1 sierpnia 2018 r. Prezydent RP podpisał ustawę o krajowym systemie cyberbezpieczeństwa, implementującą do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148), tzw. Dyrektywa NIS. Ustawa została opublikowana w Dzienniku Ustaw RP 13 sierpnia br. i zacznie obowiązywać po 14 dniach od jej ogłoszenia tj. od 28 sierpnia br. Pełne wdrożenie Dyrektywy NIS wymaga ponadto przyjęcia dwóch rozporządzeń Rady Ministrów: w sprawie uznania incydentu za poważny, jak i w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Obecnie zakończony został etap konsultacji społecznych, uzgadniania oraz opiniowania, dotyczących rozporządzeń, na tą chwilę prowadzone są konsultacje wewnątrz-rządowe.

Celem przygotowanej przez Ministerstwo Cyfryzacji ustawy o krajowym systemie cyberbezpieczeństwa było opracowanie uregulowań prawnych umożliwiających implementacje dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym .

Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności :

• niezakłóconego świadczenia usług kluczowych i usług cyfrowych
• osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.

Budowany system obejmuje operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa. Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Do krajowego systemu cyberbezpieczeństwa będą również włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni – w sposób zharmonizowany z istniejącymi uregulowaniami w tym zakresie.

Wymaganiami z zakresu cyberbezpieczeństwa zostali także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych są objęte zharmonizowanym na poziomie UE reżimem regulacyjnym. Ustawa odwołuje się tutaj do decyzji wykonawczej Komisji Europejskiej.

Dostawcy usług cyfrowych - obowiązki

• przeprowadza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów
• zapewnia w niezbędnym zakresie dostęp do informacji właściwemu CSIRT o incydentach zakwalifikowanych jako krytyczne przez właściwy CSIRT
• klasyfikuje incydent jako istotny
• zgłasza incydent istotny niezwłocznie, nie poźniej jednak niż w ciągu 24H od momentu wykrycia, do właściwego CSIRT
• zapewnia obsługę incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT, przekazując niezbędne dane
• usuwa podatności
• przekazuje operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora.

Dostawca usługi cyfrowej w celu sklasyfikowania incydentu jako istotnego uwzględnia w szczególności:

• liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług
• czas trwania incydentu
• zasięg geograficzny obszaru, którego dotyczy incydent
• zakres zakłócenia funkcjonowania usługi
• zakres wpływu incydentu na działalność gospodarczą i społeczną

Incydent istotny: incydent, który ma istotny wpływ na świadczenie usługi cyfrowej.

Kim jest Dostawca Usług Cyfrowych?

• Osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej, mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadczące usługi cyfrowe, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe;
• Powinni zapewnić poziom bezpieczeństwa współmierny do stopnia ryzyka, na jakie narażone jest bezpieczeństwo świadczonych przez nich usług cyfrowych, ze względu na znaczenie tych usług dla działalności innych przedsiębiorców w Unii;
• Zharmonizowane podejście na poziomie Unii mają zapewnić akty wykonawcze, w tym rozporządzenie wykonawcze 2018/151. W rozporządzeniu doprecyzowano elementy, jakie mają zostać uwzględnione przez dostawców usług cyfrowych przy określaniu i przedsiębraniu środków mających na celu zapewnienie poziomu bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez nich w kontekście oferowania usług, jak również parametry, które należy wziąć pod uwagę w celu ustalenia, czy incydent ma istotny wpływ na świadczenie tych usług
• Dostawca usługi cyfrowej nie ma obowiązku dokonania zgłoszenia, gdy nie posiada informacji pozwalających na ocenę istotności wpływu incydentu na świadczenie usługi cyfrowej.

Incydent uznaje się za mający istotny wpływ, jeżeli zaistniała co najmniej jedna z następujących sytuacji:

1. usługa świadczona przez dostawcę usług cyfrowych była niedostępna przez ponad 5 000 000 użytkownikogodzin, przy czym pojęcie „użytkownikogodziny” odnosi się do liczby dotkniętych incydentem użytkowników w Unii przez okres sześćdziesięciu minut;
2. incydent doprowadził do utraty integralności, autentyczności lub poufności przechowywanych lub przekazywanych bądź przetwarzanych danych lub powiązanych usług, oferowanych bądź dostępnych poprzez sieci i systemy informatyczne dostawcy usług cyfrowych, która dotknęła ponad 100 000 użytkowników w Unii;
3. incydent spowodował ryzyko dla bezpieczeństwa publicznego lub ryzyko wystąpienia ofiar śmiertelnych;
4. incydent wyrządził co najmniej jednemu użytkownikowi w Unii stratę materialną, której wysokość przekracza 1 000 000 EUR.

