Kluczowe punkty w nowelizacji KSC: operator strategiczny, spółka Polskie 5G, Fundusz Cyberbezpieczeństwa

14 października 2021, 08:07
documents
fot. Scott Graham/ Unsplash/ Domena publiczna

Długo wyczekiwana przez rynek nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa w końcu się pojawiła – najpierw trafiła do Komitetu Rady Ministrów ds. Bezpieczeństwa Narodowego i spraw Obronnych, a dalej czeka ją Komitet Stały RM. Najważniejsze zmiany w projekcie to powołanie spółki Polskie 5G przez wyznaczonego operatora strategicznego wspólnie z PFR. Spółka z kolei będzie operatorem 5G na częstotliwościach 703-733 MHz oraz 758-788 MHz. To także zwiększenie kompetencji pełnomocnika ds. cyberbezpieczeństwa, a Fundusz Cyberbezpieczeństwa oznacza m.in. większe finansowanie na system i ludzi zajmujących się cyberzagrożeniami. 

Jako pierwsi informowaliśmy, że projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa ujrzy światło dzienne. Janusz Cieszyński, sekretarz stanu i pełnomocnik ds. cyberbezpieczeństwa podczas konferencji Cyber24 Day ogłosił: „Mogę powiedzieć, że dzisiaj najbardziej aktualna wersja zostanie przekazana pod obrady Komitetu Rady Ministrów ds. Bezpieczeństwa Narodowego i spraw Obronnych i dalej do Komitetu Stałego Rady Ministrów. Obiecaliśmy, że projekt ustawy w ciągu kilku tygodni się pojawi – od 4 do 9 tygodni - i w tym czasie się zmieściliśmy” – podkreślił.

W środę – zgodnie z zapowiedziami – pojawił się projekt o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, który przede wszystkim obejmuje: przepisy dotyczące zasad wyznaczenia i zadania tzw. operatora strategicznej sieci bezpieczeństwa; zasady powoływania i funkcjonowania spółki Polskie 5G; działania Funduszu Cyberbezpieczeństwa; przyznania zasobów częstotliwości z zakresu 703-733 MHz oraz 758-788 MHz, a także zapisy dotyczące działania Funduszu celowego na rzecz strategicznej sieci bezpieczeństwa.

Co w projekcie?

W rozmowie z nami Janusz Cieszyński zapowiadał, że – z jego punktu widzenia – najważniejszą zmianą w nowelizacji jest utworzenie Funduszu Cyberbezpieczeństwa. Przypomnijmy, że oznacza to około 0,5 mld finansowania na rzecz cyberbezpieczeństwa, a dokładnie – na inwestycje w sprzęt, infrastrukturę i ludzi. Ci ostatni mają mieć zapewnione tzw. świadczenie teleinformatyczne, które będzie dodatkiem do wynagrodzenia lub uposażenia, finansowanym m.in. z wpływów z kar za nieprzestrzeganie przepisów ustawy, Funduszu Szerokopasmowego, budżetu państwa oraz ewentualnie - środków z NASK – PIB.

Będzie ono przysługiwało osobom, które odpowiadają za zadania w CSIRT poziomu krajowego, CSIRT INT, CSIRT sektorowych, w organach właściwych do spraw cyberbezpieczeństwa, pełnomocnika ds. cyberbezpieczeństwa, a także w jednostkach, które zajmują się wykrywaniem cyberprzestępców i pracują w: CBA, KPRM, Policji, Prokuraturze, SKW, SWW, Straży Granicznej. Wynagrodzenie będzie mogło wynosić maksymalnie do dwudziestojednokrotności kwoty bazowej dla członków korpusu służby cywilnej, ustalanej w ustawie budżetowej.

Procedura uznania dostawcy wysokiego ryzyka

Największe emocje wzbudzały jednak przepisy, dotyczące dostawcy wysokiego ryzyka. Media donosiły m.in., że w imię dobrych relacji z chińskim rządem prezydent Andrzej Duda mógłby zawetować nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, ponieważ kontrowersyjną pozostaje właśnie ta kwestia, która - prawdopodobnie - objęłaby m.in. firmę Huawei.

