Ustawa O Krajowym Systemie Cyberbezpieczeństwa – najważniejsze informacje

Ustawa O Krajowym Systemie Cyberbezpieczeństwa – najważniejsze informacje

25 czerwca, 2020 Wyłącz przez Space Press

Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie 28 sierpnia 2018 r., jednak by całkowicie wdrożyć Dyrektywę NIS w Polsce, niezbędne było przyjęcie dodatkowych rozporządzeń Rady Ministrów jako aktów wykonawczych.

Dyrektywa nakłada obowiązki mające na celu zapewnienie cyberbezpieczeństwa w sektorach usług, które mają kluczowe znaczenie dla utrzymania krytycznej działalności społeczno-gospodarczej państwa. Do tych sektorów zalicza się: energetykę, transport, bankowość, instytucje finansowe, sektor ochrony zdrowia, zaopatrzenie w wodę i infrastrukturę cyfrową. Ustawa wprowadziła pojęcie systemucyberbezpieczeństwa, który ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych, służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. Podmioty tworzące Krajowy System Cyberbezpieczeństwa (KSC) to:

  • Operatorzy usług kluczowych,
  • Dostawcy usług cyfrowych,
  • Podmioty publiczne,
  • Organy właściwe,
  • CSIRT poziomu krajowego,
  • Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa,
  • Podmioty świadczące usługi z zakresu cyberbezpieczeństwa.

Za sprawą nowego prawa pojawiły się także nowe pojęcia: incydenty (krytyczne, poważne, istotne, w podmiocie publicznym), usługi (kluczowe i cyfrowe), podatność oraz zarządzanie incydentem.

Incydentem nazwać można zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo. Ustawodawca wyszczególnił kilka ich rodzajów. Incydent krytyczny skutkuje kluczową szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych lub gospodarczych, funkcjonowania instytucji publicznych, praw i wolności obywatelskich lub zdrowia czy życia ludzi. Incydenty takie klasyfikowane są przez odpowiedni CSIRT (szerzej o tym poniżej). Incydent poważny – może powodować duże obniżenie jakości lub przerwanie ciągłości działania usług kluczowych. Incydent istotny – znacząco wpływa na świadczenie usługi cyfrowej. Incydent w podmiocie publicznym  – może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny.

Wystąpienie incydentu może zakłócić funkcjonowanie usługi cyfrowej – świadczonej drogą elektroniczną i usługi kluczowej – mającej istotne znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej.

W związku z nowymi przepisami wyodrębnia się także operatorów usługi kluczowej oraz nakłada na nich obowiązki, m.in.:

  • prowadzenie konsekwentnego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem, wdrożenie właściwych środków technicznych i organizacyjnych, zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty, zarządzanie incydentami oraz stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemów informacyjnych,
  • opracowanie, stosowanie i aktualizacja dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej oraz ustanowienie nadzoru nad tą dokumentacją,
  • powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa,
  • zapewnienie przeprowadzenia, minimum raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego.

W przypadku zaistnienia incydentu, zgodnie z ustawą, powinna nastąpić jego obsługa. Rozumie się przez to czynności polegające na wykrywaniu, rejestrowaniu, analizowaniu, klasyfikowaniu, priorytetyzacji, podejmowaniu działań naprawczych i ograniczeniu skutków incydentu. Ustawa zatwierdziła trzy podmioty na poziomie krajowym, które zajmują się reagowaniem na incydenty komputerowe i zarządzanie nimi. Zostały one określone jako CSIRT (ang. Computer Security Incident Response Teams). W Polsce są to CSIRT GOV, CSIRT MON, CSIRT NASK.

CSIRT GOV czyli Rządowy Zespół Reagowania na Incydenty Komputerowe prowadzony przez Szefa ABW – do jego zadań należy obsługa lub koordynacja obsługi incydentów zgłaszanych przez najistotniejsze dla ciągłości państwa jednostki sektora finansów publicznych, jednostki podległe Premierowi i przez niego nadzorowane (m.in. RCB, KNF, UZP, URE, PGRP), Narodowy Bank Polski, Bank Gospodarstwa Krajowego oraz podmioty objęte ustawą o zarządzaniu kryzysowym, czyli podmioty, których systemy teleinformatyczne lub sieci teleinformatyczne wpisane są do jednego wykazu obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej.

CSIRT MON to System Reagowania na Incydenty Komputerowe resortu Obrony Narodowej. Koordynuje obsługę zgłaszanych incydentów przez podmioty podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane oraz przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym.

CSIRT NASK prowadzony jest przez Naukową i Akademicką Sieć Komputerową. Obsługuje incydenty zgłaszane m.in. przez: instytuty badawcze, Polską Agencję Żeglugi Powietrznej czy osoby fizyczne.

Zespoły CSIRT zapewniają jednolity i kompletny system zarządzania ryzykiem na poziomie państwa, realizując zadania na rzecz zapobiegania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym – są w europejskiej sieci CSIRT oraz przekazują do innych Państw i innych Punktów Kontaktowych informacje o incydentach. Zespoły realizują te zadania poprzez współpracę pomiędzy sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem. Monitorują zagrożenia cyberbezpieczeństwa i incydenty na poziomie krajowym, szacują ryzyko z nimi związane. Mogą również wydawać komunikaty o zidentyfikowanych zagrożeniach.

