Nowa polityka cyberbezpieczeństwa i nowe obowiązki operatorów

Ministerstwo Cyfryzacji opublikowało projekt ustawy o krajowym systemie cyberbezpieczeństwa. Celem tego aktu jest organizacja centralnego systemu rejestracji informacji o incydentach w sieci komunikacyjnej oraz zapobieganiu im. Przedsiębiorcy telekomunikacyjni z definicji mają należeć do krajowego systemu przeciwdziałania cyberzagrożeniom, a ponadto mogą być zobowiązani do dodatkowych działań, jako tzw. operatorzy usług kluczowych.

Projekt ustawy nie omawia wprost obowiązków przedsiębiorców telekomunikacyjnych, ale referuje do zapisów Prawa telekomunikacyjnego (Art.175a: 1. Przedsiębiorcy telekomunikacyjni są obowiązani niezwłocznie informować Prezesa UKE o naruszeniu bezpieczeństwa lub integralności sieci lub usług, które miało istotny wpływ na funkcjonowanie sieci lub usług, o podjętych działaniach zapobiegawczych i środkach naprawczych oraz podjętych przez przedsiębiorcę działaniach, o których mowa w art. 175 i art. 175c.).

Z uzasadnienia projektu można wnosić, że przedsiębiorcy telekomunikacyjni mieliby podlegać takim samym obowiązkom, co operatorzy usług kluczowych. Do tych zaś będą należeli operatorzy punktów wymiany ruchu IP (IX-ów) oraz serwerów DNS („dostawcy usług DNS”).

Obowiązki te będą polegały m.in. na organizacji wewnętrznych zasobów dedykowanych do działań związanych z krajowym systemem cyberbezpieczeństwa (zaplecze techniczne, osobowe, pomieszczenia itp.). Operatorzy usług kluczowych będą mieli obowiązek zgłaszać informację o poważniejszych incydentach i sposobach podjętych, by im zapobiegać. Co dwa lata będą musieli poddawać sie audytowi bezpieczeństwa. Część obowiązków będzie mogła zostać powierzona zewnętrznym podmiotom na zasadzie outsourcingu.

Uchybienie obowiązkom zagrożone jest karą od 1 000 zł do 100 000 zł.

Do 2021 r. ma powstać centralny system informatyczny obsługujący krajowe cyberbezpieczeństwo. Do tego czasu rejestr incydentów prowadzony będzie za pomocą istniejących narzędzi.

Projekt proponuje rozproszone zarządzanie nad krajowym systemem cyberbezpieczeństwa. Prowadzić go mają tzw. CSIRT (ang. Computer Security Incident Response Team, zespół reagowania na incydenty komputerowe) afiliowane odpowiednio przy Ministerstwie Obrony Narodowej, Naukowej i Akademickiej Sieci Komputerowej oraz Agencji Bezpieczeństwa Wewnętrznego. Funkcje trzech CSIRT są zbliżone, a różni je zakres podmiotów podlegających.

Wydaje, że przedsiębiorcy telekomunikacyjni podlegaliby CSIRT NASK, choć niewykluczone, że z tytułu zarządzania infrastruktura krytyczną także CSIRT MON. Dodatkowo jeszcze ogólny nadzór nad realizacją zadań w dziedzinie cyberbezpieczeństwa przez poszczególnych operatorów usług kluczowych sprawowałyby odpowiednie resorty na poziomie rządowym.

10-letnie nakłady na koszty działania krajowego systemu cyberbezpieczeństwa ustawa szacuje na 210 mln zł.