Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie

Stworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC) to cel ustawy, która 28 sierpnia br. weszła w życie. Po raz pierwszy, powstaje system z jasnym przydziałem zadań i odpowiedzialności, który umożliwi sprawne działania na rzecz wykrywania, zapobiegania i minimalizowania skutków ataków naruszających cyberbezpieczeństwo RP.
 Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie
/ gov.pl/cyfryzacja

Ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona przez Sejm RP 5 lipca 2018 r., 1 sierpnia podpisał ją Prezydent RP, a następnie została opublikowana w Dzienniku Ustaw RP 13 sierpnia br. (Dz. U. 2018 poz. 1560).

Ustawa oraz towarzyszące jej rozporządzenia wykonawcze w pełni wdrożą do polskiego porządku prawnego tzw. dyrektywę NIS.

Kto wchodzi w skład KSC?

Dzięki ustawie powstanie w Polsce krajowy system cyberbezpieczeństwa. W jego skład wejdą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki. W ustawie mowa jest zatem o: operatorach usług kluczowych (OUK), czyli m.in. największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale; dostawcach usług kluczowych (DUC), czyli m.in. internetowych platformach handlowych; organach właściwych (OW), czyli instytucjach publicznych, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla naszej gospodarki np. dla firm zajmujących się transportem lotniczym organem właściwym jest Minister Infrastruktury; Zespołach Reagowania na Incydenty Bezpieczeństwa Komputerowego utworzone w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON), które będą współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa; sektorowych zespołach cyberbezpieczeństwa, np. taki utworzony przez największe banki w Polsce.

Podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa utworzą spójny system pozwalający na podejmowanie różnorodnych i skutecznych działań zarówno przeciwdziałających zagrożeniom, jak i zapewniających skuteczne reagowanie w przypadku wystąpienia incydentów.

Więcej informacji na temat m.in. podmiotów tworzących KSC, czy o tym jak będzie wyglądała obsługa incydentu, w tym szczegółowe wykresy, znajduje się tutaj.

Wymiana informacji - to serce nowego systemu

Przy Ministrze Cyfryzacji powstanie Pojedynczy Punkt Kontaktowy (PPK), który umożliwi wymianę informacji o poważnych incydentach, które dotknęły co najmniej dwa państwa członkowskie UE. Dzięki temu nasze trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego, a także zespoły sektorowe będą ostrzegane o możliwych zagrożeniach. Ponadto te trzy Zespoły Reagowania będą mogły, poprzez Punkt Kontaktowy, przekazywać innym państwom członkowskim UE ostrzeżenia.

Obowiązki operatorów usług kluczowych

Od momentu otrzymania od organu właściwego decyzji administracyjnej, dany podmiot uznany za operatora usługi kluczowej jest zobowiązany do:

  • Po 3 miesiącach od otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza incydentami, wyznacza osobę kontaktową z właściwym CSIRT i PPK przy MC, prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności;
  • Po 6 miesiącach od otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację;
  • Po 12 miesiącach od otrzymania decyzji: przygotowuje pierwszy audyt w rozumieniu ustawy, przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom.

Jednocześnie przypominamy, że za niewykonanie przez OUK obowiązków wynikających z ustawy , przewidziano zastosowanie kar finansowych (patrz rozdział 14 ustawy).

Najważniejsze daty zapisane w ustawie

Poza ww. datami związanymi z obowiązkami OUK, OW np. Ministerstwo Cyfryzacji, najpóźniej do 9 listopada br. są zobowiązane do zidentyfikowania i wydania decyzji administracyjnej o uznaniu danego podmiotu za operatora usługi kluczowej. Data ta jest także granicznym terminem przekazania przez organy właściwe Ministrowi Cyfryzacji wniosków o wpisanie zidentyfikowanych operatorów do wykazu operatorów usług kluczowych.

Natomiast obowiązkiem Ministra Cyfryzacji jest przekazanie do 9 listopada br. Komisji Europejskiej informacji dotyczących m.in. wykazu usług kluczowych oraz liczby zidentyfikowanych operatorów. Na Ministrze Cyfryzacji spoczywa także obowiązek przygotowania strategii cyberbezpieczeństwa RP. Przyjęcie tej strategii ma nastąpić najpóźniej do 31 października 2019 r.

Prezes Rady Ministrów w terminie do 3 miesięcy od wejścia w życie tej ustawy powoła Pełnomocnika do Spraw Cyberbezpieczeństwa, czyli osobę odpowiedzialną za koordynowanie działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w Polsce.

Rozporządzenia wykonawcze do ustawy

Finalizowane są obecnie prace nad ośmioma rozporządzeniami wykonawczymi, bez których pełne wdrożenie nowego systemu nie jest możliwe.

Obecnie, po etapie konsultacji społecznych, trwają uzgodnienia wewnątrzrządowe nad ostatecznym kształtem zapisów szczegółowych rozporządzeń wykonawczych do ustawy. 

