Nowela ustawy o krajowym systemie cyberbezpieczeństwa wzmocni pozycję zespołów reagowania na incydenty
We wtorek rząd przyjął projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Projektowana regulacja ma m.in. usprawnić funkcjonowania systemu i ujednolicić procedury zgłaszania incydentów na poziomie krajowym.
Minister Cyfryzacji Janusz Cieszyński odnosząc się do projektu zaznaczył, że nowelizacja jest wynikiem doświadczeń zebranych w ciągu kilku lat funkcjonowania ustawy o krajowym systemie cyberbezpieczeństwa i zawiera szereg usprawnień.
"Chodzi też o to, żeby wzmacniać pozycję tych jednostek, które odpowiadają za cyberbezpieczeństwo, czyli zespołów reagowania na incydenty bezpieczeństwa komputerowego" - powiedział Cieszyński.
Minister dodał, że regulacja umożliwi także wprowadzenie w Polsce podstawy prawnej do funkcjonowania programów certyfikacji. "Dzisiaj polscy przedsiębiorcy, polskie instytucje chcąc certyfikować swoje wyroby i usługi muszą korzystać z firm zagranicznych. Chcemy, żeby mogły to robić w kraju, żeby te środki zostawały w Polsce" - powiedział Cieszyński.
Projektowana nowelizacja ma też zagwarantować uruchomienie bezpiecznej sieci telekomunikacyjnej wykorzystywanej w administracji państwowej, w tym na potrzeby obronności i bezpieczeństwa państwa.
"To będzie sieć, która będzie realizowała zadania na rzecz administracji państwowej. Dzisiaj jest tak, że urzędy przesyłając wrażliwe dane korzystają z sieci komercyjnych. Chcemy, żeby ta infrastruktura była w pełni pod kontrola państwa i takie rozwiązania zapewni operator strategicznej sieci bezpieczeństwa" - podkreślił minister.
Pytany o nowe uprawnienia Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, który - po wejściu w życie ustawy - będzie wydawał ostrzeżenia o incydentach krytycznych wraz z zaleceniem określonych zachowań wskazał, że takie ostrzeżenia de facto już funkcjonują, ale po wejściu w życie nowelizacji będą miały moc prawną.
"Już obecnie, jeżeli widzimy zagrożenia w obszarze cyberbezpieczeństwa, jako Ministerstwo Cyfryzacji, czy Pełnomocnik Rządu do Spraw Cyberbezpieczeństywa takie ostrzeżenia publikujemy. Tu chodzi o to, żeby one nabrały mocy prawnej, żeby każdy adresat ostrzeżenia wiedział, że nie jest to zwykły komunikat, ale coś, co rzeczywiście ma moc prawną" - zaznaczył. Dodał, że wejście w życie tego przepisu nałoży na administrację jednoznaczny obowiązek wydawania tego rodzaju ostrzeżeń.
Projekt regulacja, który we wtorek został przyjęty przez Radę Ministrów dotyczy m.in. przyspieszenia tworzenia sektorowych zespołów cyberbezpieczeństwa i umożliwienia włączenia centrów wymiany informacji i analiz (ISAC) do krajowego systemu cyberbezpieczeństwa. Według autorów projektu, jednym z problemów związanych z funkcjonowaniem krajowego systemu cyberbezpieczeństwa jest brak sektorowych zespołów, które wspierają operatorów usług kluczowych. Chodzi o najważniejsze elektrownie, przedsiębiorstwa kolejowe czy porty.
Wśród najważniejszych rozwiązań zawartych w projekcie wskazano przebudowanie modelu współpracy w ramach krajowego systemu cyberbezpieczeństwa pomiędzy Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) a operacyjnymi centrami bezpieczeństwa (SOC).
Projekt zakłada również dodanie do krajowego systemu cyberbezpieczeństwa przedsiębiorców komunikacji elektronicznej.
"Centra wymiany informacji i analiz, wpisane do wykazu prowadzonego przez ministra cyfryzacji, zostaną włączone do krajowego systemu cyberbezpieczeństwa. Rozwiązanie to powinno przyczynić się do ułatwienia dostępu do specjalistycznej wiedzy i do wymiany informacji o stosowanych rozwiązaniach oraz tzw. dobrych praktykach" - podkreślono.
Regulacja ma m.in. zagwarantować uruchomienie bezpiecznej sieci telekomunikacyjnej wykorzystywanej na potrzeby realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego przez kluczowe urzędy i podmioty działające w kraju.
Projekt zakłada powołanie w tym celu operatora strategicznej sieci bezpieczeństwa (OSSB), który będzie wyznaczany przez premiera i będzie m.in. świadczył usługi telekomunikacyjne dla wskazanych w ustawie podmiotów.
Projektowana regulacja wzmocni pozycję Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, który będzie miał uprawnienia do wydawania ostrzeżeń o incydentach krytycznych wraz z zaleceniem określonych zachowań. Pełnomocnik będzie mógł również wydawać rekomendacje w celu wzmocnienia poziomu cyberbezpieczeństwa systemów informacyjnych.
Dostawcy sprzętu i oprogramowania będą mogli zostać poddani procedurze sprawdzającej pod kątem zagrożenia, jakie może wywołać wykorzystywanie oferowanego przez nich konkretnego sprzętu lub oprogramowania, w kluczowych podmiotach polskiej gospodarki.
Projekt zakłada także powstanie Krajowego Systemu Certyfikacji Cyberbezpieczeństwa, w ramach którego wydawane będą certyfikaty dotyczące cyberbezpieczeństwa.
Resort chce, aby projekt został uchwalony jeszcze w tej kadencji parlamentu. Nowe przepisy mają wejść w życie po 6 miesiącach od ogłoszenia w Dzienniku Ustaw.(PAP)
autor: Marcin Chomiuk
mchom/ jann/