Nowelizacja ustawy o cyberbezpieczeństwie – co może się zmienić?

Projektowana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa stanowi próbę działań na rzecz wdrożenia założeń i postanowień unijnego zestawu narzędzi w zakresie sieci 5G. Przewidziane w projekcie rozwiązania będą wywierały istotny wpływ na działalność przedsiębiorców oferujących sprzęt, oprogramowanie oraz usługi informatyczne.
Kategoria

Cyberbezpieczeństwo

Tematyka

, , , , ,

Data publikacji

01 marca, 2021

Na co wpływa i kogo dotyczy ustawa o krajowym systemie cyberbezpieczeństwa?

W 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa (tzw. ustawa o cyberbezpieczeństwie), która wdrożyła do polskiego porządku prawnego zapisy unijnej dyrektywy dotyczącej bezpieczeństwa sieci i systemów informatycznych. Akt prawny ustanowił Krajowy System Cyberbezpieczeństwa (KSC), którego celem jest zapewnienie niezakłóconego świadczenia usług cyfrowych oraz usług o kluczowym znaczeniu dla państwa. Do tych sektorów zaliczono energetykę, transport, bankowość i infrastrukturę rynków finansowych, ochronę zdrowia, zaopatrzenie w wodę i infrastrukturę cyfrową.

Szereg nowych obowiązków nałożono na operatorów usług kluczowych i dostawców usług cyfrowych. Ich zadaniem stało się systematyczne szacowanie i zarządzanie ryzykiem wystąpienia incydentu cyberbezpieczeństwa, zbieranie informacji o zagrożeniach cyberbezpieczeństwa i zarządzanie incydentami. Ponadto podmioty tego rodzaju zobowiązano do opracowania, stosowania i aktualizacji dokumentacji dotyczącej bezpieczeństwa systemu informatycznego, nakazano powołanie wewnetrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawieranie umów w tym zakresie z innymi podmiotami. Na operatorów usług kluczowych wprowadzono obowiązek przeprowadzania audytu cyberbezpieczeństwa nie rzadziej niż raz na dwa lata.

Zgodnie z zapisami omawianej ustawy, w przypadku wystąpienia ataku hakerskiego czy wycieku danych, operatorzy usług mają obowiązek zaklasyfikowania takiego incydentu zgodnie z wytycznymi zawartymi w odpowiednim rozporządzeniu. W razie wystąpienia incydentu „poważnego” lub „krytycznego” operator powinien zgłosić wydarzenie do właściwego zespołu CSIRT (ang. Computer Security Incident Response Teams), działającego w ramach poszczególnych instytucji rządowych. Operator powinien współpracować z CSIRT nad obsługą incydentu cyberbezpieczeństwa i ostatecznie usunąć wady systemowe, które do niego doprowadziły.

Kiedy wejdzie w życie nowelizacja ustawy o cyberbezpieczeństwie?

We wrześniu 2020 roku do konsultacji społecznych trafił przygotowany przez Ministerstwo Cyfryzacji projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych. Projektowane zmiany wynikają m.in. z konieczności wprowadzenia unijnego zestawu narzędzi na potrzeby cyberbezpieczeństwa sieci 5G – tzw. 5G Toolbox. Powinny one zostać wdrożone do 21 grudnia 2020 roku i taką też datę wejścia w życie ustawy zapisano w przedstawionej przez Ministerstwo wersji projektu.

W chwili pisania tego artykułu, w lutym 2021 roku, projekt ustawy wciąż jeszcze jest na etapie opiniowania i nie został skierowany do Sejmu.

Jakie są zmiany w ustawie o cyberbezpieczeństwie?