Co przewiduje nowelizacja? Wprowadzenie postępowania w sprawie uznania dostawcy sprzętu lub oprogramowania dla podmiotów KSC za dostawcę wysokiego ryzyka. Będzie prowadził je minister właściwy ds. informatyzacji, ma być oparte o „transparentne procedury określone w Kodeksie postępowania administracyjnego”, a każdorazowo o opinię ma pytać Kolegium Cyberbezpieczeństwa, które ma brać pod uwagę aspekty techniczne, ale i takie, które „mają wpływ na bezpieczeństwo narodowe”. Postępowanie będzie kończyło się decyzją administracyjną, która będzie podlegała zaskarżeniu do sądu administracyjnego.

Na wycofanie sprzętu lub oprogramowania dostawca wysokiego ryzyka będzie miał 7 lat od wydania decyzji administracyjnej; z kolei duzi przedsiębiorcy telko – 5 lat (jeżeli znajdują się w zakresie funkcji krytycznych). Co podkreślono, wycofać trzeba będzie tylko produkty, usługi i procesy, które będą konkretnie wskazane przez ministra ds. informatyzacji (a więc nie wszystkie).

Operator strategicznej sieci bezpieczeństwa

Inną, kluczową kwestią są przepisy dotyczące operatora strategicznej sieci bezpieczeństwa, który ma realizować zadania w ramach tworzenia sieci na rzecz „obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego w aspekcie telekomunikacyjnym”. OSSB wskazany zostanie w zarządzeniu premiera, a podmiot ten musi spełniać warunki jako: jednoosobowa spółka Skarbu Państwa; przedsiębiorstwo telekomunikacyjne; posiadać infrastrukturę telekomunikacyjną niezbędną do zapewnienia realizacji zadań; środki techniczne i organizacyjne zapewniające bezpieczne przetwarzanie danych w sieci telko; posiadać świadectwo bezpieczeństwa przemysłowego. Jako "naturalny kandydat" wskazywany jest tutaj Exatel. 

OSSB będzie mógł także świadczyć swoje usługi telekomunikacyjne w oparciu o zasoby częstotliwości użytkowane jako rządowe w zakresie rządowym lub cywilno-rządowym. Pierwsze z nich będzie koordynowane przez Ministra Obrony Narodowej, ale w zakresie częstotliwości 703-713 MHz oraz 758-768 MHz koordynacja będzie powierzona prezesowi Urzędu Komunikacji Elektronicznej. Ma to być konieczne ze względu na możliwość współużytkowania tych częstotliwości z cywilnymi - z zakresu 713-733 MHz oraz 768-788 MHz.

OSSB będzie świadczył usługi telekomunikacyjne najważniejszym podmiotom z punktu widzenia bezpieczeństwa państwa, takim jak: Kancelaria Prezydenta RP, Kancelaria Sejmu, Senatu, Prezesa Rady Ministrów, Biuro Bezpieczeństwa Narodowego, urzędom obsługującym organy administracji rządowej, organom jednostek samorządu terytorialnego itd. Może być też zobowiązany do świadczenia usług właścicielom i posiadaczom obiektów, instalacji lub urządzeń infrastruktury krytycznej, a także przedsiębiorcom o szczególnym znaczeniu gospodarczo-obronnym.

Spółka Polskie 5G

To nie jedyne zadania operatora strategicznej sieci bezpieczeństwa – będzie on zobowiązany do utworzenia spółki kapitałowej wraz z Polskim Funduszem Rozwoju, która będzie pełniła funkcje operatora ogólnopolskiej hurtowej sieci, na częstotliwościach z zakresu 703-733 MHz oraz 758-788 MHz.

