Nie ma lekko, ale nikt nie mówił, że sprzątania po ośmiu latach partactwa i czterech demolki cyfrowej legislacji będzie prostym zadaniem. Znacznie zwiększy się katalog podmiotów, które będą miały obowiązki, ale i otrzymają wsparcie w zakresie cyberbezpieczeństwa (ma to związek z implementacją dyrektywy NIS2). Chodzi o podmioty kluczowe i ważne – podstawą ma być mechanizm samoidentyfikacji – podmioty będą zobowiązane zarejestrować się w nowym systemie. Wsparcie ze strony CSIRT-ów sektorowych i CSIRT-ów poziomu krajowego oraz zostaną objęte nadzorem.
Oczekiwane korzyści z nowelizacji
Obecnie przedsiębiorcy komunikacji elektronicznej nie są częścią krajowego systemu cyberbezpieczeństwa, co utrudnia analizę zagrożeń cyberbezpieczeństwa na poziomie krajowym. Istotną kwestią jest także zapewnienie bezpieczeństwa łańcuchów dostaw sprzętu lub oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa. Organ właściwy Poważne wykolejenie pociągu zmusza szkoły i firmy do ewakuacji w społeczności Texas do spraw cyberbezpieczeństwa może nałożyć karę pieniężną na kierownika operatora usługi kluczowej w przypadku, gdy nie dochował należytej staranności celem spełnienia obowiązków, o których mowa w art. 8 pkt 1, art. 9 ust. 1, z tym że kara ta może być wymierzona w kwocie nie większej niż 200% jego miesięcznego wynagrodzenia.
Procedury postępowania z dostawcami wysokiego ryzyka
Pierwszy to wspomniane realne zagrożenie. Drugi to unijne kary, które kosztują nas 50 tys. Czy taki podwójny pośpiech może nam wyjść na dobre? Przepisy muszą być wdrożone szybko, żeby mieć problem z głowy.
Reforma Krajowego Systemu Cyberbezpieczeństwa w Polsce
- Znacznie większe szkody może nam wyrządzić cyberatak na przedsiębiorstwa wodne czy producentów żywności, niż atak na operatora komórkowego.
- Jednym z problemów związanych z funkcjonowaniem krajowego systemu cyberbezpieczeństwa jest brak sektorowych zespołów, które wspierają operatorów usług kluczowych (np. najważniejsze elektrownie, przedsiębiorstwa kolejowe czy porty).
- Cyberzagrożenia kojarzą nam się z Internetem, a za ten odpowiada właśnie branża telekomunikacyjna.
- Tym bardziej że zagrożenie cyberatakiem ze wschodu, nie mylić z zagrożeniem cybernetycznym, co palnął ostatnio jak kulą w płot minister cyfryzacji Krzysztof Gawkowski, a co bezrefleksyjnie powielają kolejne duże media, jest realne.
Jeśli jednak się zastanowimy, znaczne rozszerzenie branż objętych Ustawą ma sens. Zmieniono także terminy wycofania ze swoich systemów sprzętów czy produktów pochodzących od dostawcy wysokiego ryzyka – to 7 lat lub 4 lata (poprzednio było to 5 lat). Prezes Rady Ministrów powoła Pełnomocnika w terminie 3 miesięcy od dnia wejścia w życie ustawy.
Jakie są najważniejsze punkty ustawy?
Cyberbezpieczeństwa oraz ministra właściwego ds. Polecenie zabezpieczające ma umożliwić reakcję na incydent krytyczny. Stwierdzenie, że na ten projekt czekał cały rynek cyberbezpieczeństwa jest tak oczywiste, jak fakt, że Polska jest dziś w czołówce najczęściej atakowanych państw NATO w cyberprzestrzeni.
Kiedy przyjęcie nowelizacji KSC?
Problemem jest powielanie błędów poprzedniej władzy, która nie uwzględniała tego typu kwestii w ocenie ryzyka wdrożenia przepisów. Nowa władza robi dokładnie to samo. Co usunięto z projektu w stosunku do jego poprzednich wersji? Przepisy dotyczące Operatora Strategicznej Sieci Bezpieczeństwa (OSSB). Więcej na ten temat pisaliśmy w tym materiale.
Kluczowe zmiany i ich wpływ na system cyberbezpieczeństwa
Nowe przepisy mają wejść w życie po 6 miesiącach od ogłoszenia w Dzienniku Ustaw. Szczegółowe zapisy nowelizacji KSC będziemy także opisywali na łamach CyberDefence24.pl w kolejnych dniach. Jak dodał, Polska musi być pionierem w cyberbezpieczeństwie, a nowelizacja KSC ma być punktem wyjścia do tego, aby „państwo miało narzędzia, by chronić obywateli”.
