Ministerstwo Cyfryzacji przedstawia założenia nowelizacji ustawy związanej z bezpieczeństwem w sieci. Co pojawi się w nowym Krajowym Systemie Cyberbezpieczeństwa?
Jak informuje serwis CyberDefence24.pl powołujący się na raport CBZC odnośnie działań w zeszłym roku, specjalny oddział Policji zajmujący się zwalczaniem przestępstw w internecie odnotował ponad 3 tys. realnych cyberprzestępstw. Zabezpieczono ponad 441,3 mln zł oraz odzyskano mienie w wysokości 14,3 mln zł. Nie dziwi więc fakt, iż nowy rząd, a konkretnie Ministerstwo Cyfryzacji musi podjąć odpowiednie działania w celu zminimalizowania zagrożenia. Pomóc w tym ma zaprezentowany właśnie nowy Krajowy System Cyberbezpieczeństwa.
Zmiany w Krajowym Systemie Cyberbezpieczeństwa to dla nas priorytetowy projekt na ten rok. Przez ostatnie lata wiele zmieniło się w krajobrazie cyberprzestrzeni, a wyzwań jest coraz więcej biorąc pod uwagę liczbę incydentów i ich konsekwencje. Jesteśmy zdeterminowani, aby wprowadzić nowe prawo szybko, ale zachowując odpowiedni okres dla przedsiębiorców do dostosowania się do regulacji.
– mówi wicepremier, minister cyfryzacji Krzysztof Gawkowski.
Krajowy System Cyberbezpieczeństwa. Tak rząd będzie walczył z przestępczością w sieci
Obecne regulacje w ramach Krajowego Systemu Cyberbezpieczeństwa obowiązują od 1 sierpnia 2018 roku. Od tamtego czasu sytuacja w obszarze cyberprzestrzeni znacznie się zmieniła. Aby sprostać nowym wyzwaniom, konieczne jest zaktualizowanie ustawy, aby zapewnić lepsze bezpieczeństwo informatyczne na poziomie krajowym. Ministerstwo Cyfryzacji już teraz planuje nowelizację, która wprowadza zaktualizowane zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które podlegają obecnym przepisom. Ważne i najważniejsze jednostki, których liczba w całym kraju sięga tysięcy, będą musiały wdrożyć system zarządzania bezpieczeństwem informacji w swoich procesach biznesowych, które są najważniejsze dla świadczenia usług.
Nowy Krajowy System Cyberbezpieczeństwa ma na celu zapewnienie bezpieczeństwa na poziomie krajowym, ze szczególnym naciskiem na ciągłość świadczenia usług kluczowych i cyfrowych oraz ochronę systemów teleinformatycznych. System obejmuje operatorów usług kluczowych z sektorów takich jak energetyka, transport, zdrowie i bankowość, dostawców usług cyfrowych, zespoły reagowania na incydenty komputerowe (CSIRT), sektorowe zespoły cyberbezpieczeństwa oraz organy odpowiedzialne za cyberbezpieczeństwo. Istnieje także jeden punkt kontaktowy do komunikacji z Unią Europejską. Operatorzy usług kluczowych muszą wdrożyć środki bezpieczeństwa, szacować ryzyko i zgłaszać poważne incydenty do CSIRT. Są również zobowiązani do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo, zarządzanie incydentami i dzielenie się wiedzą w tym zakresie.
Nowe przepisy ds. bezpieczeństwa w sieci. Co się zmieni?
Projekt nowelizacji ustawy zakłada zmiany w zakresie:
- podmiotów kluczowych i ważnych,
- zespołów CSIRT,
- systemu S46 i Pojedynczego Punktu Kontaktowego,
- nadzoru i środków egzekwowania przepisów przez organy adekwatne ds. cyberbezpieczeństwa,
- kompetencji Ministra Cyfryzacji,
- zmiany obowiązków Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa,
- instytucji dostawcy wysokiego ryzyka.
Istotnym zagadnieniem opisywanym w nowej ustawie ma być forma zgłaszanie incydentów związanych z naruszeniem cyberbezpieczeństwa. Incydenty poważne zgłaszane będą do CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego ) w ściśle określonym trybie:
- wczesne ostrzeżenie o incydencie poważnym:
- podmiot najważniejszy i istotny zgłasza niezwłocznie nie później niż w ciągu 24 godzin od momentu wykrycia incydentu poważnego,
- przedsiębiorca telekomunikacyjny – niezwłocznie w nie później niż w ciągu 12 godzin od momentu wykrycia incydentu poważnego,
- zgłoszenie incydentu poważnego – niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia;
- w trakcie obsługi incydentu sporządzane jest sprawozdanie okresowe, a po zakończeniu obsługi incydentu sprawozdanie końcowe;
- CSIRT sektorowy przekazuje wczesne ostrzeżenie oraz zgłoszenia niezwłocznie, nie później niż 8 godzin od jego otrzymania, do adekwatnego CSIRT MON, CSIRT NASK albo CSIRT GOV;
- wczesne ostrzeżenie może zawierać wniosek np. o udzielenie wsparcia technicznego przy obsłudze incydentu.
Więcej informacji na temat planowanych zmian i bardziej szczegółowe przedstawienie proponowanej nowelizacji znajdziecie na stronach Ministerstwa Cyfryzacji. Do 24 maja realizowane są konsultacje społeczne, w ramach których można zgłaszać swoje zastrzeżenia do projektu.
Stock image from Depositphotos
![Windows XP był najlepszym systemem. Wciąż mam do niego ogromną słabość [OPINIA]](https://static.android.com.pl/uploads/2020/09/windows-xp-kod-zrodlowy-wyciekl-do-sieci.png)