Do zadań ministra właściwego do spraw informatyzacji należy m.in. opracowanie Strategii Cyberbezpieczeństwa, prowadzenie polityki informacyjnej na temat krajowego systemu cyberbezpieczeństwa, realizacja obowiązków sprawozdawczych wobec instytucji unijnych oraz uruchomienie z dniem 1 stycznia 2021 r. systemu teleinformatycznego, umożliwiającego zautomatyzowane zgłaszanie i obsługę incydentów, szacowanie ryzyka teleinformatycznego, ostrzeganie o zagrożeniach cyberbezpieczeństwa.

Zespoły CSIRT poziomu krajowego będą współpracować ze sobą, aby zapewnić spójny i kompletny system zarządzania ryzykiem w zakresie cyberbezpieczeństwa państwa oraz obsługę zgłoszonych incydentów, w tym zwłaszcza incydentów poważnych i krytycznych, najpoważniejszych z punktu widzenia państwa.

Do zadań CSIRT NASK, CSIRT GOV i CSIRT MON, należy koordynacja obsługi incydentów zgłaszanych przez:

CSIRT NASK:

• jednostki samorządu terytorialnego
• jednostki budżetowe,samorządowe zakłady budżetowe
• agencje wykonawcze, instytucje gospodarki budżetowej
• uczelnie publiczne i Polska Akademia Nauk
• Urząd Dozoru Technicznego, Polską Agencję Żeglugi Powietrznej, Polskie Centrum Akredytacji
• Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej
• spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej, których celem jest bieżące i nieprzerwane zaspokajanie zbiorowych
• obywateli.

CSIRT GOV:

• organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały
• ZUS, KRUS, NFZ
• Narodowy Bank Polski, Bank Gospodarstwa Krajowego

CSIRT MON:

• podmioty podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane, w tym podmioty, których systemy teleinformatyczne lub sieci teleinformatyczne objęte są jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej
• przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym, w stosunku do których organem organizującym i nadzorującym wykonywanie zadań na rzecz obronności państwa jest Minister Obrony Narodowej

Organ właściwy - kim jest

ORGAN WŁAŚCIWY

• Minister właściwy ds. energii i gospodarki wodnej (Ministerstwo Klimatu i Środowiska) - dla sektora energii i gospodarki wodnej,
• Minister właściwy ds. transportu (Ministerstwo Infrastruktury) - dla sektora transportu (włącznie z podsektorem transport wodny),
• Komisja Nadzoru Finansowego - dla sektora bankowego i infrastruktury rynków finansowych,
• Minister właściwy ds. zdrowia (Ministerstwo Zdrowia) - dla sektora ochrony zdrowia,
• Minister właściwy ds. informatyzacji (Kancelaria Prezesa Rady Ministrów) - dla sektora infrastruktury cyfrowej,
• Minister obrony narodowej (Ministerstwo Obrony Narodowej) - dla sektora zdrowia i infrastruktury cyfrowej w zakresie podmiotów podległych Ministrowi obrony narodowej.

Ustawa powołuje także organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych i usług cyfrowych. Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego.

ZADANIA ORGANU WŁAŚCIWEGO (OW)

• na bieżąco prowadzi analizę podmiotów w danym sektorze lub podsektorze pod katem uznania ich za operatora usługi kluczowej;
• wydaje decyzje o uznaniu podmiotu za operatora usługi kluczowej;
• przygotowuje rekomendacje działań mających na calu wzmocnienie cyberbezpieczeństwa, w tym wytyczne sektorowe dotyczące działania incydentów (współpraca z CSIRT NASK, CSIRT GOV, CSIRT MON i sektorowymi zespołami cyberbezpieczeństwa);
• prowadzi kontrole operatorów usług kluczowych i dostawców usług cyfrowych (monitoruje stosowanie przez nich przepisów ustawy);
• na wniosek CSIRT NASK, CSIRT GOV LUB CSIRT MON wzywa operatorów usług kluczowych lub dostawców usług cyfrowych do usunięcia w wyznaczonym terminie podatności które doprowadziły lub mogły doprowadzić do incydentu poważnego, istotnego lub krytycznego;
• uczestniczy w ćwiczeniach w zakresie cyberbezpieczeństwa organizowanych w RP lub UE;
• dla danego sektora lub podsektora może ustanowić, sektorowy zespół cyberbezpieczeństwa (SCZ to opcjonalne zadanie OW, tylko one decydują jak je ustanawiają i w jakiej formie prawnej

