MP nr 20 - Cyberbezpieczeństwo

Ministerstwo Cyfryzacji publikuje projekt ustawy o krajowym systemie cyberbezpieczeństwa

31 października 2017 r. na stronie internetowej Ministerstwa Cyfryzacji został opublikowany projekt ustawy o krajowym systemie cyberbezpieczeństwa („Projekt”). Przyjęcie ustawy krajowej regulującej problematykę cyberbezpieczeństwa w każdym państwie członkowskim UE wynika z konieczności wdrożenia dyrektywy Parlamentu Europejskiego i Rady 2016/1148/UE z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.
Głównym celem Projektu jest organizacja krajowego systemu cyberbezpieczeństwa, m.in. poprzez stworzenie centralnego systemu rejestracji informacji o incydentach w sieci komunikacyjnej oraz zapobieganie wystąpieniu takich incydentów. Zakresem podmiotowym Projektu są, przede wszystkim, objęci operatorzy usług kluczowych (działający m.in w sektorze telekomunikacyjnym, energetycznym, transportowym, zdrowotnym oraz bankowości). Jednakże, wybranym obowiązkom określonym w Projekcie (w ramach łagodniejszego reżimu) będą również podlegali dostawcy usług cyfrowych, tacy jak administratorzy internetowych platform handlowych, czy też podmioty świadczące usługi chmurowe.
Operatorzy usług kluczowych mają być zobowiązani m.in. do: (i) organizacji wewnętrznych zasobów ludzkich i organizacyjnych związanych z zapewnieniem krajowego systemu bezpieczeństwa, (ii) zarządzania incydentami, zgłaszania informacji o poważnych incydentach oraz podejmowania odpowiednich działań w celu zapobieżenia tym incydentom oraz (iii) poddawania się co dwa lata audytom bezpieczeństwa. Uchybienie obowiązkom określonym w Projekcie jest zagrożone karą administracyjną od 1000 zł do 100.000 zł (np. w przypadku braku wdrożenia odpowiedniego systemu zarządzania bezpieczeństwem).    
Zgodnie z Projektem, do 2021 r. ma powstać centralny system informatyczny obsługujący krajowe cyberbezpieczeństwo, który będzie zawierał informację o zgłoszonych incydentach. W Projekcie proponuje się rozproszone zarządzanie nad krajowym systemem cyberbezpieczeństwa prowadzone przez tzw. CSIRT (ang. Computer Security Incident Response Team, zespół reagowania na incydenty komputerowe) afiliowane odpowiednio przy Ministerstwie Obrony Narodowej, Naukowej i Akademickiej Sieci Komputerowej oraz Agencji Bezpieczeństwa Wewnętrznego.

Projekt przewiduje, że zostaną wydane dwa bardzo istotne rozporządzenia dotyczące konkretyzacji obowiązków w nim zawartych, tj.: (i) rozporządzenie określające minimalne wymagania techniczne dla środków łączności, kierując się potrzebą zapewnienia bezpieczeństwa środków łączności na odpowiednim poziomie oraz (ii) rozporządzenie określające sposób tworzenia, aktualizacji, oraz zakres informacji zawartych w dokumentacji cyberbezpieczeństwa systemów informatycznych, uwzględniając potrzebę zapewnienia cyberbezpieczeństwa podczas świadczenia usług kluczowych oraz ciągłości świadczenia tych usług.

Link do materiału źródłowego: https://www.gov.pl/cyfryzacja/projekt-ustawy-o-krajowym-systemie-cyberbezpieczenstwa

Autorzy publikacji: Paweł Gruszecki (Partner, Szef Praktyki Nowych Technologii i Telekomunikacji),
dr Marcin Huczkowski (Starszy Prawnik, Praktyka Nowych Technologii i Telekomunikacji).
Nazwa Kancelarii: Kochański Zięba & Partners sp. k.