dotyczących procesów związanych ze świadczeniem usług. Natomiast kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację wskazanych zadań i będzie musiał odbyć szkolenie z cyberbezpieczeństwa. Zakończyły się konsultacje społeczne do projektu ustawy o nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (uKSC), wprowadzającej do polskiego ustawodawstwa dyrektywę NIS2. O ile już teraz obowiązek ten dotyczy niektórych jednostek, to jednak po Nowelizacji krąg podmiotów nim objętych zostanie znacznie rozszerzony.

Kary naruszenie obowiązków

Ogłaszane jest w dzienniku urzędowym i na stronie internetowej, a informacje o jego wykonaniu muszą być przekazywane właściwym organom. Można na nie złożyć skargę w sądzie administracyjnym w ciągu 2 miesięcy od ogłoszenia. Teraz Agnieszka Wachowska w swoim wpisie w serwisie na LinkedIn wskazała na wprowadzone w projekcie zmiany, których – jak oceniła – jest niewiele i „mają głównie charakter kosmetyczny i doprecyzowujący”. Według wcześniejszych zapowiedzi Ministerstwa Cyfryzacji, projekt ma być przyjęty przez Radę Ministrów do końca 2024 r., a następnie skierowany do prac parlamentarnych, tak aby ustawę uchwalono z początkiem roku 2025. Powstanie również CISRT INT – prowadzony przez Szefa Agencji Wywiadu, będzie przeznaczony dla jednostek podległych ministrowi spraw zagranicznych (lub przez niego nadzorowanych), o czym pisaliśmy jako pierwsi na łamach CyberDefence24 w tym materiale . Michał Kanownik, prezes Związku Cyfrowa Polska, zaznaczył, że kluczowym elementem debaty o nowelizacji KSC powinna być edukacja i rzetelne informowanie opinii publicznej o planowanych zmianach.

Projektowane przepisy harmonizują polskie prawo z ogólnoeuropejską oceną ryzyka w zakresie 5G, co jest kluczowe dla bezpieczeństwa sieci. W zakresie produktów, usług lub procesów ICT nabytych w drodze postępowań na gruncie przepisów prawa zamówień publicznych ogólny termin na wycofanie ich nie ulega zmianie i wynosi 7 The Dow Jones Rebounds After Reassuring Guidance From Key US Companies! lat od dnia ogłoszenia decyzji lub udostępnienia o niej informacji. Natomiast różni się w zakresie produktów, usług i procesów wykorzystywanych do wykonywania funkcji krytycznych dla bezpieczeństwa sieci i usług – wynosi on 5 lat. Część informacji w wykazie będzie uzupełniana z urzędu przez ministra właściwego do spraw informatyzacji.

Polecenie zabezpieczające ma umożliwić reakcję na incydent krytyczny. Minister cyfryzacji po konsultacji z zespołem incydentów krytycznych będzie mógł wydać akt (w formie decyzji generalnej) i nakazać określonym podmiotom działanie, którego celem będzie przeciwdziałanie incydentowi krytycznemu (dotyczące wykluczenia podatności, szacowania ryzyka itp.). Temat z powrócił w projekcie ustawy o ochronie ludności, ale obecnie nie jest na tym etapie co np. Zagadnienie certyfikacji, gdzie można było wyjąć rozdział z dawnego projektu, opatrzyć nagłówkiem i przetworzyć w projekt osobnej ustawy. O ile wiemy, że certyfikacja jest nam bardzo potrzebna, to OSSB jest przedsięwzięciem bardzo ważnym, ale w naszym rozumieniu wymaga także dodatkowej pracy koncepcyjnej nad tym, co chcemy przez wprowadzenie instytucji Operatora Strategicznej Sieci Bezpieczeństwa osiągnąć. Nie, nie ma presji wynikającej z innej regulacji, ale jest potrzeba uregulowania tego zagadnienia.

CSIRT sektorowy

W nowelizacji został dodany zupełnie nowy w stosunku do obowiązującej wersji ustawy rozdział 13a, dotyczący Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę (dalej w tekście jako ,,Krajowy plan”). Podobnie jak w przypadku Strategii Cyberbezpieczeństwa RP, Rada Ministrów przyjmuje ten dokument w drodze uchwały. Jest on opracowywany przez ministra właściwego do spraw informatyzacji we współpracy z Pełnomocnikiem, Rządowym Centrum Bezpieczeństwa oraz innymi ministrami i właściwymi kierownikami urzędów centralnych. Krajowy Plan podlega aktualizacji nie rzadziej niż raz na dwa lata. Projekt nowelizacji ustawy, podobnie jak dyrektywa NIS 2, zakłada samoidentyfikację podmiotów, które zobowiązane są następnie złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych.

Myślę jednak, że finał, w postaci podpisu Prezydenta RP przed 17 października jest dziś założeniem optymistycznym. Chcielibyśmy, aby do tego czasu nowelizacja przynajmniej opuściła poziom rządowy. Powstałaby zapewne ogromna całościowa, kompletna ustawa, ale nasze doświadczenie wskazuje, że niezwykle trudno takie dokumenty procedować i wdrażać. Zagadnienie Operatora Strategicznej Sieci Bezpieczeństwa jest wyzwaniem co do pogodzenia interesów i potrzeb oraz tego, co jest w praktyce możliwe do zrealizowania. Trudno więc o złoty środek, ale poszukujemy go kierując się przede wszystkim obowiązkiem zapewnienia bezpieczeństwa powszechnego.