Procedura zakwalifikowania podmiotu jako operatora usługi kluczowej.

• Organ Właściwy bada rynek w celu identyfikacji potencjalnych Operatorów Usług Kluczowych
• Organ Właściwy zaczyna postepowanie administracyjne i zbiera informacje o podmiocie
• Organ Właściwy sprawdza, czy podmiot spełnia wymogi rozporządzenia
• Organ Właściwy wskazuje Operatora Usługi Kluczowej (DECYZJA ADMINISTRACYJNA)
• Operator Usługi Kluczowej ma od 3 do 12 miesięcy na dostosowanie się do wymogów zawartych w rozporządzeniu
• Operator Usługi Kluczowej realizuje obowiązki wynikające z ustawy

OBOWIĄZKI OPERATORA USŁUGI KLUCZOWEJ zgodnie z Ustawą (terminy biegną od momentu otrzymania decyzji administracyjnej uznającej podmiot za operatora usługi kluczowej)
W terminie 3 miesięcy	W terminie 6 miesięcy	W terminie 12 miesięcy
dokonuje szacowania ryzyka dla swoich usług kluczowych	wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne	przygotowuje pierwszy audyt w rozumieniu ustawy
zarządza incydentami	zbiera informacje o zagrożeniach i podatnościach
wyznacza osobę kontaktową z właściwym CSIRT i organem właściwym do spraw cyberbezpieczeństwa	stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego
prowadzi działania edukacyjne wobec użytkowników	stosuje wymaganą dokumentację	przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom
obsługuje incydenty we własnych systemach
zgłasza incydenty poważne
usuwa wskazywane podatności

Za niewykonanie wyżej wymienionych obowiązków, w rozdziale 14 Ustawy, przewidziano zastosowanie kar finansowych.

Rodzaje incydentów:

• Incydent krytyczny - incydent, skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi;
• Incydent poważny - incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej;
• Incydent istotny - incydent, który ma istotny wpływ na świadczenie usługi cyfrowej;
• Incydent o podmiocie publicznym - incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny;
• Incydent zwykły - zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo – ten incydent nie podlega zgłoszeniu, ale też należy go obsługiwać.

PRZEKAZYWANIE INFORMACJI O INCYDENCIE PRZEZ OPERATORA USŁUGI KLUCZOWEJ

• Operator zgłasza incydent niezwłocznie, nie później niż w ciągu 24H od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV
• Operator współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane
• Operator usuwa wskazane podatności oraz informuje o ich usunięciu organ właściwy

Ustawa przedstawia szczegółowo klasyfikację incydentów oraz zakres kompetencji CSIRT MON, CSIRT NASK, CSIRT GOV.

OBSŁUGA INCYDENTU

• Wykrywanie
• Rejestrowanie
• Analizowanie
• Klasyfikowanie
• Priorytetyzowanie
• Podejmowanie działań naprawczych
• Ograniczenie skutków inctdentu

SEKTOROWY ZESPOŁ CYBERBEPIECZEŃSTWA (SCZ)

• przyjmowanie zgłoszeń o incydentach poważnych oraz wsparcie w ich obsłudze
• wspieranie operatorów usług kluczowych w wykonywaniu obowiązków
• analizowanie incydentów poważnych, wyszukiwanie powiązań pomiędzy incydentami oraz opracowywanie wniosków z ich obsługi
• współpraca z właściwym CSIRT NASK, CSIRT GOV, CSIRT MON w zakresie koordynowania obsługi incydentów poważnych
• SZC może przekazywać do innych państw i przyjmować od nich informacje o incydentach poważnych, w tym dot. dwóch lub większej liczby państw członkowskich UE
• SZC może otrzymywać zgłoszenia incydentu poważnego z innego państwa członkowskiego UE, dot. dwóch lub większej liczby państw. Takie zgłoszenia przekazuje do właściwego CSIRT NASK, CSIRT GOV, CSIRT MON oraz PPK.