Rząd chce wzmocnić krajowy system cyberbezpieczeństwa. O usprawnienie funkcjonowania systemu i ujednolicenie procedur zgłaszania incydentów na poziomie krajowym. Dotyczy to także przyspieszenia tworzenia sektorowych zespołów cyberbezpieczeństwa oraz umożliwienia włączenia centrów wymiany informacji i analiz (ISAC) do krajowego systemu cyberbezpieczeństwa. Rada Ministrów przyjęła projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, przedłożony przez ministra cyfryzacji. Poznaliśmy wreszcie (18!) wersję nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, a pierwszą – w wykonaniu nowego rządu.
Pozostałe, a przypomnijmy, że nowe przepisy obejmą m.in. 1249 firm zajmujących się zdrowiem, 1204 żywnością, 268 wodą pitną, 102 kanalizacja, czy 1120 produkcją z wyłączenie wyrobów medycznych, nie do końca. Jak przekazał wiceminister cyfryzacji Paweł Olszewski, resort zakłada przyjęcie przepisów do końca roku. Miesiąc przewidziano na wejście przepisów w życie; a 6 miesięcy Najlepsze sztuczki dla przedsiębiorców aby odnieść sukces na rynku Forex to czas, jaki otrzymają podmioty kluczowe i ważne na dostosowanie się do regulacji. To punkt, który niewątpliwie wzbudzał największe kontrowersje w przypadku każdej kolejnej próby nowelizacji. W projekcie zawarto regulacje dotyczące możliwości wskazania dostawcy wysokiego ryzyka (HRV), co ma się odbywać w drodze decyzji administracyjnej podjętej przez ministra cyfryzacji.
Podmiot publiczny, o którym mowa w art. 4 pkt 7-15, realizujący zadanie publiczne zależne od systemu informacyjnego może przekazywać do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacje, o których mowa w art. 13 ust. Informacje te przekazywane są w postaci elektronicznej, a w przypadku braku możliwości przekazania ich w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji. Kara, o której mowa w art. 73, może zostać nałożona również w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli organ właściwy do spraw cyberbezpieczeństwa uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia. Dostawca usługi cyfrowej może przekazywać do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacje, o których mowa w art. 13 ust. Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa to jedno wielkie pole minowe.
Wicepremier i minister cyfryzacji Krzysztof Gawkowski projekt nazwał „ustawą KSC 3.0”, która w „70 proc. Minister właściwy do spraw informatyzacji przekazuje Komisji Europejskiej Strategię w terminie 3 miesięcy od dnia jej przyjęcia przez Radę Ministrów. Skojarzenie cyberbezpieczeństwa z telekomunikacją jest oczywiste. Cyberzagrożenia kojarzą nam się z Internetem, a za ten odpowiada właśnie branża telekomunikacyjna. W zasadzie też tego dotyczyło poprzednich, bodajże 15 wariantów projektu.
Stąd tak krytyczne jest dostosowanie przepisów do rosnących wyzwań, jakie niewątpliwie w obliczu cyfrowego świata wciąż się piętrzą. Zagrożenia cyberbezpieczeństwa, mogące doprowadzić do sytuacji kryzysowej, po raz pierwszy zostaną ujęte w Raporcie o zagrożeniach bezpieczeństwa narodowego, który zostanie sporządzony z udziałem Pełnomocnika, po wejściu w życie ustawy. Minister właściwy do spraw informatyzacji we współpracy z Pełnomocnikiem, innymi ministrami i właściwymi kierownikami urzędów centralnych dokonuje przeglądu Strategii co 2 lata.
Koordynowanie działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w Rzeczypospolitej Polskiej powierza się Pełnomocnikowi. O powyższą wiedzę możemy być bogatsi, jeśli w tej kwestii wypowiedzą się zainteresowane firmy. Niektóre z nich być może nawet nie wiedzą, że mogą ich czekać takie zmiany. Co słusznie wskazuje w felietonie dla Telko.In Piotr Mieczkowski.
Z kolei CSIRT sektorowy przekazuje wczesne ostrzeżenie oraz zgłoszenia niezwłocznie, nie później niż 8 godzin od jego otrzymania, do właściwego CSIRT MON, CSIRT NASK albo CSIRT GOV. Ma to pomóc w szybkim reagowaniu na poważny incydent, koordynacji działania i szybkim raportowaniu. W czasie spotkania z dziennikarzami kierownictwo resortu cyfryzacji przedstawiło najważniejsze punkty, jakie znalazły się w projekcie, który – jak oceniono – w „70 proc. Osoba prowadząca czynności kontrolne wobec podmiotów będących przedsiębiorcami ustala stan faktyczny na podstawie dowodów zebranych w toku kontroli, w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.
Czasu na konsultacje społeczne jest bardzo mało i może go nie starczyć dla wszystkich. CSIRT MON, CSIRT NASK lub CSIRT GOV informuje inne państwa członkowskie Unii Europejskiej w przypadku, gdy incydent istotny dotyczy dwóch lub większej liczby państw członkowskich Unii Europejskiej, za pośrednictwem Pojedynczego Punktu Kontaktowego. Wdrożenie nowych przepisów ma dwóch poganiaczy.
