Krajowy system cyberbezpieczeństwa
Krajowy system cyberbezpieczeństwa (KSC) - system, którego celem jest zapewnienie cyberbezpieczeństwa usług mających kluczowe znaczenie dla działania państwa polskiego, świadczonych przez podmioty publiczne i wybrane przedsiębiorstwa (operatorów usług kluczowych i dostawców usług cyfrowych).
Podstawa prawna
[edytuj | edytuj kod]Główne zasady organizacji krajowego systemu cyberbezpieczeństwa, w tym podmioty wchodzące w jego skład, ich prawa, obowiązki i zasady wzajemnej współpracy, określa ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa[1]. Jest ona wdrożeniem do polskiego porządku prawnego europejskiej dyrektywy NIS z dnia 6 lipca 2016 r., której celem jest nałożenie wspólnych, minimalnych wymagań na rzecz zapewnienia cyberbezpieczeństwa w każdym kraju członkowskim Unii Europejskiej[2].
Organizacja systemu
[edytuj | edytuj kod]Najważniejsze podmioty wchodzące w skład systemu cyberbezpieczeństwa to operatorzy usług kluczowych, dostawcy usług cyfrowych, podmioty publiczne, zespoły reagowania na incydenty bezpieczeństwa komputerowego, organy właściwe oraz Pełnomocnik rządu i Kolegium ds. Cyberbezpieczeństwa.
Regulacje w zakresie operatorów usług kluczowych i organów właściwych dotyczą sektorów: energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji oraz infrastruktury cyfrowej.
Operatorzy usług kluczowych
[edytuj | edytuj kod]Operatorzy usług kluczowych to wyznaczone przedsiębiorstwa i instytucje, które świadczą usługi o istotnym znaczeniu dla działania państwa, a świadczenie tej usługi zależy od systemu informatycznego i wystąpienie incydentu mogłoby zakłócenie jego działanie.
Operatorzy usług kluczowych wyznaczani są przez organy właściwe w poszczególnych sektorach na podstawie listy usług kluczowych oraz progów istotności skutków zakłócających ich świadczenie zawartych w rozporządzeniu do ustawy. Przykładowo, w sektorze ochrony zdrowia w kategorii podmiotów leczniczych, które świadczą usługę opieki zdrowotnej, progiem istotności jest posiadanie szpitalnego oddziału ratunkowego[3].
Zostało wyznaczonych ok. 400 operatorów usług kluczowych[4].
Do obowiązków operatorów usług kluczowych należy wdrożenie systemu zarządzania bezpieczeństwem, który zapewni zarządzanie ryzykiem i wdrożenie mechanizmów je ograniczających, posiadanie aktualnej dokumentacji dotyczącej bezpieczeństwa systemów oraz przeprowadzanie regularnych audytów bezpieczeństwa. W przypadku wystąpienia incydentu, podmiot jest odpowiedzialny za zarządzanie jego obsługą, a w przypadku incydentów poważnych również za zgłoszenie ich do właściwych zespołów CSIRT.
Dostawcy usług cyfrowych
[edytuj | edytuj kod]Dostawcy usług cyfrowych to przedsiębiorstwa, które mają swoją siedzibę albo przedstawicielstwo w Polsce i świadczą jedną z usług: internetowej platformy handlowej, wyszukiwarki internetowej albo usługi przetwarzania w chmurze. Dostawcy usług cyfrowych nie podlegają rejestracji ani wyznaczeniu i same identyfikują swój status. Mają obowiązek zgłaszać incydenty istotne do właściwego zespołu CSIRT.
Podmioty publiczne
[edytuj | edytuj kod]Podmioty publiczne w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa to podmioty realizujące zadania publiczne zależne od systemu informacyjnego i znajdujące się w wymienionym w ustawie katalogu.
Obowiązkiem podmiotów publicznych jest wyznaczenie osoby kontaktowej odpowiedzialnej za utrzymywaniem kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz zgłaszanie incydentów do właściwego zespołu CSIRT.
Organy właściwe
[edytuj | edytuj kod]Organy właściwe sprawują nadzór nad poszczególnymi sektorami zgodnie z poniższą właściwością.
| Organ właściwy | Sektor |
|---|---|
| Minister Klimatu i Środowiska | Energia |
| Minister Infrastruktury | Transport, zaopatrzenie w wodę pitną i jej dystrybucja |
| Komisja Nadzoru Finansowego | Bankowość i infrastruktura rynków finansowych |
| Minister Zdrowia | Ochrona zdrowia |
| Minister Cyfryzacji | Infrastruktura cyfrowa, dostawcy usług cyfrowych |
| Minister Obrony Narodowej | Ochrona zdrowia, infrastruktura cyfrowa i dostawcy usług cyfrowych we właściwości MON |
Zadaniem organów właściwych jest wyznaczanie w swoim sektorze operatorów usług kluczowych, monitorowanie stosowania przez nich przepisów ustawy, przeprowadzanie kontroli oraz podejmowanie innych działań mających na celu wzmocnienie poziomu cyberbezpieczeństwa.