CSIRT mają obowiązek informować się nawzajem oraz Rządowe Centrum Bezpieczeństwa o incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego. Zespoły wspólnie opracowują główne elementy procedur postępowania w przypadku incydentu, w ramach którego współpracują ze sobą.

Ustawa wprowadza również pojęcie sektorowego zespołu cyberbezpieczeństwa, a więc zespołu ustanowionego przez organ właściwy dla danego sektora lub podsektora. Zespół ten odpowiedzialny jest za obsługę lub wsparcie obsługi incydentów w swoim sektorze lub podsektorze.

Kolejnym organem ustanowionym nowym prawem jest Zespół ds. Incydentów Krytycznych, który pełni rolę pomocniczą w sprawach obsługi incydentów krytycznych zgłoszonych przez sieć CSIRT. W skład Zespołu wchodzą przedstawiciele Rządowego Centrum Bezpieczeństwa oraz CSIRT MON, CSIRT NASK i Szefa ABW. Kierowany jest przez dyrektora Rządowego Centrum Bezpieczeństwa.

W myśl europejskiej Dyrektywy utworzono Pojedynczy Punkt Kontaktowy (PKK), który funkcjonuje przy Ministrze Cyfryzacji jest odpowiedzialny za:

  • tworzenie ram prawnych funkcjonowania obszaru cyberbezpieczeństwa RP, w tym czuwanie nad ich spójnością,
  • pełnienie funkcji łącznika w celu zapewnienia współpracy z podmiotami odpowiedzialnymi za cyberbezpieczeństwo,
  • gromadzenie i przetwarzanie informacji otrzymanych od m.in. operatorów usług kluczowych,
  • kontrolowanie spełniania przez podmioty świadczące usługi z zakresu cyberbezpieczeństwa wymagań organizacyjnych i technicznych,
  • przekazywanie, na wniosek właściwego CSIRT, zgłoszenia incydentu poważnego lub incydentu istotnego dotyczącego dwóch lub większej liczby państw członkowskich Unii Europejskiej do pojedynczych punktów kontaktowych innych państwa członkowskich UE,
  • zapewnienie udziału przedstawiciela RP w Grupie Współpracy,
  • zapewnienie współpracy z Komisją Europejską w dziedzinie cyberbezpieczeństwa,
  • koordynację współpracy między organami właściwymi ds. cyberbezpieczeństwa RP z odpowiednimi organami w państwach członkowskich UE,
  • współpracę z innymi organami np. organami ścigania i organem właściwym do spraw ochrony danych.

Podmiotem odpowiedzialnym za kierowanie działaniami i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w RP jest Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa. Główne zadania Pełnomocnika to m.in.: analiza i ocena funkcjonowania krajowego systemu cyberbezpieczeństwa, nadzór nad procesem zarządzania ryzykiem krajowego systemu cyberbezpieczeństwa, opiniowanie projektów aktów prawnych oraz innych dokumentów rządowych mających wpływ na realizację zadań z zakresu cyberbezpieczeństwa, wydawanie rekomendacji, a także występowanie z inicjatywą uruchamiania krajowych ćwiczeń z zakresu cyberbezpieczeństwa. Pełnomocnik ma obowiązek przedłożyć Radzie ministrów do 31 marca każdego roku sprawozdanie za poprzedni rok kalendarzowy, zawierające informacje o prowadzonej działalności w zakresie zapewniania cyberbezpieczeństwa w kraju. Przy Radzie Ministrów powołano Kolegium do Spraw Cyberbezpieczeństwa. Jest to organ opiniodawczo-doradczy w sprawach planowania, nadzorowania i koordynowania działalności zespołów CSIRT, sektorowych zespołów cyberbezpieczeństwa oraz organów właściwych. Powołanie Kolegium miało na celu zachowanie większej spójności systemu i jego transparentność oraz nadanie zagadnieniom cyberbezpieczeństwa odpowiedniej rangi, jak i umożliwienie formułowania spójnych kierunków i planów na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa. Stale zmieniające się uwarunkowania związane z bezpieczeństwem, szczególnie w cyberprzestrzeni, wymagają szybkiej i zdecydowanej reakcji organów państwa. Jak dowiadujemy się ze strony Kancelarii Prezesa Rady Ministrów: Projektowana uchwała ma na celu ustanowienie Strategii Cyberbezpieczeństwa. Strategia ma charakter polityczno-strategiczny, natomiast na poziomie operacyjnym realizację jego zapisów zapewni szczegółowy plan działań. Plan działań opisze podmioty zaangażowane w realizację Strategii oraz środki pozwalające na jej wdrożenie. Przy opracowywaniu Strategii korzystano z dobrych praktyk i rozwiązań proponowanych przez Międzynarodowy Związek Telekomunikacyjny oraz doświadczeń innych państw.

W 2018 r. NIK przeprowadziła kontrolę w zakresie zarządzania bezpieczeństwem informacji w jednostkach samorządu terytorialnego. Wyniki kontroli wykazały brak dostatecznej świadomości wśród osób pełniących funkcję organu KSC, jak istotna jest tematyka bezpieczeństwa informacji. Wykazano także brak środków finansowych, aby realizować niezbędne przedsięwzięcia oraz niedostateczną liczbę fachowców z zakresu bezpieczeństwa informacji.

Wojciech Stąsiek, Space Press

Źródło: rcb.gov.pl

Dowiedz się więcej tutaj.