W Sejmie ruszyły prace nad projektem ustawy o krajowym systemie cyberbezpieczeństwa. Powołana w czerwcu sejmowa podkomisja nadzwyczajna do rozpatrzenia rządowego projektu ustawy o krajowym systemie cyberbezpieczeństwa przyjęła do niego poprawki i skierowała go do komisji.
Jego celem jest organizacja oraz określenie sposobu funkcjonowania krajowego systemu cyberbezpieczeństwa. W projekcie wskazano sektory gospodarki narodowej, których będą dotyczyły przepisy oraz określono, kim są dostawcy usług cyfrowych i operatorzy usług kluczowych.
To, jakie przedsiębiorstwa i w jakich branżach zostaną operatorami usług kluczowych czy usług cyfrowych, określi rozporządzenie Ministra Cyfryzacji, które obecnie jest w konsultacjach publicznych. Według szacunków resortu, decyzją administracyjną zostanie wyznaczonych około 335 operatorów. Będą oni musieli systematycznie szacować ryzyka wystąpienie incydentu, który może mieć wpływ na cyberbezpieczeństwo. Ich zadaniem będzie też zbieranie informacji o zagrożeniach cyberbezpieczeństwa oraz stosowanie środków im zapobiegających.
Taki operator w ciągu 24 godzin od momentu wykrycia i skwalifikowania incydentu będzie go musiał zgłosić do właściwego CSIRT (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), tj. CSIRT MON, CSIRT NASK lub CSIRT GOV, które będą odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów.
Operatorzy usług kluczowych będą zobowiązani m.in. raz na dwa lata ponieść koszty audytu. Szacuje się, że koszt jednostkowy takiej kontroli wyniesie 50 tys. zł. Projekt zakłada, że audyt po raz pierwszy ma być przeprowadzony w 2019 r., a następnie, co 2 lata. Za niedopełnienie swoich obowiązków zarówno operatorzy usług kluczowych, jak i dostawcy usług cyfrowych poniosą kary finansowe.