– Cyberzagrożenia rosną z każdym rokiem, dlatego musimy działać szybciej i skuteczniej niż ci, którzy próbują nas zaatakować. Naszym celem jest silna i bezpieczna cyfrowo Polska – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco wzmacnia nasze możliwości obrony. Nowe przepisy pozwolą szybciej reagować na zagrożenia i lepiej chronić obywateli, instytucje i firmy. Dzięki nim Polska będzie bardziej odporna na cyberataki i przygotowana na wyzwania przyszłości
– powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Cyberbezpieczeństwo bez luk – nowe sektory ze wzmocnioną ochroną
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to kompleksowa regulacja, której celem jest wzmocnienie ochrony obywateli i instytucji przed cyberzagrożeniami.
Katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki, takie jak np. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności. Pozwoli to zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach.
Powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia w poszczególnych obszarach. Pozwolą też zbudować bazę wiedzy o zagrożeniach i podatnościach danego sektora.
Polecany artykuł:
Silniejsze instytucje – szybsza reakcja na zagrożenia
Projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje.
– W cyberbezpieczeństwie kluczowa jest szybkość reakcji i jasny podział odpowiedzialności. Dlatego wzmacniamy instytucje, które stoją na straży bezpieczeństwa państwa w sieci – od ministra cyfryzacji, przez pełnomocnika rządu, aż po zespoły CSIRT. Nowe kompetencje pozwolą im działać sprawniej, skuteczniej i bliżej realnych potrzeb obywateli oraz gospodarki – powiedział wiceminister cyfryzacji Paweł Olszewski.
Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego czy Prezes UKE) będą mogły:
wydawać ostrzeżenia,wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy,nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.Wzrosną także kompetencje ministra cyfryzacji. Będzie on mógł wydawać decyzje w sprawie identyfikacji dostawcy wysokiego ryzyka oraz polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa.
Również Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa zyska nowe uprawnienia. Będzie on mógł:
wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów KSC;żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań;kupować oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.
Podmioty kluczowe i podmioty ważne – więcej odpowiedzialności, mniej ryzyka
Dyrektywa NIS2 wprowadziła podział na podmioty kluczowe i ważne – to znaczy takie, które działają w ramach obszarów szczególnie istotnych dla prawidłowego funkcjonowania państwa. Są to podmioty z sektorów kluczowych (m.in. energetyka, transport, bankowość czy dostarczanie wody pitnej) oraz ważnych (np. usługi pocztowe czy produkcja).
Projektowane przepisy nałożą na takie podmioty nowe obowiązki. Będą one musiały stosować odpowiednie środki techniczne, operacyjne i organizacyjne, by skutecznie zarządzać ryzykiem dla bezpieczeństwa sieci i systemów informatycznych (zgodnie z wymogami dyrektywy). Wprowadzona zostanie także odpowiedzialność kierownika podmiotu za realizację zadań z zakresu cyberbezpieczeństwa. Kierownik będzie zobowiązany do odbycia szkolenia w tym zakresie, a w razie niewywiązania się z obowiązków – będzie mógł ponieść karę.
Nowe regulacje mają także usprawnić zgłaszanie incydentów. Podmioty kluczowe i ważne będą przekazywać informacje o incydentach za pomocą systemu S46 bezpośrednio do odpowiednich zespołów CSIRT.
Ustawa wprowadzi również nowe kary pieniężne, m.in. za brak wdrożenia systemu zarządzania bezpieczeństwem informacji lub niezarejestrowanie się w wykazie podmiotów kluczowych i ważnych.