Przy Ministrze Cyfryzacji działa Pojedynczy Punkt Kontaktowy (PPK), który jest odpowiedzialny m.in. za:

• tworzenie ram prawnych funkcjonowania obszaru cyberbezpieczeństwa RP, w tym czuwanie nad ich spójnością;
• pełnienie funkcji łącznika w celu zapewnienia współpracy podmiotami odpowiedzialnymi za cyberbezpieczeństwo;
• gromadzenie i przetwarzanie informacji otrzymanych od m.in. operatorów usług kluczowych;
• kontrolowanie spełniania przez podmioty świadczące usługi z zakresu cyberbezpieczeństwa wymagań organizacyjnych i technicznych;
• przekazywanie na wniosek właściwego CSIRT, zgłoszenia incydentu poważnego lub incydentu istotnego dotyczącego dwóch lub większej liczby państw członkowskich Unii Europejskiej do pojedynczych punktów kontaktowych innych państwa członkowskich UE;
• zapewnienie reprezentacji RP w Grupie Współpracy;
• zapewnienie współpracy z Komisją Europejską w dziedzinie cyberbezpieczeństwa;
• koordynację współpracy między organami właściwymi ds. cyberbezpieczeństwa RP z odpowiednimi organami w państwa członkowskich UE.

Współpraca PPK z innymi organami:

• w uzasadnionych przypadkach współpracują z organami ścigania i organem właściwym do spraw ochrony danych osobowych;
• W przypadku gdy podmiot świadczy usługę kluczową w innych państwach członkowskich UE, organ właściwy w toku postępowania administracyjnego, za pośrednictwem Pojedynczego Punktu Kontaktowego, prowadzi konsultacje z tymi państwami w celu ustalenia, czy ten podmiot został uznany w tych państwach za operatora usługi kluczowej.

Przygotowanie ustawy poprzedzone zostało wstępnymi konsultacjami z przedstawicielami resortów kluczowych z punktu widzenia funkcjonowania krajowego systemu cyberbezpieczeństwa, przewidzianych w projekcie ustawy organów właściwych oraz z reprezentantami sektorów wskazanymi w załączniku do projektu. Ustawa realizuje zapisy Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022.

Strategia Cyberbezpieczeństwa RP na lata 2019-2024 została zaakceptowana przez Radę Ministrów
w dniu 22 października 2019 r., a 29 października podpisał ją premier Mateusz Morawiecki. Obowiązuje od 31 października 2019 roku. Treść uchwały Rady Ministrów jest dostępna tutaj.

Strategia zastępuje Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022.

Głównym celem Strategii jest podniesienie poziomu odporności na cyberzagrożenia oraz poziomu ochrony informacji w sektorach: publicznym, militarnym i prywatnym. Na lepszą ochronę informacji wpłynie też promowanie wiedzy i dobrych praktyk wśród obywateli.

W dokumencie określono pięć celów szczegółowych.

• Rozwój krajowego systemu cyberbezpieczeństwa,
• Podniesienie poziomu odporności systemów informacyjnych administracji publicznej
  i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty zakłada się m.in. opracowanie Narodowych Standardów Cyberbezpieczeństwa,
• Zwiększenie potencjału narodowego w zakresie technologii cyberbezpieczeństwa,
• Budowanie świadomości i kompetencji społecznychw zakresie cyberbezpieczeństwa,
• Zbudowanie silnej pozycji międzynarodowej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa.

W ciągu pół roku od przyjęcia dokumentu Minister Cyfryzacji, przy współpracy z członkami Rady Ministrów, kierownikami urzędów centralnych, Dyrektorem Rządowego Centrum Bezpieczeństwa opracuje i przedstawi Plan Działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa. W Planie Działań zostaną określone konkretne działania dla organów administracji rządowej, wraz z harmonogramem ich realizacji oraz miernikami pozwalającym ocenić stan realizacji poszczególnych działań.

