Polska wzmacnia krajowy system cyberbezpieczeństwa. Rada Ministrów przyjęła projekt ustawy, która ma wdrożyć w Polsce unijną dyrektywę NIS2, aby skuteczniej chronić obywateli i instytucje przed rosnącymi zagrożeniami w sferze cyfrowej. Nowe przepisy zwiększą bezpieczeństwo usług, z których korzystają obywatele, firmy i instytucje w całym kraju.
– Cyberzagrożenia rosną z każdym rokiem, dlatego musimy działać szybciej i skuteczniej niż ci, którzy próbują nas zaatakować. Naszym celem jest silna i bezpieczna cyfrowo Polska – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco wzmacnia nasze możliwości obrony. Nowe przepisy pozwolą szybciej reagować na zagrożenia i lepiej chronić obywateli, instytucje i firmy. Dzięki nim Polska będzie bardziej odporna na cyberataki i przygotowana na wyzwania przyszłości – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Cyberbezpieczeństwo bez luk – nowe sektory ze wzmocnioną ochroną
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to kompleksowa regulacja, której celem jest wzmocnienie ochrony obywateli i instytucji przed cyberzagrożeniami.
Katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki, takie jak np. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności. Pozwoli to zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach.
Powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia w poszczególnych obszarach. Pozwolą też zbudować bazę wiedzy o zagrożeniach i podatnościach danego sektora.
Silniejsze instytucje – szybsza reakcja na zagrożenia
Projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje.
– W cyberbezpieczeństwie kluczowa jest szybkość reakcji i jasny podział odpowiedzialności. Dlatego wzmacniamy instytucje, które stoją na straży bezpieczeństwa państwa w sieci – od ministra cyfryzacji, przez pełnomocnika rządu, aż po zespoły CSIRT. Nowe kompetencje pozwolą im działać sprawniej, skuteczniej i bliżej realnych potrzeb obywateli oraz gospodarki – powiedział wiceminister cyfryzacji Paweł Olszewski.
Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego czy Prezes UKE) będą mogły:
- wydawać ostrzeżenia,
- wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy,
- nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.
Wzrosną także kompetencje ministra cyfryzacji. Będzie on mógł wydawać decyzje w sprawie identyfikacji dostawcy wysokiego ryzyka oraz polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa.
Również Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa zyska nowe uprawnienia. Będzie on mógł:
- wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów KSC;
- żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań;
- kupować oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.
Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.
Podmioty kluczowe i podmioty ważne – więcej odpowiedzialności, mniej ryzyka
Dyrektywa NIS2 wprowadziła podział na podmioty kluczowe i ważne – to znaczy takie, które działają w ramach obszarów szczególnie istotnych dla prawidłowego funkcjonowania państwa. Są to podmioty z sektorów kluczowych (m.in. energetyka, transport, bankowość czy dostarczanie wody pitnej) oraz ważnych (np. usługi pocztowe czy produkcja).
Projektowane przepisy nałożą na takie podmioty nowe obowiązki. Będą one musiały stosować odpowiednie środki techniczne, operacyjne i organizacyjne, by skutecznie zarządzać ryzykiem dla bezpieczeństwa sieci i systemów informatycznych (zgodnie z wymogami dyrektywy). Wprowadzona zostanie także odpowiedzialność kierownika podmiotu za realizację zadań z zakresu cyberbezpieczeństwa. Kierownik będzie zobowiązany do odbycia szkolenia w tym zakresie, a w razie niewywiązania się z obowiązków – będzie mógł ponieść karę.
Nowe regulacje mają także usprawnić zgłaszanie incydentów. Podmioty kluczowe i ważne będą przekazywać informacje o incydentach za pomocą systemu S46 bezpośrednio do odpowiednich zespołów CSIRT.
Ustawa wprowadzi również nowe kary pieniężne, m.in. za brak wdrożenia systemu zarządzania bezpieczeństwem informacji lub niezarejestrowanie się w wykazie podmiotów kluczowych i ważnych.
