Ważny krok w sprawie ustawy o Krajowym Systemie Cyberbezpieczeństwa Ministerstwo Cyfryzacji Portal Gov pl
Koordynowanie działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w Rzeczypospolitej Polskiej powierza się Pełnomocnikowi. O powyższą wiedzę możemy być bogatsi, jeśli w tej kwestii wypowiedzą się zainteresowane firmy. Niektóre z nich być może nawet nie wiedzą, że mogą ich czekać takie zmiany. Co słusznie wskazuje w felietonie dla Telko.In Piotr Mieczkowski.
z dnia 5 lipca 2018 r.
Pierwszy to wspomniane realne zagrożenie. Drugi to unijne kary, które kosztują nas 50 tys. Czy taki podwójny pośpiech może nam wyjść na dobre? Przepisy muszą być wdrożone szybko, żeby mieć problem z głowy.
Krajowy system cyberbezpieczeństwa.
Tym bardziej że zagrożenie cyberatakiem ze wschodu, nie mylić z zagrożeniem cybernetycznym, co palnął ostatnio jak kulą w płot minister cyfryzacji Krzysztof Gawkowski, a co bezrefleksyjnie powielają kolejne duże media, jest realne. System S46 ma być głównym środkiem komunikacji pomiędzy podmiotami objętymi KSC. Podmioty kluczowe i ważne będą zobowiązane do korzystania z tego systemu, by wymieniać informacje o incydentach, cyberzagrożeniach i podatnościach. Przede wszystkim nowelizacja obejmie nowe podmioty określone jako kluczowe i ważne, których w perspektywie przyszłości będzie tysiące. Będą musiały się dostosować do wymogów ustawy pod katem bezpieczeństwa usług cyfrowych.
stopka Ministerstwo Cyfryzacji
Problemem jest powielanie błędów poprzedniej władzy, która nie uwzględniała tego typu kwestii w ocenie ryzyka wdrożenia przepisów. Nowa władza robi dokładnie to samo. Co usunięto z projektu w stosunku do jego poprzednich wersji? Przepisy dotyczące Operatora Strategicznej Sieci Bezpieczeństwa (OSSB). Więcej na ten temat pisaliśmy w tym materiale.
Reforma Krajowego Systemu Cyberbezpieczeństwa w Polsce
Nowe przepisy mają wejść w życie po 6 miesiącach od ogłoszenia w Dzienniku Ustaw. Szczegółowe zapisy nowelizacji KSC będziemy także opisywali na łamach CyberDefence24.pl w kolejnych dniach. Jak dodał, Polska musi być pionierem w cyberbezpieczeństwie, a nowelizacja KSC ma być punktem wyjścia do tego, aby „państwo miało narzędzia, by chronić obywateli”.
Oczekiwane korzyści z nowelizacji
Wicepremier i minister cyfryzacji Krzysztof Gawkowski projekt nazwał „ustawą KSC 3.0”, która w „70 proc. Minister właściwy do spraw informatyzacji przekazuje Komisji Europejskiej Strategię w terminie 3 miesięcy od dnia jej przyjęcia przez Radę Ministrów. Skojarzenie cyberbezpieczeństwa z telekomunikacją jest oczywiste. Cyberzagrożenia kojarzą nam się z Internetem, a za ten odpowiada właśnie branża telekomunikacyjna. W zasadzie też tego dotyczyło poprzednich, bodajże 15 wariantów projektu.
- Będą musiały się dostosować do wymogów ustawy pod katem bezpieczeństwa usług cyfrowych.
- Wsparcie ze strony CSIRT-ów sektorowych i CSIRT-ów poziomu krajowego oraz zostaną objęte nadzorem.
- Natomiast kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację wskazanych zadań i będzie musiał odbyć szkolenie z cyberbezpieczeństwa.
Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa kojarzy nam się z telekomunikacją. A to błąd
Poza operatorami usług kluczowych, także podmioty kluczowe i ważne będą zobowiązane do przeprowadzania audytów bezpieczeństwa swoich systemów informacyjnych co dwa lata. Wśród obowiązków dla podmiotów kluczowych i ważnych znajdzie się wprowadzenie systemu zarządzania bezpieczeństwem informacji dotyczących procesów związanych ze świadczeniem usług. Natomiast kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację wskazanych zadań i będzie musiał odbyć szkolenie z cyberbezpieczeństwa. Niewypełnienie obowiązków będzie skutkowało karą. Ile sprzętu i oprogramowania firm, które mogą zostać uznane za dostawców wysokiego ryzyka działa we wspomnianych przedsiębiorstwach? No pewnie my, ale nie w tym jest problem.
Organy właściwe do spraw cyberbezpieczeństwa w terminie do dnia 9 listopada 2018 r. Wydadzą decyzje o uznaniu za operatora usługi kluczowej oraz przekażą ministrowi właściwemu do spraw informatyzacji wnioski o wpisanie operatorów usług kluczowych do wykazu, o którym mowa w art. 7. Jednym z problemów związanych z funkcjonowaniem krajowego systemu cyberbezpieczeństwa jest brak sektorowych zespołów, które wspierają operatorów usług kluczowych (np. najważniejsze elektrownie, przedsiębiorstwa kolejowe czy porty).
Cyberbezpieczeństwa oraz ministra właściwego ds. Polecenie zabezpieczające ma umożliwić reakcję na incydent krytyczny. Stwierdzenie, że na ten projekt czekał cały rynek cyberbezpieczeństwa jest tak oczywiste, jak fakt, że Polska jest dziś w czołówce najczęściej atakowanych państw NATO w cyberprzestrzeni.