Zespoły CSIRT
[edytuj | edytuj kod]Zespoły działające na poziomie krajowym
[edytuj | edytuj kod]W ramach krajowego systemu cyberbezpieczeństwa działają trzy zespoły na poziomie krajowym.
| Zespół | Instytucja | Właściwość |
|---|---|---|
| CSIRT GOV | Agencja Bezpieczeństwa Wewnętrznego | Ścisła administracja rządowa, operatorzy infrastruktury krytycznej |
| CSIRT MON | Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni | Podmioty wojskowe i wykonujące zadania na rzecz wojska |
| CSIRT NASK | Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy | Operatorzy usług kluczowych, dostawcy usług cyfrowych, wszystkie pozostałe instytucje, przedsiębiorstwa i obywatele |
Zadania zespołów CSIRT poziomu krajowego, zgodnie z powyższą właściwością, to monitorowanie zagrożeń cyberbezpieczeństwa, koordynacja obsługi incydentów i wspieranie w ich obsłudze oraz zapewnienie zaplecza analitycznego i badawczo-rozwojowego polegającego m.in. na prowadzeniu zaawansowanych analiz zagrożeń.
Sektorowe zespoły cyberbezpieczeństwa
[edytuj | edytuj kod]Organy właściwe mogą w ramach swojej właściwości powołać sektorowy zespół cyberbezpieczeństwa, który współpracując z zespołami CSIRT, wspiera operatorów usług kluczowych w wykonywaniu obowiązków dotyczących zapewnienia cyberbezpieczeństwa.
Powołano dwa sektorowe zespoły cyberbezpieczeństwa.
| Zespół | Instytucja | Sektor |
|---|---|---|
| CSIRT KNF | Komisja Nadzoru Finansowego | Bankowość i infrastruktura rynków finansowych |
| CSIRT CeZ | Centrum e-Zdrowia | Ochrona zdrowia |
Pełnomocnik rządu i Kolegium ds. cyberbezpieczeństwa
[edytuj | edytuj kod]Pełnomocnik rządu ds. cyberbezpieczeństwa w ramach koordynacji działań i realizowania polityki rządu w zakresie cyberbezpieczeństwa analizuje i ocenia funkcjonowanie krajowego systemu cyberbezpieczeństwa, opiniuje dokumenty rządowe i projekty aktów prawnych dotyczących cyberbezpieczeństwa, a także na wniosek zespołów CSIRT wydaje rekomendacje dotyczące stosowania urządzeń i oprogramowania przez podmioty krajowego systemu cyberbezpieczeństwa.
Rolę pełnomocnika rządu ds. cyberbezpieczeństwa od 27 grudnia 2023 r. pełni Krzysztof Gawkowski.
Przy Radzie Ministrów, jako organ opiniodawczo-doradczy w sprawach cyberbezpieczeństwa działa Kolegium ds. cyberbezpieczeństwa. Do jego zadań należy opracowywanie rekomendacji dla Rady Ministrów dotyczących działań w zakresie zapewniania cyberbezpieczeństwa, a także wyrażanie opinii w sprawach kierunków i planów na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa i współpracy podmiotów krajowego systemu cyberbezpieczeństwa.
Plany nowelizacji i Dyrektywa NIS 2
[edytuj | edytuj kod]W 2023 r. weszła w życie unijna dyrektywa NIS 2, która zmienia kształt cyberbezpieczeństwa w Unii Europejskiej[5]. Nowe przepisy rozszerzają zakres podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa oraz definiują na nowo zadania organów Unii w tym obszarze.
NIS 2 wymaga wprowadzenia odpowiednich rozwiązań ustawodawczych w celu zapewnienia cyberbezpieczeństwa kluczowym, krytycznym branżom, a tym samym również całym państwom. Od 18 października 2024 r. wszystkie kraje członkowskie Unii Europejskiej są zobowiązane do zmiany wewnętrznych przepisów w taki sposób, żeby były zgodne z nową dyrektywą[6].
W Polsce zgodność z NIS 2 ma zostać osiągnięte poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Plany zmian i nowy podział podmiotów
[edytuj | edytuj kod]Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych nowym podziałem na podmioty kluczowe i podmioty ważne. Do podmiotów kluczowych mają się zaliczać podmioty m.in energetyczne, transportowe, bankowości, ochrony zdrowia czy administracja publiczna. Do podmiotów kluczowych zaliczają się m.in usługi pocztowe, gospodarowanie odpadami, dostarczanie usług cyfrowych czy badania naukowe. Zgodnie z projektem ustawy o KSC, podmioty uznane za kluczowe lub ważne będą zobowiązane wdrożyć System Zarządzania Bezpieczeństwem Informacji (SZBI) nie tylko w systemie informacyjnym wykorzystywanym do świadczenia usług, ale także w procesach organizacji wpływających na świadczenie usług przez ten podmiot.
Przypisy
[edytuj | edytuj kod]- ↑ Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560)
- ↑ Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (CELEX: 32016L1148)
- ↑ Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz.U. z 2018 r. poz. 1806)
- ↑ Ocena skutków regulacji projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 maja 2023 r..
- ↑ Informacje bieżące - Ministerstwo Infrastruktury - Portal Gov.pl [online], Ministerstwo Infrastruktury [dostęp 2024-12-12] (pol.).
- ↑ Nowe przepisy mające na celu zwiększenie cyberbezpieczeństwa podmiotów i sieci krytycznych w UE | Kształtowanie cyfrowej przyszłości Europy [online], digital-strategy.ec.europa.eu, 2024 [dostęp 2024-12-12].