W ramach „5G Toolbox” państwa członkowskie Unii Europejskiej zobowiązały się m.in. do zaostrzenia wymogów bezpieczeństwa infrastruktury i usług telekomunikacyjnych, oceny profili ryzyka dostawców i stosowania ograniczeń wobec dostawców stwarzających duże ryzyko oraz wdrożenia strategii na rzecz dywersyfikacji dostawców. Zaproponowana przez Minsterstwo Cyfryzacji nowelizacja, która stanowi próbę wdrożenia tych założeń i postanowień, wprowadza szereg zmian do ustawy o cyberbezpieczeństwie

Włączenie telekomów do Krajowego Systemu Cyberbezpieczeństwa

Projektowana nowelizacja zakłada włączenie do KSC przedsiębiorców komunikacji elektronicznej. W wyniku zmiany, podmioty z sektora telekomunikacyjnego zostałyby zobowiązane do przeprowadzania systematycznej oceny ryzyka wystąpienia sytuacji szczególnego zagrożenia.

Mechanizm oceny ryzyka dostawców sprzętu lub oprogramowania

Istniejące na mocy ustawy o cyberbezpieczeństwa Kolegium do Spraw Cyberbezpieczeństwa, w wyniku nowelizacji zyskałoby dodatkowy, ważny instrument. Zgodnie z projektem ustawy, Kolegium byłoby odpowiedzialne za ocenę ryzyka dostawcy sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa. Nadanie przez Kolegium oceny poziomu ryzyka na poziomie „wysokim” skutkowałoby zakazem wprowadzania do użytkowania sprzętu, oprogramowania czy usług oferowanych przez danego dostawcę. Dodatkowo taka ocena wiązałaby się z obowiązkiem wycofania z użytku wprowadzonych już produktów i świadczeń w ciągu pięciu lat. Zakłada się ustanowienie wysokich kar finansowych dla firm i innych podmiotów korzystających z produktów i usług „niebezpiecznego“ dostawcy. Ich wysokość mogłaby sięgać nawet do 3% światowego rocznego obrotu.

Polecenia zabezpieczające w odpowiedzi na incydenty krytyczne

O ile w toku prac nie zmieni się treść projektowanej ustawy, do polskiego porządku prawnego mógłby zostać wprowadzony mechanizm tzw. poleceń zabezpieczających. W odpowiedzi na incydenty zakwalifikowane jako „krytyczne” minister właściwy ds. informatyzacji miałby prawo wydawania decyzji administracyjnej operatorom telekomunikacyjnym, które nakazywałyby wyłączenie określonych połączeń (np. ze stronami internetowymi). Decyzje tego typu podlegałyby natychmiastowemu wykonaniu i byłyby wydawane na czas koordynacji obsługi incydentu, nie dłużej jednak niż na dwa lata.

Co zmiany w ustawie o cyberbezpieczeństwie oznaczają dla przedsiębiorców?

Do tej pory obowiązki wynikające z ustawy o cyberbezpieczeństwie musieli wdrożyć głównie dostawcy usług kluczowych i cyfrowych. Na mocy projektowanej ustawy, wymogi w zakresie zapewnienia odpowiedniego poziomu zabezpieczeń i reagowania na incydenty zostałyby nałożone również na przedsiębiorstwa telekomunikacyjne.

Jeśli ustawa zostanie przyjęta w kształcie zaproponowanym przez Ministerstwo, dostawcy sprzętu i oprogramowania informatycznego, w tym rozwiązań 5G zostaną obwarowani dodatkowymi wymogami w zakresie bezpieczeństwa. Uzyskanie negatywnej oceny od Kolegium do Spraw Cyberbezpieczeństwa może skutkować wyeliminowaniem z rynku produktów i usług oferowanych przez dane przedsiębiorstwo.

Poleć artykuł

Powiązane rozwiązania

Red Teaming - identyfikacja problemów w ochronie infrastruktury i aplikacji

Cyberprzestępcy próbując złamać system zabezpieczeń organizacji, wykorzystują słabe punkty nie tylko systemów...

Dowiedz się więcej

Testy penetracyjne aplikacji

Symulowane ataki na systemy komputerowe pomagają wykryć luki w aplikacjach i infrastrukturze...

Dowiedz się więcej