Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie

Dzisiaj weszła w życie ustawa, której celem jest stworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC), poinformowało Ministerstwo Cyfryzacji przypominając jej główne cele i założenia. Ma przede wszystkim umożliwić sprawne działania na rzecz wykrywania, zapobiegania i minimalizowania skutków ataków naruszających cyberbezpieczeństwo RP.

Ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona przez Sejm RP 5 lipca 2018 r., 1 sierpnia podpisał ją Prezydent RP, a następnie została opublikowana w Dzienniku Ustaw RP 13 sierpnia br. (Dz. U. 2018 poz. 1560).

W skład krajowego systemu cyberbezpieczeństwa wejdą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki.

W ustawie mowa jest o:

  • operatorach usług kluczowych - OUK (m.in. największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale);
  • dostawcach usług kluczowych (m.in. internetowe platformy handlowe);
  • organach właściwych - OW (instytucje publiczne nadzorujące istotne sektory gospodarki);
  • Zespołach Reagowania na Incydenty Bezpieczeństwa Komputerowego utworzone w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON), które będą współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa;
  • sektorowych zespołach cyberbezpieczeństwa (np. utworzony przez największe banki w Polsce).

Podmioty wchodzące w skład KSC utworzą spójny system pozwalający na podejmowanie działań przeciwdziałających zagrożeniom i zapewniających skuteczne reagowanie w przypadku wystąpienia incydentów. Przy Ministrze Cyfryzacji powstanie Pojedynczy Punkt Kontaktowy (PPK), który ma umożliwić wymianę informacji o poważnych incydentach, które dotknęły co najmniej dwa państwa członkowskie UE.

Najpóźniej do 9 listopada br. organy właściwe są zobowiązane do zidentyfikowania i wydania decyzji administracyjnej o uznaniu danego podmiotu za operatora usługi kluczowej. Jest to także graniczny termin przekazania przez OW Ministrowi Cyfryzacji wniosków o wpisanie zidentyfikowanych operatorów do wykazu OUK. Natomiast obowiązkiem Ministra Cyfryzacji jest przekazanie do 9 listopada br. Komisji Europejskiej informacji dotyczących m.in. wykazu usług kluczowych oraz liczby zidentyfikowanych operatorów. Na Ministrze Cyfryzacji spoczywa także obowiązek przygotowania strategii cyberbezpieczeństwa RP. Przyjęcie tej strategii ma nastąpić najpóźniej do 31 października 2019 r.

Prezes Rady Ministrów w terminie do 3 miesięcy od wejścia w życie tej ustawy powoła Pełnomocnika do Spraw Cyberbezpieczeństwa, czyli osobę odpowiedzialną za koordynowanie działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w Polsce.

Jak informuje MC, finalizowane są obecnie prace nad ośmioma rozporządzeniami wykonawczymi, bez których pełne wdrożenie nowego systemu nie jest możliwe. Obecnie, po etapie konsultacji społecznych, trwają uzgodnienia wewnątrzrządowe nad ostatecznym kształtem zapisów szczegółowych rozporządzeń wykonawczych do ustawy.