Przewoźnik kolejowy, o którym mowa w art. 4 pkt 9 ustawy z dnia 28 marca 2003 r. O transporcie kolejowym, którego działalność podlega licencjonowaniu, oraz operator obiektu infrastruktury usługowej, o którym mowa w art. 4 pkt 52 ustawy z dnia Ant IPO według liczb: Jest większy niż PKB Finlandii 28 marca 2003 r. O transporcie kolejowym, jeżeli przedsiębiorca wykonujący funkcję operatora jest jednocześnie przewoźnikiem kolejowym. Minister właściwy do spraw informatyzacji uruchomi system teleinformatyczny, o którym mowa w art. 46 ust.
Rząd chce wzmocnić krajowy system cyberbezpieczeństwa. O usprawnienie funkcjonowania systemu i ujednolicenie procedur zgłaszania incydentów na poziomie krajowym. Dotyczy to także przyspieszenia tworzenia sektorowych zespołów cyberbezpieczeństwa oraz umożliwienia włączenia centrów wymiany informacji i analiz (ISAC) do krajowego systemu cyberbezpieczeństwa. Rada Ministrów przyjęła projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, przedłożony przez ministra cyfryzacji. Poznaliśmy wreszcie (18!) wersję nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, a pierwszą – w wykonaniu nowego rządu.
Po zaopiniowaniu projektu ustawy przez KRMBNSO, następnie zostanie on skierowany pod obrady Stałego Komitetu Rady Ministrów. Po zaakceptowaniu projektu przez komitet stały, projekt zweryfikuje komisja prawnicza pod względem poprawności legislacyjnej i redakcyjnej. Ostateczną decyzję o przyjęciu projektu i skierowaniu go do Sejmu podejmie Rada Ministrów. „Jesteśmy otwarci na uwagi, wnioski, zmiany przepisów, będziemy je analizowali, współpracowali z rynkiem, resortami, tak aby projekt, który wyjdzie z rządu i trafi do Sejmu został szybko procedowany. Jesteśmy w fazie regularnej wojny w cyberprzestrzeni, bo działania naszych przeciwników politycznych, jak i grup przestępczych są na takim poziomie aktywności, że musimy mieć narzędzia do twardego reagowania” – stwierdził Olszewski. Zmianie uległy też obowiązki Pełnomocnika ds.
Podmiot publiczny, o którym mowa w art. 4 pkt 7-15, realizujący zadanie publiczne zależne od systemu informacyjnego może przekazywać do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacje, o których mowa w art. 13 ust. Informacje te przekazywane są w postaci elektronicznej, a w przypadku braku możliwości przekazania ich w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji. Kara, o której mowa w art. 73, może zostać nałożona również w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli organ właściwy do spraw cyberbezpieczeństwa uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia. Dostawca usługi cyfrowej może przekazywać do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacje, o których mowa w art. 13 ust. Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa to jedno wielkie pole minowe.
Pozostałe, a przypomnijmy, że nowe przepisy obejmą m.in. 1249 firm zajmujących się zdrowiem, 1204 żywnością, 268 wodą pitną, 102 kanalizacja, czy 1120 produkcją z wyłączenie wyrobów medycznych, nie do końca. Jak przekazał wiceminister cyfryzacji Paweł Olszewski, resort zakłada przyjęcie przepisów do końca roku. Miesiąc przewidziano na wejście przepisów w życie; a 6 miesięcy Dowiedz się jak handlować na dochodowym rynku Forex to czas, jaki otrzymają podmioty kluczowe i ważne na dostosowanie się do regulacji. To punkt, który niewątpliwie wzbudzał największe kontrowersje w przypadku każdej kolejnej próby nowelizacji. W projekcie zawarto regulacje dotyczące możliwości wskazania dostawcy wysokiego ryzyka (HRV), co ma się odbywać w drodze decyzji administracyjnej podjętej przez ministra cyfryzacji.
Jeśli jednak się zastanowimy, znaczne rozszerzenie branż objętych Ustawą ma sens. Zmieniono także terminy wycofania ze swoich systemów sprzętów czy produktów pochodzących od Amerykanie kupili rekord 17m dział w roku niepokojów, analizy stwierdza, dostawcy wysokiego ryzyka – to 7 lat lub 4 lata (poprzednio było to 5 lat). Prezes Rady Ministrów powoła Pełnomocnika w terminie 3 miesięcy od dnia wejścia w życie ustawy.
Przy Radzie Ministrów działa Kolegium, jako organ opiniodawczo-doradczy w sprawach cyberbezpieczeństwa oraz działalności w tym zakresie CSIRT MON, CSIRT NASK, CSIRT GOV, sektorowych zespołów cyberbezpieczeństwa i organów właściwych do spraw cyberbezpieczeństwa. Branże, które obejmą nowe przepisy, niekoniecznie muszą być na nie gotowe. Przypomnijmy, że nowelizacja Ustawy wprowadza możliwość uznania dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka oraz konieczność wymiany. Chodzi oczywiście o dostawców chińskich. Firmy telekomunikacyjne od dawna znają temat i są w mniejszym lub większym stopniu na to przygotowane.
Stąd tak krytyczne jest dostosowanie przepisów do rosnących wyzwań, jakie niewątpliwie w obliczu cyfrowego świata wciąż się piętrzą. Zagrożenia cyberbezpieczeństwa, mogące doprowadzić do sytuacji kryzysowej, po raz pierwszy zostaną ujęte w Raporcie o zagrożeniach bezpieczeństwa narodowego, który zostanie sporządzony z udziałem Pełnomocnika, po wejściu w życie ustawy. Minister właściwy do spraw informatyzacji we współpracy z Pełnomocnikiem, innymi ministrami i właściwymi kierownikami urzędów centralnych dokonuje przeglądu Strategii co 2 lata.