Kolejna nowelizacja ustawy KSC zmniejsza wymogi dla podmiotów publicznych

W moim przekonaniu ustawa może inicjować różne pozytywne działania, więc także stwarzać zachęty do budowy ISAC. W obecnym projekcie nowelizacji dostrzegam poważne ryzyko, że znowu możemy stracić szansę budowy sieci sektorowych CSIRT-ów. Jeżeli wprowadzono zapisy pozwalające konsolidować CSIRT sektorowe, to sądzę, że będziemy obserwować to zjawisko. Jedne CSIRT-y będą konsolidowane na poziomie sektorów i obsługiwać kilka na raz, a rolę innych będzie przejmować CSIRT krajowy. Jest to oczywiście działanie bez sensu z punktu widzenia efektywności i budowy sieciowego charakteru CSIRT-ów, ale niestety mam obawę, że ktoś wykorzysta taką furtkę. Znam poprzedni projekt, konsultowałem go, powinienem znać ten tekst… Tymczasem mamy do czynienia z bardzo trudną, często niezbyt schludnie zapisaną treścią.

Naszym zamiarem jest przeprowadzenie implementacji jak najszybciej. Myślę jednak, że finał, w postaci podpisu Prezydenta RP przed 17 października jest dziś założeniem optymistycznym. Chcielibyśmy, aby do tego czasu nowelizacja przynajmniej opuściła poziom rządowy.

Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono więc jako podstawy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie – np. Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Pozostałe zmiany wprowadzone w czwartej wersji projektu nowelizacji mają charakter bardziej kosmetyczny i nie wpływają w znaczący sposób na prawa lub obowiązki podmiotów kluczowych i ważnych.

W opiniowaniu w sprawach z zakresu uznania za HRV uczestniczy także Kolegium – musi zostać poproszone o opinię przez ministra właściwego ds. Termin na jej sporządzenie wynosi 3 miesiące od dnia, kiedy minister o nią wystąpi. CSIRT sektorowe otrzymały także ustawowe upoważnienie do prowadzenia audytu bezpieczeństwa systemu informacyjnego w podmiotach kluczowych lub ważnych.

• Rozmiar organizacji czy potencjalne ryzyko dla bezpieczeństwa narodowego.
• Z tego względu obniżenie wymagań, do poziomu który nie narusza bezpieczeństwa, jest wskazane.
• Sprawozdanie to powinno zawierać szczegółowy opis incydentu, rodzaj zagrożenia lub jego pierwotną przyczynę oraz szczegółowe środki zaradcze, które zostały zastosowane lub są planowane​​.
• Obowiązkiem jest także zawarcie analizy treści wydanych przez Pełnomocnika Rządu ds.

Tu pojawia się jeden z najbardziej alarmujących wniosków raportu – brak realnej alternatywy dla sprzętu i oprogramowania pochodzącego od dostawców spoza Unii Europejskiej i NATO. Rynek farmaceutyczny stoi przed wyzwaniami dynamicznego rozwoju technologii i podniesienia bezpieczeństwa informatycznego. Ale czy polityka cyberbezpieczeństwa nie wejdzie do firm kosztem konkurencyjności? Eksperci z branży farmaceutycznej wypowiadają się na ten temat w najnowszym raporcie opracowanym przez PTKOZ.

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa w Sejmie. Jakie zmiany nas czekają?

ISAC-i (Information Sharing and Analysis Center) i tak z założenia funkcjonują na zasadzie dobrowolności. Stwierdziliśmy więc, że nic nie stoi na przeszkodzie, aby były budowane już teraz. Vacatio legis pozostało bez zmian w stosunku do poprzedniej wersji projektu. Nowelizacja ma wejść w życie po upływie miesiąca od dnia ogłoszenia. „Z jednej strony, intencją ustawodawcy jest najpewniej chęć usprawnienia procesu podejmowania decyzji w sytuacjach kryzysowych. Z drugiej, wzbudza to obawy dotyczące potencjalnej arbitralności takich decyzji.

Skuteczność i egzekwowalność nowych przepisów

Pozytywnie oceniam więc fakt, że się przestrzeń do otwartej dyskusji i klarownego wskazywania różnic. W ramach dzielenia regulacji na elementy podstawowe dla implementacji NIS2 i dodatkowe zarekomendowaliśmy zatem, aby kwestia Operatora Strategicznej Sieci Bezpieczeństwa był prowadzony w ramach odrębnej regulacji. Nie jest więc tak, że Aplikacja Amarkets: Dostęp do rynków finansowych skreślimy te przepisy i nigdy ich nie będzie. Zaproponowaliśmy jednak, że – jeśli mają znaleźć swoją kontynuację – to tak, jak z ustawą o certyfikacji, niech dokona się to na drodze odrębnej ustawy.

Planowane jest skierowanie projektu do prac w Sejmie jeszcze w tym roku. W trakcie konsultacji społecznych swoje stanowisko do projektu przedstawiło 215 interesariuszy. Ministerstwo Cyfryzacji uwzględniło około 70% z ich propozycji, które mają usprawnić nadzór i jeszcze bardziej zwiększyć przejrzystość przepisów. Zmiany te zostały wprowadzone Historia twojego najlepszego przyjaciela na podstawie szczegółowej analizy uwag zebranych od podmiotów publicznych, firm oraz ekspertów rynku. – Raport podejmuje niezwykle ważny aspekt jakościowego stanowienia prawa, w tym rzetelnej oceny skutków regulacji. Firmy chętnie budują wartość gospodarczą i nie unikają niezbędnych inwestycji z zapewnienie bezpieczeństwa.