Spółka Polskie 5G będzie posiadała kapitał zakładowy rzędu 1 mln zł, zarząd i radę nadzorczą, powoływaną na 3 lata. Jej zadaniem będzie oferowanie usług telekomunikacyjnych na warunkach hurtowych, na rzecz OSSB w celu realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego oraz zapewnienie pokrycia całego terytorium kraju zasięgiem sieci hurtowej. Udziały w spółce Polskie 5G będą należały do OSSB (26 proc.), PFR (26 proc.); a 48 proc. do firm telekomunikacyjnych lub konsorcjum tych firm. 

Natomiast prezes UKE będzie zobowiązany do przydzielenia - w drodze decyzji administracyjnej - OSSB określonego zakresu częstotliwości, przeznaczonego do użytkowania rządowego (spółka Polskie 5G będzie operatorem 5G na częstotliwościach 703-733 MHz oraz 758-788 MHz).

Przepisy dają też Prezesowi UKE uprawnienie do określenia bardziej szczegółowych zasad użytkowania częstotliwości z zakresu 713-733 MHz, 768-788 MHz, 703-713 MHz oraz 758- 768 MHz.

Operator strategiczny ma być wyznaczony w ciągu 30 dni od wejścia w życie ustawy przez prezesa Rady Ministrów, a w ciągu 60 dni od jego wyznaczenia - ma zostać powołana spółka Polskie 5G.

Większe uprawnienia

W rozmowie z portalem CyberDefence24.pl Janusz Cieszyński, sekretarz stanu i pełnomocnik ds. cyberbezpieczeństwa podkreślał, że z jego punktu widzenia pozytywną zmianą będzie zwiększenie jego kompetencji. Przykładowo, pełnomocnik będzie mógł wydać ostrzeżenie – na wzór czeski - które wskaże na ryzyko występowania incydentu krytycznego i zalecić określone działania.

Natomiast minister właściwy ds. informatyzacji będzie mógł wydać w formie decyzji administracyjnej polecenie zabezpieczające w przypadku wystąpienia incydentu krytycznego. Minister będzie mógł również przeprowadzić kontrolę w kwestii przestrzegania przepisów projektowanej ustawy w zakresie certyfikacji cyberbezpieczeństwa.

Dodatkowo, podmioty krajowego systemu certyfikacji cyberbezpieczeństwa będę musiały przekazywać ministrowi wyjaśnienia w kwestiach związanych z funkcjonowaniem krajowego systemu certyfikacji cyberbezpieczeństwa. Przekaże także zalecenia, a podmiot, którego będą dotyczyły będzie musiał – w wyznaczonym terminie – poinformować, jak się do nich dostosował. Ponadto, minister ds. informatyzacji będzie rozpatrywał skargi, które umożliwią wszczęcie postępowań kontrolnych, jeśli pojawi się podejrzenie, że produkt dla którego wystawiono deklarację zgodności nie spełnia wymagań określonych w programie certyfikacji.

Nowelizacja przewiduje także dwa nowe środki: ostrzeżenie lub polecenie zabezpieczające, które będą mogły być stosowane w przypadku ryzyka wystąpienia (ostrzeżenie) lub po zaistnieniu incydentu krytycznego (polecenie zabezpieczające).

Zmiany dotyczące CSIRT-ów

W nowelizacji ustawy o KSC czytamy również, że dla podniesienia skuteczności reagowania na incydenty konieczne jest utworzenie CSIRT sektorowych dla każdego z kluczowych sektorów gospodarki, co ma usprawnić radzenie sobie z incydentami i komunikację.

CSIRT sektorowy (zamiast dotychczasowego sektorowego zespołu cyberbezpieczeństwa) będzie nie fakultatywny, a obowiązkowy; będzie odpowiadał za przyjmowanie zgłoszeń o incydentach w sektorze oraz reagowanie na zgłoszenia. Do tej pory wspierał jedynie operatorów usługi kluczowej w reagowaniu na incydenty, a po zmianach ma „dokonywać dynamicznej analizy ryzyka i incydentów” i gromadzić informacje o cyberzagrożeniach.

Reakcję na incydent krytyczny ma ułatwić zespół ekspercki: CSIRT MON, CSIRT NASK, Szefa Agencji Bezpieczeństwa Wewnętrznego  - realizującego zadania w ramach CSIRT GOV oraz Rządowego Centrum Bezpieczeństwa, Pełnomocnik oraz minister właściwy ds. informatyzacji.

