Ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona przez Sejm RP 5 lipca 2018 r., 1 sierpnia podpisał ją Prezydent RP, a następnie została opublikowana w Dzienniku Ustaw RP 13 sierpnia br. (Dz. U. 2018 poz. 1560).
Dzięki ustawie powstanie w Polsce krajowy system cyberbezpieczeństwa. W jego skład wejdą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki. W ustawie mowa jest zatem o:
- operatorach usług kluczowych (OUK), czyli m.in. największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale;
- dostawcach usług kluczowych (DUC), czyli m.in. internetowych platformach handlowych;
- organach właściwych (OW), czyli instytucjach publicznych, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla naszej gospodarki np. dla firm zajmujących się transportem lotniczym organem właściwym jest Minister Infrastruktury;
- Zespołach Reagowania na Incydenty Bezpieczeństwa Komputerowego utworzone w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON), które będą współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa; sektorowych zespołach cyberbezpieczeństwa, np. taki utworzony przez największe banki w Polsce.
Przy Ministrze Cyfryzacji powstanie Pojedynczy Punkt Kontaktowy (PPK), który umożliwi wymianę informacji o poważnych incydentach, które dotknęły co najmniej dwa państwa członkowskie UE.
Obowiązki operatorów usług kluczowych
Od momentu otrzymania od organu właściwego decyzji administracyjnej, dany podmiot uznany za operatora usługi kluczowej jest zobowiązany do:
- Po 3 miesiącach od otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza incydentami, wyznacza osobę kontaktową z właściwym CSIRT i PPK przy MC, prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności;
- Po 6 miesiącach od otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację;
- Po 12 miesiącach od otrzymania decyzji: przygotowuje pierwszy audyt w rozumieniu ustawy, przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom.
Jednocześnie przypominamy, że za niewykonanie przez OUK obowiązków wynikających z ustawy , przewidziano zastosowanie kar finansowych (patrz rozdział 14 ustawy).
Ministerstwo Cyfryzacji,najpóźniej do 9 listopada br. są zobowiązane do zidentyfikowania i wydania decyzji administracyjnej o uznaniu danego podmiotu za operatora usługi kluczowej.
