Działalność krajowa

Projekt ustawy o krajowym systemie cyberbezpieczeństwa     

Przed każdym z państw Unii Europejskiej stoi wyzwanie wdrożenia do krajowego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148). 

Celem przygotowanego przez Ministerstwo Cyfryzacji projektu ustawy o krajowym systemie cyberbezpieczeństwa jest opracowanie uregulowań prawnych umożliwiających implementacje dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym .

Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności :

  • niezakłóconego świadczenia usług kluczowych i usług cyfrowych
  • osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.

Budowany system będzie obejmować operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.

Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Wymienione podmioty będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Do krajowego systemu cyberbezpieczeństwa będą również włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni – w sposób zharmonizowany z istniejącymi uregulowaniami w tym zakresie.

Wymaganiami z zakresu cyberbezpieczeństwa zostaną takżę objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte zharmonizowanym na poziomie UE reżimem regulacyjnym. Ustawa odwołuje się tutaj do decyzji wykonawczej Komisji Europejskiej.

Do zadań ministra właściwego do spraw informatyzacji należy m.in. opracowanie Strategii Cyberbezpieczeństwa, prowadzenie polityki informacyjnej na temat krajowego systemu cyberbezpieczeństwa, realizacja obowiązków sprawozdawczych wobec instytucji unijnych oraz uruchomienie z dniem 1 stycznia 2021 r. systemu teleinformatycznego, umożliwiającego zautomatyzowane zgłaszanie i obsługę incydentów, szacowanie ryzyka teleinformatycznego, ostrzeganie o zagrożeniach cyberbezpieczeństwa.
Zespoły CSIRT poziomu krajowego będą współpracować ze sobą, aby zapewnić spójny i kompletny system zarządzania ryzykiem w zakresie cyberbezpieczeństwa państwa oraz obsługę zgłoszonych incydentów, w tym zwłaszcza incydentów poważnych i krytycznych, najpoważniejszych z punktu widzenia państwa.

Ustawa powołuje także organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych i usług cyfrowych. Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego

Projekt przewiduje również utworzenie pojedyńczego punktu kontaktowego ds. cyberbezpieczeństwa, prowadzonego przez ministra właściwego do spraw informatyzacji, który ma odpowiadać za wymianę informacji związanych z cyberbezpieczeństwem na poziomie kraju oraz współpracę transgraniczną na poziomie Unii Europejskiej.

Przygotowanie projektu ustawy poprzedzone zostało wstępnymi konsultacjami z przedstawicielami resortów kluczowych z punktu widzenia funkcjonowania krajowego systemu cyberbezpieczeństwa, przewidzianych w projekcie ustawy organów właściwych oraz z reprezentantami sektorów wskazanymi w załączniku do projektu. Ustawa realizuje zapisy Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022.

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczpospolitej Polski na lata 2017-2022

9 maja 2017 r. Prezes Rady Ministrów Beata Szydło podpisała uchwałę nr 52/2017 Rady Ministrów z dnia 27 kwietnia 2017 r. w sprawie Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022.

Dokument wpisuje się w kontynuację działań, podejmowanych w przeszłości przez administrację rządową, mających na celu podniesienie poziomu bezpieczeństwa w cyberprzestrzeni RP. Celem Krajowych Ram jest osiągnięcie zdolności do skoordynowanych działań w skali kraju, wzmocnienie zdolności do przeciwdziałania cyberzagrożeniom, zwiększanie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni oraz zbudowanie silnej pozycji międzynarodowej RP w obszarze cyberbezpieczeństwa. Głównym celem opracowanej strategii jest zapewnienie wysokiego poziomu bezpieczeństwa sektora publicznego, sektora prywatnego oraz obywateli w zakresie świadczenia lub korzystania z usług kluczowych oraz usług cyfrowych.

Krajowe Ramy Polityki Cyberbezpieczeństwa wskazują, w szczególności: 

  • cele w zakresie bezpieczeństwa teleinformatycznego, 
  • główne podmioty zaangażowane we wdrażanie krajowych ram polityki w zakresie bezpieczeństwa teleinformatycznego, 
  • ramy zarządzania służące realizacji celów krajowych ram polityki w zakresie bezpieczeństwa teleinformatycznego, 
  • na potrzebę zapobiegania i reagowania w odniesieniu do incydentów oraz przywracania stanu normalnego zakłóconego incydentem, w tym zasady współpracy pomiędzy sektorami publicznym i prywatnym, 
  • podejście do oceny ryzyka, 
  • kierunki podejścia do programów edukacyjnych, informacyjnych i szkoleniowych dotyczących cyberbezpieczeństwa,
  • działania odnoszące się do planów badawczo-rozwojowych w zakresie bezpieczeństwa teleinformatycznego, 
  • podejście do współpracy międzynarodowej w zakresie cyberbezpieczeństwa. 

