6 czerwca 2023 rząd przyjął projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Jakie zmiany przewiduje nowy projekt? Pośród różnych propozycji jedne z najważniejszych to zapisy dotyczące uruchomienia bezpiecznej sieci telekomunikacyjnej wykorzystywanej na potrzeby obronności i bezpieczeństwa państwa oraz przemodelowanie sposobu współpracy pomiędzy podstawowymi jednostkami tworzącymi krajowy system bezpieczeństwa – Zespołami Reagowania na Incydenty Bezpieczeństwa komputerowego (CSIRT) oraz operacyjnymi centrami bezpieczeństwa (SOC). Ponadto, nowela ma ujednolicić sposób zgłaszania incydentów naruszenia cyberbezpieczeństwa na poziomie krajowym oraz wprowadzić Krajowy System Certyfikacji Cyberbezpieczeństwa, w ramach którego wydawane będą certyfikaty w zakresie cyberbezpieczeństwa.
Lista wybranych, istotniejszych zmian, zgodnie z informacją opublikowaną na stronie Kancelarii Prezesa Rady Ministrów:
- Przebudowa modelu współpracy w ramach krajowego systemu cyberbezpieczeństwa.
Sektorowe zespoły cyberbezpieczeństwa, wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo, podmioty świadczące usługi z zakresu cyberbezpieczeństwa zostaną zastąpione odpowiednio przez CSIRT sektorowe, SOC wewnętrznymi i SOC zewnętrznymi (operacyjne centra bezpieczeństwa) z tylko nieco zmienionymi zadaniami.
- Do krajowego systemu cyberbezpieczeństwa zostaną dodani przedsiębiorcy komunikacji elektronicznej.
Dotychczas w ramach krajowego systemu cyberbezpieczeństwa wymaganiami objęci byli operatorzy usług kluczowych, dostawcy usług cyfrowych, CSIRT czy podmioty publiczne. Nowelizacja zakłada dodanie do tej listy przedsiębiorców komunikacji elektronicznej. Będą oni zobowiązani m. in. do zgłaszania incydentów do CSIRT. Ma to zagwarantować podniesienie poziomu cyberbezpieczeństwa na poziomie krajowym, nie tylko w ramach infrastruktury wykorzystywanej przez podmioty publiczne.
- Zostanie dodany nowy rodzaj podmiotu – ISAC (Information Sharing and Analysis Center – Centra Wymiany i Analizy Informacji)
Jest to branżowa organizacja, która gromadzi i udostępnia informacje o cyberzagrożeniach dla infrastruktury krytycznej. Mogą one być ukierunkowane na określony sektor krytyczny (np. finansowy, energetyczny czy służbę zdrowia) oraz służyć jako punkt kontaktowy na szczeblu krajowym w celu gromadzenia informacji o incydentach. ISAC ułatwiają również wymianę danych między grupami z sektora publicznego i prywatnego.
- Zostanie wzmocniona pozycja Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa
Poprzez udostępnienie mu konkretnych uprawnień w zakresie wydawania ostrzeżeń o incydentach krytycznych wraz z zaleceniem określonych zachowań. Pełnomocnik będzie mógł również wydawać rekomendacje mające na celu wzmocnienie poziomu cyberbezpieczeństwa systemów informacyjnych podmiotów krajowego systemu cyberbezpieczeństwa. Z kolei te podmioty będą zobowiązane uwzględnić te rekomendacje podczas procesu zarządzania ryzykiem. Decyzja o zastosowaniu się do tych rekomendacji należeć będzie do tych podmiotów.
- Powstanie Krajowy System Certyfikacji Cyberbezpieczeństwa
W jego ramach którego wydawane będą certyfikaty w zakresie cyberbezpieczeństwa. Organ nadzorczy będzie przeprowadzał kontrolę w podmiotach należących do krajowego systemu certyfikacji cyberbezpieczeństwa. W zakresie certyfikatów odwołujących się do poziomu zaufania „wysoki” będzie również zatwierdzał każdy wydany certyfikat. W nowelizacji sformułowane zostały zasady akredytacji jednostek oceniających zgodność oraz procedury wydawania certyfikatów.
- Uruchomienie strategicznej sieci bezpieczeństwa
Ustawa zagwarantuje, że zostanie uruchomiona bezpieczna sieć telekomunikacyjna wykorzystywana na potrzeby realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego przez kluczowe urzędy i podmioty działające w Rzeczypospolitej Polskiej. W tym celu zostanie powołany Operator strategicznej sieci bezpieczeństwa (OSSB), który będzie wyznaczany, w drodze zarządzenia, przez Prezesa Rady Ministrów. Operator ten będzie świadczył usługi telekomunikacyjne, jak również inne usługi dla wskazanych w ustawie podmiotów. OSSB zostanie zobowiązany do utworzenia spółki kapitałowej, która będzie pełnić funkcje operatora ogólnopolskiej hurtowej sieci.
- Fundusz Strategicznej Sieci Bezpieczeństwa
W ustawie tworzony jest państwowy fundusz celowy, którego dysponentem będzie minister właściwy do spraw aktywów państwowych.
Autor: Tomasz Cieślik