Nowe obowiązki dla przedsiębiorców – podejście oparte na analizie ryzyka
Aby spełnić nowe wymagania, podmioty, w tym firmy, zakwalifikowane jako podmioty kluczowe lub ważne w krajowym systemie cyberbezpieczeństwa będą musiały wprowadzić rozwiązania techniczne i organizacyjne dopasowane do swojej wielkości. Trzeba będzie dokładnie sprawdzić infrastrukturę, przeanalizować procesy i procedury wewnętrzne oraz przeszkolić pracowników.
Każdy z podmiotów będzie musiał stworzyć system zarządzania bezpieczeństwem informacji, w tym:
- regularnie oceniać ryzyko wystąpienia incydentów,
- wprowadzić rozwiązania techniczne i organizacyjne odpowiednie do poziomu ryzyka,
- zbierać informacje o cyberzagrożeniach i podatnościach systemów używanych do świadczenia usług,
- zarządzać incydentami,
- stosować środki, które zapobiegają incydentom i ograniczają ich wpływ na bezpieczeństwo systemów.
Dyrektywa NIS2 odeszła od sztywnych wymogów bezpieczeństwa na rzecz podejścia opartego na analizie ryzyka. Każdy podmiot objęty jej postanowieniami musi sam przeprowadzić taką analizę i dopasować zabezpieczenia do wykrytego ryzyka. Takie rozwiązanie zapewnia elastyczność i pozwala dopasować zabezpieczenia do charakteru i skali działania organizacji.
Nowe sektorowe zespoły CSIRT będą aktywnie wspierać przedsiębiorców – pomogą w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach i zapewnią szkolenia. Kluczowa będzie przy tym współpraca i budowanie wzajemnego zaufania między podmiotami kluczowymi i podmiotami ważnymi z danego sektora a zespołem CSIRT.
Procedura uznania za dostawcę wysokiego ryzyka
Postępowanie w sprawie uznania dostawcy za dostawcę wysokiego ryzyka ma umożliwić wyeliminowanie niebezpiecznego sprzętu i usług z kluczowych dla funkcjonowania państwa systemów informatycznych. Podobne przepisy wprowadziła już większość państw Unii Europejskiej.
Decyzję o uznaniu danego dostawcy za dostawcę wysokiego ryzyka będzie wydawał minister cyfryzacji. Takie decyzje będą wynikiem wieloetapowego, transparentnego postępowania administracyjnego, w którym uczestniczyć będzie Kolegium do Spraw Cyberbezpieczeństwa, a także – opcjonalnie – organizacje społeczne oraz Urząd Ochrony Konkurencji i Konsumentów.
W efekcie wydanej decyzji podmioty szczególnie istotne dla funkcjonowania państwa nie będą mogły wprowadzać do swoich systemów określonych rodzajów produktów i usług ICT pochodzących od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania – co do zasady – w ciągu 7 lat. Co ważne, dostawca, który nie zgadza się z decyzją, będzie mógł złożyć skargę do sądu administracyjnego.
Załączona infografika przedstawia szczegółowy schemat postępowania w sprawie uznania za dostawcę wysokiego ryzyka.
Silniejsze fundamenty bezpieczeństwa w cyberprzestrzeni
Nowelizacja rozszerzy zakres Strategii Cyberbezpieczeństwa RP – będzie ona obejmować wszystkie sektory, w których znajdują się podmioty kluczowe i podmioty ważne. Zostanie także opracowany Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę, który pozwoli jeszcze lepiej chronić polską cyberprzestrzeń.
Nowe przepisy wzmocnią bezpieczeństwo usług, z których korzystają obywatele. Dzięki nim najważniejsze usługi będą działały pewniej i bez przerw, a dane osobowe przetwarzane przez podmioty kluczowe i ważne będą lepiej chronione. To ważny element budowy odpornych i nowoczesnych systemów, które chronią Polaków w cyfrowym świecie. Celem jest bezpieczna i stabilna cyberprzestrzeń – dla wszystkich obywateli i całej gospodarki.