Realizacja zadań nadzorowanych przez Ministra Cyfryzacji:

Minister właściwy do spraw informatyzacji realizuje swoje zadania również we współpracy z jednostkami podległymi (Centrum Projektów Polska Cyfrowa), nadzorowanymi (Centralny Ośrodek Informatyki, Instytut Łączności – Państwowy Instytut Badawczy, Instytut Maszyn Matematycznych, Instytut Technik Innowacyjnych EMAG, Naukowa i Akademicka Sieć Komputerowa – NASK Państwowy Instytut Badawczy – NASK PIB) oraz organami nadzorowanymi (Prezes Urzędu Komunikacji Elektronicznej). 

Ponadto, na poziomie operacyjnym funkcjonują następujące rozwiązania:

CERT Polska, działający w NASK PIB jest pierwszym polskim zespołem reagowania na incydenty cyberbezpieczeństwa, którego zadaniem jest rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci, oraz wykrywanie i analiza zagrożeń wymierzonych przeciwko polskim internautom lub zagrażających domenie „.pl”. CERT Polska współpracuje ponadto z podobnymi podmiotami na świecie, zarówno w ramach działalności operacyjnej, jak i badawczo-wdrożeniowej. 

Narodowe Centrum Cyberbezpieczeństwa - NC Cyber, utworzone w roku 2016 w strukturach NASK PIB, jest jednym z podmiotów krajowego systemu cyberbezpieczeństwa odpowiedzialnym za bezpieczeństwo cyberprzestrzeni RP. NC Cyber jest centrum, która działając w systemie 24/7 monitoruje zagrożenia, przyjmuje i obsługuje incydenty cyberbezpieczeństwa i zarządza trybem informowania o zagrożeniach sieciowych. Centrum zajmuje się również obsługą zgłoszeń szkodliwych i nielegalnych treści – Dyżurnet.pl. W ramach NC Cyber powstał system partnerskiej współpracy z kilkudziesięcioma podmiotami kluczowymi dla gospodarki kraju.  

Pozostałe projekty

Rządowy Klaster Cyberbezpieczeństwa jest projektem mającym zapewnić systemom administracji państwowej bezpieczny, efektywny dostęp do zasobów Internetu przy jednoczesnym zapewnieniu bezpieczeństwa użytkowników oraz zapewnienie niezakłóconej komunikacji pomiędzy instytucjami państwowymi, nawet w wypadku ataku na dużą skalę. Klaster będzie w szczególności zapewniał bezpieczeństwo serwisów informacyjnych państwa, biuletynów informacji publicznej, bezpieczną pocztę elektroniczną, bezpieczny dostęp do centralnych baz danych i usług dla obywateli. Prezes Rady Ministrów wyraziła zgodę na budową Rządowego Klastra Cyberbezpieczeństwa w lecie 2017 roku.

Zintegrowany system bieżącego zarządzania bezpieczeństwem Cyberprzestrzeni RP ma za zadanie zapewnienie informacji o bieżącym stanie bezpieczeństwa teleinformatycznego niezbędnego do oceny sytuacji i stanu bezpieczeństwa cyberprzestrzeni w Polsce. System będzie dokonywał powyższej oceny na podstawie zarejestrowanych incydentów pochodzących z kluczowych sektorów gospodarki oraz korelacji i analiz własnych. Koordynatorem systemu będzie NC Cyber.

Cyberpark „ENIGMA” jest projektem mającym na celu uzyskanie przez polskie firmy zdolności do konkurowania na globalnym rynku nowych technologii. Szczególnie w okresie rozwoju nowej gałęzi, jaka będzie „Internet rzeczy” (IoT) oraz robotyzacja procesów produkcyjnych (Industry 4.0), który zmieni filozofię produkcji i dostarczania dóbr dla konsumentów. Kolejnym obszarem zainteresowania Cyberparku jest specjalizacja w zakresie wytwarzania produktów w obszarze cyberbezpieczeństwa. Pozostałe założenia ENIGMY to przełamanie pułapki średniego rozwoju, rozwój nauki poprzez dostęp do najnowszych technologii, stworzenie ekosystemu nauka–przemysł-państwo obejmującego praktycznie wszystkie gałęzie produkcji przemysłowej (uzyskanie efektu dźwigni rozwoju), a także podniesienie kompetencji społeczeństwa w zakresie korzystania z nowych technologii, oraz powstrzymanie drenażu „inteligencji” przez inne państwa. W ramach Cyberparku planowana jest ponadto budowa zaplecza naukowego i kadr inżynierskich jak i budowa HUB-ów innowacyjności. Ministerstwo Cyfryzacji jest partnerem inicjatywy Cyberpark ENIGMA prowadzonej przez Ministerstwo Rozwoju.

