Przedsiębiorcy kluczowi dla polskiej gospodarki będą musieli zgłaszać incydenty cyberbezpieczeństwa do jednego z trzech CSIRT poziomu krajowego – to jedna z najważniejszych zmian, którą wprowadza ustawa o krajowym systemie cyberbezpieczeństwa. Prezydent Andrzej Duda podpisał ją 1 sierpnia 2018 roku. Dokument implementuje do polskiego prawa dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywę NIS).
Ustawa tworzy ramy krajowego systemu cyberbezpieczeństwa w Polsce. W jego skład wejdą m.in. administracja rządowa i samorządowa, a przede wszystkim operatorzy usług kluczowych, czyli najwięksi przedsiębiorcy z wybranych sektorów gospodarki, takich jak: energetyka, transport, sektor bankowy i finansowy, zdrowie, zaopatrzenie w wodę i infrastruktura cyfrowa. Ustawa zobowiązuje te podmioty do zapewnienia odpowiedniego poziomu bezpieczeństwa oraz raportowania incydentów. W polskim porządku prawnym jest to nowość, ponieważ dotychczas - poza sektorem telekomunikacyjnym - nie było obowiązku zgłaszania incydentów.
Obsługa incydentów i CSIRT
Ustawa przyjęła federacyjny model obsługi incydentów, gdzie podmioty krajowego systemu będą zgłaszały incydenty do jednego z trzech CSIRT poziomu krajowego (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego):
- CSIRT GOV w Agencji Bezpieczeństwa Wewnętrznego - obejmuje administrację rządową i infrastrukturę krytyczną oraz kwestie związane z terroryzmem;
- CSIRT NASK w NASK – Państwowym Instytucie Badawczym – obejmuje wszystkie kwestie, które nie są we właściwości CSRIT GOV i MON. Jest to także tzw. CERT ostatniej szansy, co oznacza że każdy obywatel może zgłosić do niego incydent.
- CSIRT MON w Ministerstwie Obrony Narodowej – obejmuje jednostki nadzorowane przez resort i kwestie związane z obronnością kraju
Ustawa zakłada ścisłą współpracę i wymianę informacji pomiędzy CSIRT poziomu krajowego oraz z organami właściwymi, a więc ministrami nadzorującymi określone sektory gospodarki i podmioty objęte ustawą.
CSRIT będą współpracować ze sobą z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa. Razem zapewnią spójny i kompletny system zarządzania ryzykiem na poziomie krajowym. Będą również przeciwdziałać ponadsektorowym i transgranicznym zagrożeniom cyberbezpieczeństwa, a także koordynować obsługę zgłoszonych incydentów.
Operatorzy usług kluczowych i dostawcy usług cyfrowych
Operatorzy usług kluczowych (OUK) będą musieli wprowadzić skuteczne zabezpieczenia, szacować ryzyko związane z cyberbezpieczeństwem oraz przekazywać informacje o poważnych incydentach i ich obsłudze we współpracy z jednym z trzech CSIRT. Dodatkowo OUK są zobowiązane wyznaczyć osobę odpowiedzialną za bezpieczeństwo świadczonych usług, obsługę i zgłaszanie incydentów oraz udostępnianie wiedzy na temat cyberbezpieczeństwa.
Ustawa wprowadza również wymagania wobec dostawców usług cyfrowych, czyli internetowych platform handlowych, usług przetwarzania w chmurze i wyszukiwarek internetowych. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte jednolitą regulacja na poziomie europejskim (Rozporządzenie Wykonawcze Komisji (UE) 2018/151 ze stycznia 2018 roku)
Nadzór i wymiana informacji
Ustawa wskazuje organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za nadzorowanie operatorów usług kluczowych i dostawców usług cyfrowych. Każdemu sektorowi określonemu w załączniku został przydzielony organ właściwy, zgodnie z działami administracji rządowej. Projekt przewiduje również utworzenie pojedynczego punktu kontaktowego ds. cyberbezpieczeństwa, którego rolę pełnił będzie minister właściwy ds. informatyzacji. Odpowiada on za wymianę informacji na poziomie kraju oraz współpracę na poziomie Unii Europejskiej.
Rola NASK
Ustawa jasno określa rolę Państwowego Instytutu Badawczego NASK jako CSIRT NASK. Będzie on pełnił zadania na poziomie:
- operacyjnym - wykonywane przez działające do tej pory w strukturze instytutu zespoły CERT Polska i Dyżurnet.pl,
- polityczno - strategicznym – polegające m.in. na prowadzeniu analiz i opracowywaniu standardów, rekomendacji i dobrych praktyk w zakresie cyberbezpieczeństwa.
NASK będzie także zapleczem analitycznym i badawczo-rozwojowym dla systemu cyberbezpieczeństwa w Polsce, a wśród jego zadań będzie wspieranie podmiotów w budowaniu ich potencjału m.in. przez organizację ćwiczeń, projekty badawcze i zaawansowane analizy techniczne i strategiczne. Elementem tych działań jest także Program Partnerstwo dla Cyberbezpieczeństwa prowadzony już przez NASK.
Ustawa podpisana przez prezydenta zostanie opublikowana w Dzienniku Ustaw. Wejdzie w życie 14 dni po publikacji.