Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – na czym polega?
Omawiana nowelizacja ustawy to – zgodnie z urzędową nomenklaturą – projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Celem nowelizacji ustawy o cyberbezpieczeństwie jest wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej. Projekt nowelizacji o krajowym systemie bezpieczeństwa skupia się przede wszystkim na: • wytycznych dyrektywy NIS2 (więcej na jej temat przeczytasz w artykule Dyrektywa NIS2. Co zawiera i kogo dotyczą nowe przepisy –wymagania i implementacja • Krajowym Planie Odbudowy i Zwiększania Odporności, • Toolbox 5G (zestaw środków dotyczących rozwiązań w ramach cyberbezpieczeństwa sieci 5G). Głównym zadaniem ustawy jest stworzenie możliwości ochrony obywateli i poszczególnych instytucji przed stale zwiększającymi się zagrożeniami w cyberprzestrzeni.
Kiedy ustawa weszła w życie? Jakie ma wady?
Ustawa o cyberbezpieczeństwie nie jest nowością. Przedstawienie jej projektu nastąpiło już 20 czerwca 2016 r., natomiast weszła ona w życie ponad 2 lata później – 5 lipca 2018 r. Nie była ona wolna od wad. Eksperci zwracali uwagę przede wszystkim na dwie kwestie. • Ustawa nakładała obowiązki zgłaszania określonych incydentów na operatorów infrastruktury krytycznej. Jako że byli oni jednocześnie operatorami usług kluczowych, byli zobowiązani do dwukrotnego zgłaszania tych samych incydentów. • Obawy były również związane z tym, że system do zgłaszania incydentów sam w sobie będzie stanowił zagrożenie. Wynika to z tego, że zawiera on informacje o podatnościach na ataki kluczowych systemów w kraju.
Kiedy nowelizacja ustawy?
Jej wejście w życie, zgodnie z zapewnieniami Ministerstwa Cyfryzacji, jest planowane na III kwartał 2024 roku. Cały czas trwają prace nad projektem. 3 czerwca 2024 roku wicepremier i minister cyfryzacji Krzysztof Gawkowski ogłosił, że na 20 czerwca zostały zaplanowane konsultacje społeczne dotyczące cyberbezpieczeństwa w różnych obszarach.
Co zmieni nowelizacja ustawy o cyberbezpieczeństwie?
Nowelizacja ustawy ma wprowadzić przede wszystkim następujące zmiany: • dotyczące podmiotów kluczowych i ważnych, a także nowych kar administracyjnych za niewykonanie przez te podmioty obowiązków ustawowych, • rozszerzające katalog podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki (ich listę prezentujemy poniżej), • nakładające obowiązki z zakresu środków zarządzania ryzykiem w cyberbezpieczeństwie, które będą zgodne z dyrektywą NIS 2; • dotyczące zespołów CSIRT, które będą wspierać podmioty kluczowe i ważne w obsłudze incydentów, • wprowadzające polecenie zabezpieczające, • związane z nadzorem i środkami egzekwowania przepisów przez uprawnione organy, • rozszerzające kompetencje Ministra Cyfryzacji, • dotyczące obowiązków Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa.
Ustawa o cyberbezpieczeństwie – kogo dotyczy?
Obecnie operatorzy kluczowi są wyznaczani decyzją administracyjną. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma wprowadzić zmianę. Większość podmiotów będzie stawała się ważnymi lub kluczowymi dla cyberbezpieczeństwa na podstawie mechanizmu samoidentyfikacji. To znaczy, że będą one zobowiązane do samodzielnego zarejestrowania się w nowym systemie. Status podmiotu kluczowego lub ważnego organizacja będzie nabywała, jeśli spełni określone wymogi. Wciąż będzie również możliwe zastosowanie trybu szczególnego, w którym dany podmiot zostanie przyporządkowany do danej grupy na podstawie decyzji administracyjnej. Jakie branże będą mogły się ubiegać o status podmiotu kluczowego lub ważnego? To m.in.: • zarządzanie usługami ICT, • ścieki, • gospodarowanie odpadami, • przestrzeń kosmiczna, • badania naukowe, • usługi pocztowe, • wytwarzanie i dystrybucja chemikaliów, • przetwarzanie i dystrybucja żywności.
Cyberbezpieczeństwo z Exea – Security Operations Center (SOC)
Exea pomoże Państwa organizacji sprostać wymogom stawianym przez mającą wejść w życie nowelizację ustawy. Security Operations Center (SOC) zapewni stałe monitorowanie i analizę poziomu bezpieczeństwa organizacji. Zespół analityków i inżynierów zajmuje się monitorowaniem i reagowaniem na zagrożenia cyberbezpieczeństwa w Państwa organizacji. Odbywa się to w sposób ciągły – przez całą dobę, każdego dnia. Exea wykorzystuje zaawansowane technologie, w tym narzędzia SIEM (Security Information and Event Management), aby analizować i reagować na informacje pochodzące z różnych źródeł – dla pełnej ochrony organizacji przed cyberatakami.
