Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Co w projekcie?

W ustawie z 7 czerwca 2023 roku (kolejnej wersji nowelizacji ustawy o KSC - red.) przyjętej przez rząd pojawiło się kilka kluczowych obszarów, istotnych dla całego rynku cyberbezpieczeństwa.

Co w projekcie?

Jak wskazano w ocenie skutków regulacji, oczekiwanym efektem ma być zmiana modelu współpracy w ramach systemu: sektorowe zespoły cyberbezpieczeństwa i podmioty świadczące usługi z zakresu cyberbezpieczeństwa zostaną zastąpione przez CSIRT-y sektorowe (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego) i SOC-i zewnętrzne (Security Operation Center), powstaną też SOC-i wewnętrzne.

Do systemu KSC zostaną dodani także przedsiębiorcy z sektora komunikacji elektronicznej (jak np. operatorzy telekomunikacyjni – red.); włączone zostaną ISAC-i (jako centra wymiany informacji m.in. o podatnościach i zagrożeniach, ułatwiając tym samym dostęp do takich informacji zainteresowanym podmiotom (obecnie działa już m.in. ISAC Kolej).

Przepisy wzmacniają też pozycję pełnomocnika ds. cyberbezpieczeństwa poprzez dodatkowe uprawnienia w zakresie wydawania ostrzeżeń o incydentach krytycznych wraz z zalecaniem określonych zachowań. Będzie mógł też wydawać rekomendacje, by wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów wchodzących w skład KSC.

Krajowy System Certyfikacji

Kolejne istotne zapisy w nowelizacji to powstanie Krajowego Systemu Certyfikacji Cyberbezpieczeństwa (określone zostaną procedury akredytacji dot. oceny zgodności, procedury wydawania certyfikatów oraz obowiązki wobec podmiotów krajowego systemu certyfikacji cyberbezpieczeństwa), w ramach którego wydawane będą certyfikaty w zakresie cyberbezpieczeństwa. Dodatkowo minister będzie odpowiedzialny za programy (przyjmowane w drodze rozporządzenia Rady Ministrów) na podstawie których będzie można przeprowadzać certyfikacje.

Uwzględniono także procedurę dotyczącą tzw. dostawcy wysokiego ryzyka, względem dostawców sprzętu i oprogramowania, którzy będą mogli zostać poddani procedurze sprawdzenia pod kątem zagrożenia dot. zastosowania w kluczowych podmiotach polskiej gospodarki. Jeśli zostanie ono stwierdzone, będą musiały zostać wycofane - sprzęt lub oprogramowanie - w ciągu 7 lat od wydania decyzji administracyjnej przez ministra właściwego ds. informatyzacji.

Powstanie OSSB

W tej wersji nowelizacji także jest mowa o Operatorze Strategicznej Sieci Bezpieczeństwa i uruchomeniu „bezpiecznej sieci telekomunikacyjej, wykorzystywanej na potrzeby realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego przez kluczowe urzędy i podmioty w Polsce”.

Prezes Rady Ministrów wyznacza OSSB, który będzie świadczył usługi telekomunikacyjne dla wskazanych w ustawie podmiotów (dokładne zapisy w tej kwestii omówimy w kolejnym tekście).

CSIRT dla telekomunikacji i w AW

Kolejną zmianą jest budowa sześciu CSIRT-ów sektorowych, co ma pomóc w skuteczniejszym reagowaniu na incydenty. Mowa jest też wprost o CSIRT Telco, który ma wspierać przedsiębiorców komunikacji elektronicznej w obsłudze incydentów z ich zakresu.

Powstanie również CISRT INT – prowadzony przez Szefa Agencji Wywiadu, będzie przeznaczony dla jednostek podległych ministrowi spraw zagranicznych (lub przez niego nadzorowanych), o czym pisaliśmy jako pierwsi na łamach CyberDefence24 w tym materiale .

Ustawa oznacza m.in. więcej obowiązków dla ISAC, dostawców sprzętu lub oprogramowania czy przedsiębiorców telekomunikacyjnych. Zmiany obejmą również operatorów usług kluczowych, którzy między innymi będą zobowiązani wyznaczyć dwie osoby do kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa (a nie jedną, jak do tej pory); zgłoszenia poważnych incydentów będą przekazywane do zespołu CSIRT sektorowego za pomocą systemu S46 (będą zobowiązani do korzystania z niego od 1 stycznia 2024 roku).

Będą oni musieli regularnie przeprowadzać aktualizacje oprogramowania, zgodnie z zaleceniami producenta (z uwzględnieniem analizy wpływu aktualizacji na bezpieczeństwo usługi kluczowej i poziomu krytyczności poszczególnych aktualizacji).

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].