Rada Ministrów przyjęła projekt ustawy o krajowym systemie cyberbezpieczeństwa, przedłożony przez ministra cyfryzacji.
Ma on umożliwić zbudowanie krajowego systemu cyberbezpieczeństwa, który zapewni niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych – przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług. Podjęte działania mają spowodować, że Polska w sposób bardziej skoordynowany będzie przeciwdziałać zagrożeniom płynącym z cyberprzestrzeni.
W projekcie ustawy określono organizację krajowego systemu cyberbezpieczeństwa (zadania i obowiązki podmiotów do niego wchodzących), sposób sprawowania nadzoru i kontroli przestrzegania przepisów ustawy oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.
Krajowy system cyberbezpieczeństwa będzie obejmował operatorów usług kluczowych (m.in. z sektorów: energetycznego, transportowego, bankowości i infrastruktury rynków finansowych, zaopatrzenia w wodę, zdrowotnego), dostawców usług cyfrowych, zespoły CSIRT poziomu krajowego (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa (odpowiedzialne za nadzór nad operatorami usług kluczowych) oraz Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (służący komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie).
Projekt zawiera zasady wskazywania operatorów usług kluczowych i określa ich obowiązki. Dotyczą one wdrożenia systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, stosowanie skutecznych zabezpieczeń systemów informacyjnych, procedur i mechanizmów zgłaszania oraz postępowania z incydentami czy organizacji struktur na poziomie operatora. Operator usługi kluczowej ma również zapewnić przeprowadzenie co najmniej raz na dwa lata audytu bezpieczeństwa systemów informacyjnych, wykorzystywanych do świadczenia usługi kluczowej. Na poziomie operatorów usług kluczowych powołane zostaną również osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
Do krajowego systemu cyberbezpieczeństwa wejdą podmioty publiczne. Podmiot publiczny będzie zobowiązany do obsługi incydentu (pozostawiono mu jednak swobodę wyboru sposobu realizacji tego obowiązku). Rozwiązanie to uwzględnia istniejące, ale też ciągle rozbudowywane wewnętrzne struktury, odpowiedzialne za cyberbezpieczeństwo w poszczególnych resortach.
Wymaganiami z zakresu cyberbezpieczeństwa zostaną objęci również dostawcy usług cyfrowych (chodzi o internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe). Ze względu na transgraniczny charakter tych usług i międzynarodową specyfikę podmiotów – obowiązki dla dostawców usług cyfrowych zostaną objęte łagodniejszym reżimem regulacyjnym.
Jedną z najistotniejszych zmian zawartych w projekcie ustawy jest określenie systemu reagowania na incydenty i włączenie w ten proces wszystkich zainteresowanych podmiotów. Po pierwsze – ustawa określa zadania CSIRT, które będą odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów. Po drugie – ustawa przewiduje włączenie aspektów cyberbezpieczeństwa do sfery zarządzania państwem. CSIRT będą się wzajemnie informować oraz informować Rządowe Centrum Bezpieczeństwa o incydencie krytycznym, który może spowodować wystąpienie sytuacji kryzysowej dla bezpieczeństwa lub porządku publicznego.
Przyjęto, że minister właściwy ds. informatyzacji będzie m.in. monitorował wdrażanie Strategii Cyberbezpieczeństwa oraz prowadził wykaz operatorów usług kluczowych i politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa. Ma też realizować obowiązki sprawozdawcze wobec instytucji unijnych. W przyszłości jego zadaniem będzie rozwój systemu teleinformatycznego umożliwiającego zgłaszanie i obsługę incydentów, szacowanie ryzyka i ostrzeganie o zagrożeniach cyberbezpieczeństwa. Minister ma też prowadzić Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa. Punkt zapewni m.in. odbieranie i przekazywanie zgłoszeń incydentów poważnych oraz istotnych z innych krajów członkowskich UE, a także współpracę z Komisją Europejską.
Jednocześnie założono powołanie pełnomocnika rządu ds. cyberbezpieczeństwa (będzie powoływany i odwoływany przez premiera, ma podlegać Radzie Ministrów) oraz Kolegium ds. cyberbezpieczeństwa (przewodniczącym ma być premier).
Nowe przepisy mają obowiązywać po 14 dniach od daty ich ogłoszenia w Dzienniku Ustaw (do 9 listopada 2018 r. zostaną wydane decyzje administracyjne o uznaniu za operatora usługi kluczowej).