Kancelaria Prezesa Rady Ministrów opublikowała kolejną wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Zmian nie jest dużo. Zdają się świadczyć o ciągłym ucierania stanowisk między krajowymi organami rządowymi.
Zwraca przede wszystkim uwagę, że w nowej wersji projektu do listy podmiotów, które nie mają obowiązku korzystać z usług Operatora Strategicznej Sieci Bezpieczeństwa (OSSB) dopisane zostały:
- Agencja Bezpieczeństwa Wewnętrznego,
- Agencja Wywiadu,
- Centralne Biuro Antykorupcyjne,
- Siły Zbrojne Rzeczypospolitej Polskiej,
- jednostki podległe lub nadzorowane przez Ministra Obrony Narodowej.
Wcześniej na tej liście były: Służba Kontrwywiadu Wojskowego i Służba Wywiadu Wojskowego.
Wzmocniono także ochronę przed niezasadnie wysokimi kosztami usług nowego monopolisty w sektorze publicznym poprzez dodanie (cokolwiek ogólnego sformułowania), że ceny jego usług muszą wynikać z podstawy kosztowej oraz „rozsądnej” marży. Prezes UKE ma prawo weryfikacji cen OSSB, a – zgodnie z nowymi zapisami KSC – musi dokonać analizy w ciągu siedmiu dni (a nie 30) w przypadku usług związanych „z ochroną życia lub zdrowia lub w sytuacji obowiązywania stanów nadzwyczajnych lub zapobieżenia skutkom katastrof naturalnych lub awarii technicznych noszących znamiona klęski żywiołowej” (w przypadku pozostałych usług nadal obowiązuje 30 dni na analizę UKE). OSSB może za to prowadzić działalność badawczo-rozwojową.
Zlikwidowany został natomiast w nowej wersji KSC zapis o tym, że kary na osoby fizyczne i prawne z tytułu uchybienia obowiązkom, jakie nakłada KSC, zasilają Fundusz Cyberbezpieczeństwa.
Prezes Urzędu Komunikacji Elektronicznej (zamiast ministra ds. cyfryzacji, jak dotychczas) powołuje CSIRT Telco oraz może nakładać kary na jego kierownika.
Ministerstwo Obrony Narodowej zyskało więcej uprawnień w związku z działaniami poszczególnych CSIRT w wypadku zagrożenia stanem wojny.
Dla operatorów usług kluczowych może być ważne, że infrastruktura security operations centers (SOC) musi być zlokalizowana na terenie RP. Mowa jest o tym przede wszystkim w kontekście możliwości organizacji SOC przez podmiot zewnętrzny w stosunku do jednostki zobowiązanej. Personel odpowiedzialny za obsługę SOC musi dysponować krajowym poświadczenie bezpieczeństwa osobowego do klauzuli „poufne”.
Być może w duchu Prawa komunikacji elektronicznej, w kilku miejscach nowej wersji projektu KSC sformułowanie „przedsiębiorcy telekomunikacyjni” zostało zastąpione frazą „przedsiębiorcy komunikacji elektronicznej”. Jednocześnie podmioty świadczące usługi „komunikacji interpersonalnej niewykorzystującą numerów” mają obowiązek w ciągu sześciu miesięcy dostosować się do wymogów opisanych w art. 20a czyli do ogółu obowiązków związanych z ubezpieczeniem platformy komunikacyjnej na wypadek incydentu telekomunikacyjnego.
Opublikowany pod datą 17 stycznia br. wersja jest już dziewiątą z kolei.