Zgodnie z nowymi zmianami, operator usługi kluczowej będzie zgłaszał - za pomocą systemu teleinformatycznego - incydenty poważne do CSIRT sektorowego, który ma następnie niezwłocznie przekazać je do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV. „W ten sposób zostanie ograniczony ustawowy obowiązek zgłaszania incydentów poważnych do jednego podmiotu, jednocześnie wzmacniając rolę CSIRT sektorowych” – wskazano.

Nowością będzie powołanie CSIRT INT, który będzie prowadzony przez szefa Agencji Wywiadu. Ma odpowiadać za zapewnienie wsparcia placówkom dyplomatycznym i konsularnym w zakresie cyberbezpieczeństwa. Będzie wspierał je w obsłudze incydentów oraz przesyłał informacje o potencjalnych podatnościach i cyberzagrożeniach.

Z kolei ISAC (centrum wymiany i analiz informacji) będą tworzone jako oddolne i dobrowolne inicjatywy sektorowe i mają być jednostkami wspierającymi podmioty krajowego systemu cyberbezpieczeństwa. Ich zadaniem będzie analiza informacji o cyberzagrożeniach i podatnościach oraz wymiana informacji o stosowanych praktykach.

Do krajowego systemu cyberbezpieczeństwa wprowadzono także pojęcie operacyjnych centrów bezpieczeństwa – SOC. Operatorzy usług kluczowych będą dysponowały strukturami SOC wewnątrz organizacji lub zawierali umowę z zewnętrznym podmiotem świadczącym usługi m.in. szacowania ryzyka, wykrywania oraz reagowania na incydenty. Dotychczasowe wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo oraz podmioty zewnętrze, świadczące usługi cyberbezpieczeństwa dla operatorów usług kluczowych, staną się automatycznie SOC.

Jak zaznaczono w uzasadnieniu do ustawy - tworzenie nowych struktur w ramach krajowego systemu cyberbezpieczeństwa m.in. sektorowych CSIRT – „będzie wymagało dodatkowych nakładów finansowych, należy jednak podkreślić, że jest to inwestycja w bezpieczeństwo państwa. Incydenty bezpieczeństwa komputerowego są coraz częstsze i bardziej zaawansowane”.

Podmioty krajowego systemu cyberbezpieczeństwa przy obsłudze incydentu będą mogły analizować ruch sieciowy oraz czasowo go ograniczyć z adresów IP lub adresów URL, zidentyfikowanego jako przyczyna incydentu.

„W przypadku wielu cyberataków takie działania są niezbędne w celu ochrony systemu, a równocześnie mogą one naruszyć okresowo prawa określonych użytkowników. Z powyższych względów konieczne jest wskazanie wprost, że takie działania są dopuszczalne wyłącznie na wyraźnej podstawie prawnej” – wskazano w projekcie.

Certyfikacja produktów i usług

Osobną kwestą jest także krajowy organ ds. certyfikacji cyberbezpieczeństwa oraz krajowy system certyfikacji cyberbezpieczeństwa, co ma służyć podniesieniu poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty.

Zmiany legislacyjne mają zapewnić warunki do utworzenia krajowego systemu certyfikacji cyberbezpieczeństwa, który „zapewni wszystkim zainteresowanym podmiotom dostęp do możliwości testowania, badania produktów ICT, usług i procesów, otrzymywania certyfikatów cyberbezpieczeństwa opartych na europejskich programach, a także powszechnie uznawanych na obszarze Unii Europejskiej. Certyfikacja ma odbywać się na zasadach rynkowych, a klienci będą mogli swobodnie wybierać spośród podmiotów działających na rynku.

Ustawa miałaby wejść w życie po upływie 30 dni od dnia ogłoszenia.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy,o których trzeba  napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@cyberdefence24.pl. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.

image
Fot. Reklama

KomentarzeLiczba komentarzy: 0
Brak wyników.
Tweets CyberDefence24