Przewoźnik kolejowy, o którym mowa w art. 4 pkt 9 ustawy z dnia 28 marca 2003 r. O transporcie kolejowym, którego działalność podlega licencjonowaniu, oraz operator obiektu infrastruktury usługowej, o którym mowa w art. 4 pkt 52 ustawy z dnia 28 marca 2003 r. O transporcie kolejowym, jeżeli przedsiębiorca wykonujący funkcję operatora jest jednocześnie przewoźnikiem kolejowym. Minister właściwy do spraw informatyzacji uruchomi system teleinformatyczny, o którym mowa w art. 46 ust.
Po zaopiniowaniu projektu ustawy przez KRMBNSO, następnie zostanie on skierowany pod obrady Stałego Komitetu Rady Ministrów. Po zaakceptowaniu projektu przez komitet stały, projekt zweryfikuje komisja prawnicza pod względem poprawności legislacyjnej i redakcyjnej. Ostateczną decyzję o przyjęciu projektu i skierowaniu go do Sejmu podejmie Rada Ministrów. „Jesteśmy otwarci na uwagi, wnioski, zmiany przepisów, będziemy je analizowali, współpracowali z rynkiem, resortami, tak aby projekt, który wyjdzie z rządu i trafi do Sejmu został szybko procedowany. Jesteśmy w fazie regularnej wojny w cyberprzestrzeni, bo działania naszych przeciwników politycznych, jak i grup przestępczych są na takim poziomie aktywności, że musimy mieć narzędzia do twardego reagowania” – stwierdził Olszewski. Zmianie uległy też obowiązki Pełnomocnika ds.
Organy właściwe do spraw cyberbezpieczeństwa w terminie do dnia 9 listopada 2018 r. Wydadzą decyzje o uznaniu za operatora usługi kluczowej oraz przekażą ministrowi właściwemu do spraw informatyzacji wnioski o wpisanie operatorów usług kluczowych do wykazu, Co to jest indeks giełdowy i co to pokazuje o którym mowa w art. 7. Jednym z problemów związanych z funkcjonowaniem krajowego systemu cyberbezpieczeństwa jest brak sektorowych zespołów, które wspierają operatorów usług kluczowych (np. najważniejsze elektrownie, przedsiębiorstwa kolejowe czy porty).
Musi być przyjęta do 17 października, inaczej będą nas czekać kolejne kary ze strony unijnych organów. Wydaje się też, że musi być przyjęta przed jesiennymi wyborami w Stanach Zjednoczonych, bo w przypadku wygranej Donalda Trumpa mogą powrócić naciski na wykluczenie chińskich firm, które dyktowały powstanie pierwszych wersji projektu nowelizacji Ustawy. A wszystko to musi być zrobione tak, aby zadbać o interes polskich firm.
Komitet Rady Ministrów do spraw Bezpieczeństwa Narodowego i spraw Obronnych (KRMBNSO) pozytywnie zaopiniował projekt zmiany ustawy o Krajowym Systemie Cyberbezpieczeństwa. Komitet przekazał ponadto zalecenie pilnego procedowania projektu na dalszych etapach procesu legislacyjnego. Pamiętajmy, że żyjemy w 2024 roku, gdzie wiele branż od dawna jest mocno scyfryzowanych. Znacznie większe szkody może nam wyrządzić cyberatak na przedsiębiorstwa wodne czy producentów żywności, niż atak na operatora komórkowego. Wyobraźmy sobie sytuację, w której w wyniku ataku do żywności dostaje się zbyt duża ilość substancji, która może nam zaszkodzić i katastrofa gotowa.
Przy Radzie Ministrów działa Kolegium, jako organ opiniodawczo-doradczy w sprawach cyberbezpieczeństwa oraz działalności w tym zakresie CSIRT MON, CSIRT NASK, CSIRT GOV, sektorowych zespołów cyberbezpieczeństwa i organów właściwych do spraw cyberbezpieczeństwa. Branże, które obejmą nowe przepisy, niekoniecznie muszą być na nie gotowe. Przypomnijmy, że nowelizacja Ustawy wprowadza możliwość uznania dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka oraz konieczność wymiany. Chodzi oczywiście o dostawców chińskich. Firmy telekomunikacyjne od dawna znają temat i są w mniejszym lub większym stopniu na to przygotowane.
Tym bardziej że zagrożenie cyberatakiem ze wschodu, nie mylić z zagrożeniem cybernetycznym, co palnął ostatnio jak kulą w płot minister cyfryzacji Krzysztof Gawkowski, a co bezrefleksyjnie powielają kolejne duże media, jest realne. System S46 ma być głównym środkiem komunikacji pomiędzy podmiotami objętymi KSC. Podmioty kluczowe i ważne będą zobowiązane do korzystania z tego systemu, by wymieniać informacje o incydentach, cyberzagrożeniach i podatnościach. Przede wszystkim nowelizacja obejmie nowe podmioty określone jako kluczowe i ważne, których w perspektywie przyszłości będzie tysiące. Będą musiały się dostosować do wymogów ustawy pod katem bezpieczeństwa usług cyfrowych.