Naukowy i Akademicki Klaster Cyberbezpieczeństwa to koncepcja ukierunkowana na zapewnienie kadr na potrzeby cyberbezpieczeństwa oraz konsolidację ośrodków naukowych w obszarze cyberbezpieczeństwa w oparciu o szereg uczelni państwowych. 

Krajowy System Oceny i Certyfikacji 

Z uwagi na procesy globalizacyjne niezbędne jest włączenie Polski w międzynarodowy system oceny i certyfikacji oparty na międzynarodowych normach i standardach. Polska aktywnie włącza się w ustanowienie europejskiego systemu oceny i certyfikacji produktów oraz usług sektora technologii informatycznych i komunikacyjnych. W lutym br. Polska dołączyła do grupy państw sygnatariuszy porozumienia SOGIS (Senior Official Group Information Security Systems), dzięki czemu będziemy mogli w przyszłości samodzielnie oceniać i certyfikować wyroby IT zgodne z powszechnie uznawaną normą oceny (ewaluacji) bezpieczeństwa teleinformatycznego, czyli PN - ISO/IEC 15408: Technika informatyczna – Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych (znana jako Common Criteria).

Edukacja w dziedzinie Cyberbezpieczeństwa 

Propozycje konkretnych działań dot. tego obszaru znajdują się w Krajowych Ramach Polityki Cyberbezpieczeństwa Rzeczpospolitej Polski na lata 2017-2022 oraz w przepisach projektu ustawy o krajowym systemie cyberbezpieczeństwa. Projekt zakłada wśród obowiązków podmiotów publicznych zapewnienie użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami. W projekcie przewidziano także zadanie dla CSIRT NASK prowadzenia działań z zakresu budowania świadomości w obszarze cyberbezpieczeństwa, prowadzenia współpracy w zakresie rozwiązań edukacyjnych w obszarze cyberbezpieczeństwa. Krajowe Ramy uwzględniają rozwijanie na polskich uczelniach interdyscyplinarnych specjalizacji związanych z cyberbezpieczeństwem i rozwojem nowych technologii oraz podnoszenie kwalifikacji nauczycieli informatyki. Tematyka bezpiecznego korzystania z cyberprzestrzeni ma wg Krajowych Ram być elementem programu nauczania już na poziomie kształcenia wczesnoszkolnego.

Edukacja społeczna realizowana przez administrację publiczną w tym MC, we współpracy z organizacjami pozarządowymi oraz ośrodkami akademickimi, przekłada się na systemowe działania uwrażliwiające społeczeństwo na zagrożenia płynące z w cyberprzestrzeni, a także działania edukacyjne w zakresie praw i wolności w środowisku cyfrowym. Krajowe Ramy przewidują m.in. kampanie społeczne, skierowane do różnych grup docelowych (między innymi dzieci, rodziców, seniorów). Administracja publiczna ma wspierać wszelkie działania, zarówno operatorów usług kluczowych jak i dostawców usług cyfrowych, w zakresie podejmować działania edukacyjne i informacyjne. Celem działań będzie zapewnienie użytkownikom końcowym dostępu do wiedzy pozwalającej na zrozumienie zagrożeń w cyberprzestrzeni i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami. W myśl projektu ustawy o KSC, minister właściwy do spraw informatyzacji będzie prowadził działania informacyjne dotyczące dobrych praktyk, programów edukacyjnych, kampanii i szkoleń na rzecz poszerzania wiedzy i podnoszenia świadomości z zakresu cyberbezpieczeństwa, w tym bezpiecznego korzystania z Internetu przez różne kategorie użytkowników.

Edukacja ekspercka obejmuje z kolei wypracowanie skuteczniej formy przeciwdziałań dla rozwijającej się cyberprzestępczości, w oparciu o system szkoleń dla pracowników podmiotów istotnych dla funkcjonowania bezpieczeństwa w cyberprzestrzeni oraz dla przedstawicieli organów ścigania i wymiaru sprawiedliwości. 
 

Projekt ustawy o krajowym systemie cyberbezpieczeństwa   .odt Pobierz plik: odt Projekt ustawy o krajowym systemie cyberbezpieczeństwa   .odt

Rozmiar : 0.06MB

Metrics

Informacje o publikacji dokumentu
Opublikowano: 22.11.2017 13:18
Osoba publikująca: Dominika Waligórska
Zmodyfikowano: 20.11.2017 13:37
Osoba modyfikująca: Dominika Waligórska