Zapewnienie wysokiego poziomu cyberbezpieczeństwa – to jeden z priorytetów Ministerstwa Cyfryzacji, określony już w listopadzie 2015 roku. Zarówno na poziomie krajowym, jak i w Unii Europejskiej. Prezentowany dziś projekt ustawy o krajowym systemie cyberbezpieczeństwa to wynik prac ekspertów zarówno administracji publicznej, jak i przedstawicieli kluczowych sektorów gospodarki.

Przed każdym z państw Unii Europejskiej stoi wyzwanie wdrożenia do krajowego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148).

Na czym będzie polegała ochrona?

Przepisy ustawy o krajowym systemie cyberbezpieczeństwa, mają zapewnić ochronę cyberprzestrzeni na poziomie krajowym. Ma ona gwarantować m.in.: niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych poprzez osiągnięcie wysokiego poziomu bezpieczeństwa systemów informacyjnych służących do ich świadczenia. Stworzenie podstaw prawnych funkcjonowania krajowego systemu cyberbezpieczeństwa oraz jego rozbudowa ma umożliwić zwiększenie poziomu zabezpieczeń systemów teleinformatycznych oraz ograniczyć potencjalne skutki incydentów, w tym straty finansowe.

Jak będzie działała w praktyce?

Budowany system będzie obejmować operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.

Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Wymienione podmioty będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Do krajowego systemu cyberbezpieczeństwa będą również włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni – w sposób zharmonizowany z istniejącymi uregulowaniami w tym zakresie.

Kto jeszcze zostanie objęty tą ustawą?

Wymaganiami z zakresu cyberbezpieczeństwa zostaną również objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte łagodniejszym reżimem regulacyjnym. Ustawa odwołuje się tutaj do decyzji wykonawczej Komisji Europejskiej.

Rola i zadania zespołów reagowania na cyberzagrożenia

To do zadań ministra właściwego do spraw informatyzacji należeć będzie m.in. opracowanie Strategi Cyberbezpieczeństwa, prowadzenie polityki informacyjnej na temat krajowego systemu cyberbezpieczeństwa, realizacja obowiązków sprawozdawczych wobec instytucji unijnych oraz uruchomienie z dniem 1 stycznia 2021 r. systemu teleinformatycznego, umożliwiającego zautomatyzowane zgłaszanie i obsługę incydentów, szacowanie ryzyka teleinformatycznego, ostrzeganie o zagrożeniach cyberbezpieczeństwa.

Natomiast zespoły CSIRT poziomu krajowego będą współpracować ze sobą, aby zapewnić spójny i kompletny system zarządzania ryzykiem w zakresie cyberbezpieczeństwa państwa oraz obsługę zgłoszonych incydentów, w tym zwłaszcza incydentów poważnych i krytycznych, najpoważniejszych z punktu widzenia państwa.

Ustawa powołuje także organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych i usług cyfrowych. Powołuje również pojedynczy punkt kontaktowy ds. cyberbezpieczeństwa, prowadzony przez ministra właściwego do spraw informatyzacji, odpowiedzialny za wymianę informacji związanych z cyberbezpieczeństwem na poziomie kraju oraz współpracę transgraniczną na poziomie Unii Europejskiej.

Podstawa prawna

Przyjęcie ustawy wynika z konieczności wdrożenia do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady 2016/1148/UE. Przygotowanie projektu poprzedzone zostało wstępnymi konsultacjami z przedstawicielami resortów kluczowych z punktu widzenia funkcjonowania krajowego systemu cyberbezpieczeństwa, przewidzianych w projekcie ustawy organów właściwych oraz z reprezentantami sektorów wskazanymi w załączniku do projektu. Ustawa realizuje także zapisy Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022.

Projekt ustawy – do uzgodnień