Używamy plików cookies, by ułatwić korzystanie z naszych serwisów.
Jeśli nie chcesz, by pliki cookies były zapisywane na Twoim dysku zmień ustawienia swojej przeglądarki.
ZAMKNIJ
 

Aktualności

08 sierpnia 2018Powstanie Krajowy System Cyberbezpieczeństwa

W dniu 3 sierpnia br. Prezydent podpisał ustawę o krajowym systemie cyberbezpieczeństwa. Jest ona implementacją do polskiego porządku prawnego Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, która została przyjęta 6 lipca 2016 r. Dyrektywa zobowiązała wszystkie państwa członkowskie UE do zagwarantowania minimalnego poziomu zdolności krajowych w dziedzinie cyberbezpieczeństwa poprzez ustanowienie organów właściwych do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (CSIRT) oraz przyjęcia krajowych strategii w zakresie cyberbezpieczeństwa.

Podjęcie prac związanych z kompleksowym uregulowaniem krajowego systemu cyberbezpieczeństwa wynikało nie tylko z konieczności  wdrożenia do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady 2016/1148/UE, ale także z potrzeby zapewnienia systemowego podejścia do krajowego systemu cyberbezpieczeństwa w obliczu stale rosnących i dynamicznie zmieniających się zagrożeń cyberbezpieczeństwa dla funkcjonowania państwa, gospodarki i społeczeństwa.

Ustawa pozwala na stworzenie krajowego systemu cyberbezpieczeństwa, którego zadaniem jest zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług. Efektem stworzenia systemu będzie podniesienie odporności kluczowych usług świadczonych z wykorzystaniem technologii informacyjnych na ataki pochodzące z cyberprzestrzeni, co przyczyni się do lepszego zapewnienia ciągłości działania tych usług, tak, aby zarówno obywatele, jak i przedsiębiorcy mieli do nich stały dostęp. System będzie obejmował m.in. operatorów usług kluczowych, dostawców usług cyfrowych, zespoły reagowania na incydenty komputerowe (CSIRT), podmioty świadczące usługi z zakresu cyberbezpieczeństwa i organy właściwe do spraw cyberbezpieczeństwa.

Obowiązki wynikające z ustawy dotyczą operatorów usług kluczowych oraz dostawców usług cyfrowych. Do operatorów usług kluczowych zaliczeni zostali przedsiębiorcy świadczący usługi z zakresu bankowości, infrastruktury rynków finansowych, energetyki, transportu i ochrony zdrowia, tj. takie których bezpieczeństwo jest kluczowe dla społeczeństwa i gospodarki. O tym, którzy przedsiębiorcy z powyższych sektorów będą uznawani za operatorów usług kluczowych, zdecydują organy właściwe do spraw cyberbezpieczeństwa. W stosunku do przedsiębiorców wydawane będą w tym zakresie indywidualne decyzje administracyjne. Organem ds. cyberbezpieczeństwa właściwym dla sektora bankowego i infrastruktury rynków finansowych jest KNF. Decyzje o uznaniu za operatorów usług kluczowych powinny zostać wydane do 9 listopada 2018 r., a wyznaczone podmioty będą miały jedynie kilka miesięcy na dostosowanie się do obowiązków wynikających z ustawy.

W ustawie przewidziano obowiązki w zakresie bezpieczeństwa teleinformatycznego operatorów usług kluczowych (czyli m.in. banków, które uznane zostaną za takich operatorów). Są oni zobowiązani m.in. do:

  • wdrożenia systemu zarządzania bezpieczeństwem we własnych systemach operacyjnych - obejmującego wdrożenie odpowiednich środków organizacyjnych (polityki, procedury, procesy) i technicznych, które pozwolą zapewnić bezpieczeństwo w obszarze IT, zapewnią systematyczne zarządzanie ryzykami, zbieranie i analizę informacji o zagrożeniach, identyfikację podatności oraz zarządzanie incydentami,
  • wdrożenia procedur obsługi oraz zgłaszania incydentów bezpieczeństwa od właściwego organu - zgłoszenia będą musiały być przekazywane w ciągu 24 godzin od wykrycia incydentu i zawierać m.in. opis incydentu, jego wpływ na świadczenie usług kluczowych również przez innych operatorów, przyczynę i przebieg incydentu, a także informacje o podjętych działaniach zapobiegawczych i naprawczych. Konieczne może okazać się przekazywanie informacji stanowiących tajemnice prawnie chronione, w tym tajemnicę przedsiębiorstwa, a organ nadzoru będzie decydował o upublicznieniu takiej informacji,
  • wdrożenia procedury klasyfikacji incydentów jako poważne lub istotne - progi skutków incydentu dla usługi kluczowej zostaną określone we właściwym rozporządzeniu Rady Ministrów,
  • stworzenia wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo – np. poprzez powołanie odrębnej komórki organizacyjnej, przypisanie nowych zadań pracownikom lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa,
  • przeprowadzania audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usług kluczowych - operatorzy usług kluczowych są zobowiązani do przeprowadzania audytów bezpieczeństwa teleinformatycznego co najmniej raz nad dwa lata, audyt musi być przeprowadzany przez akredytowaną jednostkę oceniającą zgodność systemu zarządzania bezpieczeństwem i zarządzania ciągłością działania.

Ustawa o krajowym systemie cyberbezpieczeństwa będzie wyzwaniem dla podmiotów obowiązanych do jej stosowania, zarówno pod względem zapewnienia odpowiednich środków organizacyjnych (strategia działania, informacja zarządcza, procesy zarządzania ryzykiem operacyjnym), wdrożenia i właściwego funkcjonowania środków prewencyjnych, wykrywania i reagowania, jak również zapewnienia ciągłego budowania świadomości u pracowników, testowania organizacji pod kątem bezpieczeństwa, zapewnienia środków przygotowujących na zagrożenia, właściwej reakcji na incydenty, zbierania i analizowania materiału dowodowego oraz działań powłamaniowych. Na operatorów usług kluczowych oraz dostawców usług kluczowych, którzy nie spełnią obowiązków nałożonych ustawą może zostać nałożona kara do 200 tys. zł (a w wyjątkowych przypadkach do 1 mln zł).

Partnerzy