Krajowy system cyberbezpieczeństwa. Co to jest? Jak działa?

Celem narodowego systemu bezpieczeństwa cybernetycznego jest zagwarantowanie bezpieczeństwa cybernetycznego na poziomie krajowym. Ma się to odbywać poprzez zapewnienie niezakłóconego dostarczania usług kluczowych i usług cyfrowych. Ponadto ważne jest osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych, które są wykorzystywane do świadczenia tych usług.

  • Anna Petynia-Kawa
  • /
  • 16 czerwca 2023

Ustawa o krajowym systemie cyberbezpieczeństwa 

W dniu 1 sierpnia 2018 roku Prezydent Rzeczypospolitej Polskiej zatwierdził ustawę dotyczącą narodowego systemu cyberbezpieczeństwa. Wdraża ona w polskim systemie prawnym dyrektywę Parlamentu Europejskiego i Rady Unii Europejskiej dotyczącą środków mających na celu zapewnienie wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na obszarze Unii Europejskiej. Znana jest jako Dyrektywa NIS (2016/1148). 

Gdzie zgłosić cyberatak?Gdzie zgłosić cyberatak?Anna Petynia-Kawa

Ustawa została opublikowana w Dzienniku Ustaw Rzeczypospolitej Polskiej dnia 13 sierpnia tego samego roku i wejdzie w życie po upływie 14 dni od daty ogłoszenia, czyli od 28 sierpnia tego roku. Pełne wdrożenie Dyrektywy NIS wymaga również przyjęcia dwóch rozporządzeń przez Radę Ministrów, dotyczących:

  • uznania incydentów za poważne, 
  • wykazu usług kluczowych oraz progów istotności, które mają wpływ na zakłócenie świadczenia usług kluczowych. 

Obecnie zakończono etap konsultacji społecznych, uzgodnień i opinii dotyczących tych rozporządzeń, a obecnie trwają konsultacje wewnętrzne w ramach rządu.

Kogo obejmuje budowany system? 

Tworzony system obejmuje:

  • operatorów kluczowych usług (w tym z sektorów energetycznego, transportowego, zdrowotnego i bankowości), 
  • dostawców usług cyfrowych, 
  • zespoły krajowego reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), 
  • sektorowe zespoły zajmujące się cyberbezpieczeństwem, 
  • podmioty świadczące usługi z zakresu cyberbezpieczeństwa, 
  • organy odpowiedzialne za cyberbezpieczeństwo 
  • punkt kontaktowy do współpracy w dziedzinie cyberbezpieczeństwa w Unii Europejskiej. 

Operatorzy kluczowych usług są zobowiązani do wprowadzenia skutecznych środków ochrony, oceny ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach i współpracy z krajowym zespołem CSIRT. Wymienione podmioty muszą również wyznaczyć osobę odpowiedzialną za cyberbezpieczeństwo usług, obsługę i zgłaszanie incydentów oraz udostępnianie wiedzy na temat cyberbezpieczeństwa. Do krajowego systemu cyberbezpieczeństwa zostaną również włączone organy administracji publicznej oraz przedsiębiorcy telekomunikacyjni, zgodnie z istniejącymi przepisami w tym zakresie.

6(15) 2023 SECURITY MAGAZINE6(15) 2023 SECURITY MAGAZINEMonika Świetlińska

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Dostawcy usług cyfrowych, takie jak platformy handlowe, usługi w chmurze i wyszukiwarki internetowe, również podlegają wymaganiom dotyczącym cyberbezpieczeństwa. Ze względu na międzynarodowy charakter tych podmiotów, obowiązki dla dostawców usług cyfrowych są zharmonizowane na poziomie Unii Europejskiej, zgodnie z regulacjami określonymi w decyzji wykonawczej Komisji Europejskiej, do której odwołuje się ustawa.

Jakie obowiązki nakłada krajowy system cyberbezpieczeństwa? 

Dostawcy usług cyfrowych na podstawie ustawy o krajowym systemie cyberbezpieczństwa są zobowiązani do wykonywania czynności, które mają na celu wykrywanie, rejestrację, analizę i klasyfikację incydentów zagrażających bezpieczeństwu. W odpowiednim zakresie zapewnia dostęp do informacji dotyczących istotnych incydentów dla właściwego zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). 

Ponadto dostawca usług cyfrowych obowiązek klasyfikowania incydentu jako istotnego. Natychmiast powinien zgłosić istotny incydent, nie później jednak niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT. 

Cyberataki na firmy ze strony Rosji? Oto, co powinni zrobić przedsiębiorcyCyberataki na firmy ze strony Rosji? Oto, co powinni zrobić przedsiębiorcyMichał Górecki

Współpraca z właściwym CSIRT w obsłudze istotnych i krytycznych incydentów ma polegać na udostępnianiu niezbędnych danych oraz finalnym wyeliminowaniem podatności. Przekazuje informacje dotyczące incydentu, który ma wpływ na ciągłość świadczenia usługi kluczowej, operatorowi usługi kluczowej, który korzysta z usługi cyfrowej dostarczanej przez dostawcę.

Dostawca usługi cyfrowej w celu klasyfikacji incydentu jako istotnego bierze pod uwagę szczególnie:

  • liczbę użytkowników dotkniętych incydentem, zwłaszcza tych zależnych od usługi w celu świadczenia swoich własnych usług,
  • czas trwania incydentu,
  • geograficzny zasięg obszaru, na którym występuje incydent,
  • stopień zakłócenia funkcjonowania usługi,
  • wpływ incydentu na działalność gospodarczą i społeczną.

Incydent istotny to taki, który znacząco wpływa na świadczenie usługi cyfrowej. Działanie krajowego systemu cyberbezpieczeństwa ma usprawnić komunikowanie społeczeństwu ewentualnych zagrożeń, które pojawiają się podczas korzystania z dobrodziejstw Internetu.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!