Przepisy dotyczące zakresu podmiotowego regulacji nie powinny bowiem ulegać większym zmianom w toku trwającego procesu legislacyjnego. Natomiast gdy projekt nowelizacji UKSC zostanie już ostatecznie przyjęty i wejdzie w życie, podmiotu kluczowe i ważne będą miały tylko dwa miesiące na dokonanie zgłoszenia do odpowiedniego rejestru. Aby więc zapewnić zgodność z przepisami dyrektywy NIS2 / projektu nowelizacji UKSC, konieczne będzie stworzenie nowej – lub co najmniej zaktualizowanie dotychczasowej – dokumentacji dotyczącej cyberbezpieczeństwa.

Wśród najważniejszych rozwiązań zawartych w projekcie wskazano przebudowanie modelu współpracy w ramach krajowego systemu cyberbezpieczeństwa pomiędzy Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) a operacyjnymi centrami bezpieczeństwa (SOC). Wprowadzając rozróżnienie większy nacisk położono na jednostki faktycznie mające strategiczne znaczenie dla bezpieczeństwa państwa, co wydaje się słusznym kierunkiem” – uważa Aleksander Kostuch, inżynier Stormshield. W zakresie produktów, usług lub procesów ICT nabytych w drodze postępowań na gruncie przepisów prawa zamówień publicznych ogólny termin na wycofanie ich nie ulega  zmianie i wynosi 7 lat od dnia ogłoszenia decyzji lub udostępnienia o niej informacji. Natomiast różni się w zakresie produktów, usług i procesów wykorzystywanych do wykonywania funkcji krytycznych dla bezpieczeństwa sieci i usług – wynosi on 5 lat.

Nie tylko NIS2, czyli o nowych przepisach dot. certyfikacji w cyberbezpieczeństwie

• Nowelizacja ustawy o KSC wprowadza nowe wymogi i procedury, których celem jest zwiększenie ochrony przed zagrożeniami cybernetycznymi.
• Ponadto, o dostęp do tych danych będą mogły wnioskować inne organy państwa takie jak np.
• Podobny charakter w moim przekonaniu ma Bankowe Centrum Cyberbezpieczeństwa.

Na łamach CyberDefence24 informowaliśmy też o przyjęciu projektu przez rząd, co miało miejsce nieco ponad miesiąc temu. Sejmowa Komisja Cyfryzacji przyjęła projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa. Regulacja ma dostosować polskie przepisy do unijnego Aktu o cyberbezpieczeństwie w zakresie certyfikacji. W przypadku uzasadnionego podejrzenia, że działania lub zaniechania podmiotu kluczowego lub ważnego mogą stanowić naruszenie przepisów ustawy, organ właściwy kieruje do tego podmiotu pismo w formie elektronicznej z ostrzeżeniem.

mObywatel ze sztuczną inteligencją

Wprowadzenie prawnego obowiązku utworzenia CSIRT sektorowych dla wszystkich sektorów określonych w załącznikach 1 i 2 do ustawy ma na celu usprawnienie funkcjonowania i zwiększenie skuteczności systemu reagowania na incydenty. W połączeniu z powstałą poprzez gromadzenie informacji bazą wiedzy o cyberzagrożeniach i podatnościach pozwoli skrócić czas obsługi incydentów oraz uwzględnić szczególne uwarunkowania danego sektora. Wykonywanie oceny bezpieczeństwa oraz identyfikowanie podatności systemów dostępnych w otwartych sieciach teleinformatycznych i powiadamianie ich właścicieli o wykrytych podatnościach oraz Secure Trust Bank widzi niższy popyt na kredyt w związku ze zbliżającym się terminem Brexitu cyberzagrożeniach.

Jednocześnie przepisy nakładają obowiązek na podmioty kluczowe i ważne zapewnienia zgodności ze wspomnianymi wymaganiami i mają na to 3 miesiące od ich udostępnienia. Wykaz będzie zawierał wszystkie informacje niezbędne do skutecznego nadzoru nad tymi podmiotami oraz do wykonywania ustawowych zadań nałożonych na zespoły CSIRT poziomu krajowego oraz CSIRT sektorowe. Oprócz danych identyfikujących podmiot, w wykazie znajdzie się m.in. Informacja o ewentualnych zawartych porozumieniach w sprawie wymiany informacji o zdarzeniach z zakresu cyberbezpieczeństwa (m.in. porozumienie w sprawie inicjatyw typu ISAC) oraz informacja czy podmiot jest podmiotem krytycznym w rozumieniu dyrektywy CER. Oprócz tego, podmiot będzie musiał zadeklarować, czy wykonuje działalność w innych państwach członkowskich UE, co pozwoli określić m.in.

Iwona Szylar nową dyrektor generalną Microsoft w Polsce

Ważnym obowiązkiem dla CSIRT sektorowych w przypadku przyjęcia wczesnego ostrzeżenia o incydencie poważnym jest przekazanie podmiotowi zgłaszającemu wytycznych dotyczących wdrożenia odpowiednich środków lub udzielenie wsparcia technicznego. W przypadku incydentu poważnego, wyczerpującego znamiona przestępstwa, CSIRT sektorowy przekazuje podmiotowi również informacje o sposobie zgłoszenia organom ścigania. Podmioty zobowiązane będą do złożenia wniosku o wpis do rejestru w terminie 2 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy lub ważny. Surowe kary finansowe motywują organizacje do priorytetowego traktowania kwestii bezpieczeństwa cyfrowego. Dostosowanie się do nowych przepisów to jednak nie tylko obowiązek prawny, ale przede wszystkim szansa na wzmocnienie bezpieczeństwa i konkurencyjności organizacji. Zgodność z regulacjami wpływa na skuteczniejsze zarządzanie ryzykiem, ochronę infrastruktury krytycznej czy zabezpieczenie danych.