Źródło: gov.pl/cyfryzacja

GT


 

POLECANE
Tadeusz Płużański: Adwo-kaci polskich patriotów tylko u nas
Tadeusz Płużański: Adwo-kaci polskich patriotów

15 marca 1948 r. Wojskowy Sąd Rejonowy w Warszawie skazał na karę śmierci rotmistrza Witolda Pileckiego, Tadeusza Płużańskiego (mojego ojca) i Marię Szelągowską. Wyrok, podobnie, jak w innych pokazowych procesach stalinizmu, nie zapadł na sali sądowej, ale w zaciszu ubeckich gabinetów.

Sprawa Ukrainy jest tylko pretekstem tylko u nas
Sprawa Ukrainy jest tylko pretekstem

Jednym z priorytetowych, otwarcie głoszonych celów polityki zarówno Niemiec, jak i Francji jest tzw. autonomia strategiczna Unii Europejskiej. Termin ten ma oznaczać niezależność polityczną, gospodarczą i militarną Unii od innych aktorów światowej polityki.

Znana dziennikarka „Dzień dobry TVN” trafiła do szpitala Wiadomości
Znana dziennikarka „Dzień dobry TVN” trafiła do szpitala

Dziennikarka znana z „Dzień dobry TVN” trafiła do szpitala.

Prezydent Ukrainy: operacja kurska spełniła swoje zadania polityka
Prezydent Ukrainy: operacja kurska spełniła swoje zadania

Operacja ukraińskich wojsk w obwodzie kurskim na zachodzie Rosji spełniła swoje zadania, gdyż odciągnęła siły rosyjskie z trudnych kierunków frontu; obecnie sytuacja na tym odcinku jest ciężka – powiedział w piątek prezydent Ukrainy Wołodymyr Zełenski.

Tȟašúŋke Witkó: Kompromitacja szefa niemieckiego wywiadu. Nie pierwsza tylko u nas
Tȟašúŋke Witkó: Kompromitacja szefa niemieckiego wywiadu. Nie pierwsza

Nie mam obyczaju publicznie uskarżać się na stan moich osobistych finansów oraz wysokość gaży pobieranej za klecenie felietonów, jednak uważam, że zarabiam zdecydowanie za mało. Naturalnie, wielokrotnie napomykałem o przedmiotowym fakcie redaktorowi naczelnemu, jednakże człek ów pozostał nieugięty w sprawie podniesienia mej płacy.

Specjalny komunikat produkcji „Tańca z gwiazdami”. Tego nikt się nie spodziewał Wiadomości
Specjalny komunikat produkcji „Tańca z gwiazdami”. Tego nikt się nie spodziewał

Już w najbliższą niedzielę, 16 marca, widzowie Polsatu obejrzą kolejny odcinek programu „Dancing with the Stars. Taniec z gwiazdami”. Tymczasem produkcja show postanowiła sprawić niespodziankę jednej z uczestniczek - Darii Sycie, która 14 marca obchodziła urodziny.

Szokująca reakcja sali na pytanie Trzaskowskiego o relacje ze Stanami Zjednoczonymi. Jest nagranie polityka
Szokująca reakcja sali na pytanie Trzaskowskiego o relacje ze Stanami Zjednoczonymi. Jest nagranie

Podczas jednego ze spotkań wyborczych w Krakowie Rafał Trzaskowski zapytał swoich wyborców, co powinno być priorytetem w polskiej polityce zagranicznej: współpraca ze Stanami Zjednoczonymi czy Unią Europejską. Reakcja sali była jednoznaczna - niemal nikt nie opowiedział się za USA, natomiast prawie wszyscy wskazali na Unię Europejską.

Szef Ruchu Kontroli Wyborów: Te wybory będą fałszowane tylko u nas
Szef Ruchu Kontroli Wyborów: Te wybory będą fałszowane

- Dla nas najważniejszą rzeczą jest kontrolowanie całego procesu wyborczego – mówi w rozmowie z Mateuszem Kosińskim Marcin Dybowski, prezes Ruchu Kontroli Wyborów.

Niepokojące doniesienia z Wrocławia. Groźna choroba wraca po 24 latach Wiadomości
Niepokojące doniesienia z Wrocławia. Groźna choroba wraca po 24 latach

We Wrocławiu potwierdzono pierwszy od 24 lat przypadek błonicy w Polsce. Do Wojewódzkiego Szpitala Specjalistycznego im. J. Gromkowskiego trafił sześciolatek, który prawdopodobnie zaraził się podczas wakacji w Afryce. Dziecko jest w bardzo ciężkim stanie i przebywa na oddziale intensywnej terapii.

Dramat w Tatrach. Lawina porwała narciarza Wiadomości
Dramat w Tatrach. Lawina porwała narciarza

Ratownicy TOPR przetransportowali poszkodowanego skialpinistę do szpitala w Zakopanem po tym, jak został on częściowo przysypany lawiną w rejonie szlaku na Rysy. Doznał on niegroźnych obrażeń – przekazał naczelnik TOPR Jan Krzysztof.

