Pojawienie się nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) to oczywiście wypadkowa dyrektywy NIS 2 i próba jej implementacji w krajowym porządku prawnym. Na Kapitanie Hacku podejmujemy temat. W pierwszym z artykułów z cyklu straszyliśmy karami. W drugim pokusiliśmy się o odpowiedź na pytanie, kogo obejmą nowe przepisy. Dzisiaj natomiast napiszemy o tajemniczym systemie teleinformatycznym S46.
Czym jest system teleinformatyczny S46?
W skrócie jest to system prowadzony przez ministra adekwatnego do spraw informatyzacji lub jednostek podległych ministerstwu. Swoją tajemniczą nazwę odziedziczył po art. 46 ust.1 ustawy o KSC. Projekt nowelizacji ustawy o KSC zawiera szereg działań, które będą wymagały wykorzystania właśnie wspomnianego systemu teleinformatycznego.
System ten będzie stanowił podstawowy środek przetwarzania informacji w ramach funkcjonowania krajowego systemu cyberbezpieczeństwa. Zostało to wprost podkreślone przez wnioskodawców w uzasadnieniu do przedstawionego 24 kwietnia projektu nowelizacji. S46 zostanie dostosowany do tego, aby stać się głównym środkiem komunikacji pomiędzy podmiotami KSC.
Zakłada się że, S46 będzie wykorzystany do wymiany informacji zarówno o charakterze operacyjnym, jak i organizacyjnym. W systemie prowadzony będzie wykaz podmiotów kluczowych i ważnych. Zakłada się również obowiązkowe (zamiast wcześniejszego fakultatywnego) korzystanie z systemu przez CSIRT MON, CSIRT NASK, CSIRT GOV, CSIRT sektorowe, organy adekwatne do spraw cyberbezpieczeństwa oraz Prezesa Urzędu Ochrony Danych Osobowych w celu realizacji ich zadań ustawowych. Podmioty najważniejsze i ważne będą zobowiązane do rozpoczęcia korzystania z S46 w terminie 14 dni od dokonania wpisu do wykazu, a nieprzestrzeganie tego obowiązku będzie prowadzić do kar finansowych.
Jakie informacje będą przetwarzane w S46?
- informacje o osiągnięciu zdolności operacyjnej przez CSIRT sektorowy,
- wnioski o wpis, zmianę wpisu albo o wykreślenie z wykazu podmiotów kluczowych i ważnych,
- informacje dotyczące cyberbezpieczeństwa, w tym informacje o cyberzagrożeniach, potencjalnych zdarzeniach dla cyberbezpieczeństwa, podatnościach, technikach i procedurach, wrogich taktykach, a także informacje o grupach przestępczych, ostrzeżenia dotyczące cyberbezpieczeństwa i zalecenia dotyczące konfiguracji narzędzi bezpieczeństwa mających wykrywać cyberataki,
- wczesne ostrzeżenie o incydencie poważnym,
- zgłoszenie incydentu poważnego,
- sprawozdania z obsługi incydentu poważnego.
Wymogi techniczne S46
Zgodnie z projektem nowelizacji minister adekwatny do spraw informatyzacji udostępnia w swoim Biuletynie Informacji Publicznej minimalne wymagania techniczne i funkcjonalne korzystania z systemu S46. Projektowane przepisy nakładają na podmioty najważniejsze i ważne obowiązek zapewnienia zgodności ze wspomnianymi wymaganiami i mają na to 3 miesiące od ich udostępnienia.
Na razie wiadomo również, iż uwierzytelnienie do systemu S46 ma następować za pomocą:
- środka identyfikacji elektronicznej wydanego w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego identyfikacji elektronicznej lub
- środka identyfikacji elektronicznej wydanego w notyfikowanym systemie identyfikacji elektronicznej lub
- danych weryfikowanych dzięki kwalifikowanego certyfikatu podpisu elektronicznego, o ile te dane pozwalają na identyfikację i uwierzytelnienie wymagane w celu realizacji usługi online.