REKLAMA

Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie

Stworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC) to cel ustawy, która 28 sierpnia br. weszła w życie. Po raz pierwszy, powstaje system z jasnym przydziałem zadań i odpowiedzialności, który umożliwi sprawne działania na rzecz wykrywania, zapobiegania i minimalizowania skutków ataków naruszających cyberbezpieczeństwo RP.
 Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie
/ gov.pl/cyfryzacja

Ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona przez Sejm RP 5 lipca 2018 r., 1 sierpnia podpisał ją Prezydent RP, a następnie została opublikowana w Dzienniku Ustaw RP 13 sierpnia br. (Dz. U. 2018 poz. 1560).

Ustawa oraz towarzyszące jej rozporządzenia wykonawcze w pełni wdrożą do polskiego porządku prawnego tzw. dyrektywę NIS.

Kto wchodzi w skład KSC?

Dzięki ustawie powstanie w Polsce krajowy system cyberbezpieczeństwa. W jego skład wejdą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki. W ustawie mowa jest zatem o: operatorach usług kluczowych (OUK), czyli m.in. największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale; dostawcach usług kluczowych (DUC), czyli m.in. internetowych platformach handlowych; organach właściwych (OW), czyli instytucjach publicznych, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla naszej gospodarki np. dla firm zajmujących się transportem lotniczym organem właściwym jest Minister Infrastruktury; Zespołach Reagowania na Incydenty Bezpieczeństwa Komputerowego utworzone w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON), które będą współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa; sektorowych zespołach cyberbezpieczeństwa, np. taki utworzony przez największe banki w Polsce.

Podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa utworzą spójny system pozwalający na podejmowanie różnorodnych i skutecznych działań zarówno przeciwdziałających zagrożeniom, jak i zapewniających skuteczne reagowanie w przypadku wystąpienia incydentów.

Więcej informacji na temat m.in. podmiotów tworzących KSC, czy o tym jak będzie wyglądała obsługa incydentu, w tym szczegółowe wykresy, znajduje się tutaj.

Wymiana informacji - to serce nowego systemu

Przy Ministrze Cyfryzacji powstanie Pojedynczy Punkt Kontaktowy (PPK), który umożliwi wymianę informacji o poważnych incydentach, które dotknęły co najmniej dwa państwa członkowskie UE. Dzięki temu nasze trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego, a także zespoły sektorowe będą ostrzegane o możliwych zagrożeniach. Ponadto te trzy Zespoły Reagowania będą mogły, poprzez Punkt Kontaktowy, przekazywać innym państwom członkowskim UE ostrzeżenia.

Obowiązki operatorów usług kluczowych

Od momentu otrzymania od organu właściwego decyzji administracyjnej, dany podmiot uznany za operatora usługi kluczowej jest zobowiązany do:

  • Po 3 miesiącach od otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza incydentami, wyznacza osobę kontaktową z właściwym CSIRT i PPK przy MC, prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności;
  • Po 6 miesiącach od otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację;
  • Po 12 miesiącach od otrzymania decyzji: przygotowuje pierwszy audyt w rozumieniu ustawy, przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom.

Jednocześnie przypominamy, że za niewykonanie przez OUK obowiązków wynikających z ustawy , przewidziano zastosowanie kar finansowych (patrz rozdział 14 ustawy).

Najważniejsze daty zapisane w ustawie

Poza ww. datami związanymi z obowiązkami OUK, OW np. Ministerstwo Cyfryzacji, najpóźniej do 9 listopada br. są zobowiązane do zidentyfikowania i wydania decyzji administracyjnej o uznaniu danego podmiotu za operatora usługi kluczowej. Data ta jest także granicznym terminem przekazania przez organy właściwe Ministrowi Cyfryzacji wniosków o wpisanie zidentyfikowanych operatorów do wykazu operatorów usług kluczowych.

Natomiast obowiązkiem Ministra Cyfryzacji jest przekazanie do 9 listopada br. Komisji Europejskiej informacji dotyczących m.in. wykazu usług kluczowych oraz liczby zidentyfikowanych operatorów. Na Ministrze Cyfryzacji spoczywa także obowiązek przygotowania strategii cyberbezpieczeństwa RP. Przyjęcie tej strategii ma nastąpić najpóźniej do 31 października 2019 r.

Prezes Rady Ministrów w terminie do 3 miesięcy od wejścia w życie tej ustawy powoła Pełnomocnika do Spraw Cyberbezpieczeństwa, czyli osobę odpowiedzialną za koordynowanie działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w Polsce.

Rozporządzenia wykonawcze do ustawy

Finalizowane są obecnie prace nad ośmioma rozporządzeniami wykonawczymi, bez których pełne wdrożenie nowego systemu nie jest możliwe.

Obecnie, po etapie konsultacji społecznych, trwają uzgodnienia wewnątrzrządowe nad ostatecznym kształtem zapisów szczegółowych rozporządzeń wykonawczych do ustawy. 

Źródło: gov.pl/cyfryzacja

GT



 

Polecane
Emerytury
Stażowe