Minister właściwy do spraw informatyzacji realizuje swoje zadania również we współpracy z jednostkami podległymi (Centrum Projektów Polska Cyfrowa), nadzorowanymi (Centralny Ośrodek Informatyki, Instytut Łączności – Państwowy Instytut Badawczy, Instytut Maszyn Matematycznych, Instytut Technik Innowacyjnych EMAG, Naukowa i Akademicka Sieć Komputerowa – NASK Państwowy Instytut Badawczy – NASK PIB) oraz organami nadzorowanymi (Prezes Urzędu Komunikacji Elektronicznej).

Ponadto, na poziomie operacyjnym funkcjonują następujące rozwiązania: CSIRT NASK, działający w NASK PIB jest pierwszym polskim zespołem reagowania na incydenty cyberbezpieczeństwa, którego zadaniem jest rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci, oraz wykrywanie i analiza zagrożeń wymierzonych przeciwko polskim internautom lub zagrażających domenie „.pl”. CSIRT NASK współpracuje ponadto z podobnymi podmiotami na świecie, zarówno w ramach działalności operacyjnej, jak i badawczo-wdrożeniowej.

Centrum Cyberbezpieczeństwa - utworzone w roku 2016 w strukturach NASK PIB, jest jednym z podmiotów krajowego systemu cyberbezpieczeństwa odpowiedzialnym za bezpieczeństwo cyberprzestrzeni RP. Centrum, która działając w systemie 24/7 monitoruje zagrożenia, przyjmuje i obsługuje incydenty cyberbezpieczeństwa i zarządza trybem informowania o zagrożeniach sieciowych. Centrum zajmuje się również obsługą zgłoszeń szkodliwych i nielegalnych treści – Dyżurnet.pl. W ramach Centrum powstał system partnerskiej współpracy z kilkudziesięcioma podmiotami kluczowymi dla gospodarki kraju.

Rządowy Klaster Cyberbezpieczeństwa jest projektem mającym zapewnić systemom administracji państwowej bezpieczny, efektywny dostęp do zasobów Internetu przy jednoczesnym zapewnieniu bezpieczeństwa użytkowników oraz zapewnienie niezakłóconej komunikacji pomiędzy instytucjami państwowymi, nawet w wypadku ataku na dużą skalę. Klaster będzie w szczególności zapewniał bezpieczeństwo serwisów informacyjnych państwa, biuletynów informacji publicznej, bezpieczną pocztę elektroniczną, bezpieczny dostęp do centralnych baz danych i usług dla obywateli. Prezes Rady Ministrów wyraziła zgodę na budową Rządowego Klastra Cyberbezpieczeństwa w lecie 2017 roku.

Zintegrowany system bieżącego zarządzania bezpieczeństwem Cyberprzestrzeni RP ma za zadanie zapewnienie informacji o bieżącym stanie bezpieczeństwa teleinformatycznego niezbędnego do oceny sytuacji i stanu bezpieczeństwa cyberprzestrzeni w Polsce. System będzie dokonywał powyższej oceny na podstawie zarejestrowanych incydentów pochodzących z kluczowych sektorów gospodarki oraz korelacji i analiz własnych. Koordynatorem systemu będzie Centrum Cyberbezpieczeństwa (NASK-PIB).

Z uwagi na procesy globalizacyjne niezbędne jest włączenie Polski w międzynarodowy system oceny i certyfikacji oparty na międzynarodowych normach i standardach. Polska aktywnie włącza się w ustanowienie europejskiego systemu oceny i certyfikacji produktów oraz usług sektora technologii informatycznych i komunikacyjnych.

Obecnie trwają intensywne prace nad projektem rozporządzenia RE i PE tzw. Cybersecurity Act. W projektowanym dokumencie zapisano m.in. potrzebę utworzenia Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeństwa, która zajmie się uregulowaniem europejskich ram certyfikacji cyberbezpieczeństwa na poziomie unijnym celem zwiększenia zaufania obywateli i przedsiębiorców do jednolitego rynku cyfrowego.

W lutym br. Polska dołączyła do grupy państw sygnatariuszy porozumienia SOGIS (Senior Official Group Information Security Systems), dzięki czemu będziemy mogli w przyszłości samodzielnie oceniać i certyfikować wyroby IT zgodne z powszechnie uznawaną normą oceny (ewaluacji) bezpieczeństwa teleinformatycznego, czyli PN - ISO/IEC 15408: Technika informatyczna – Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych (znana jako Common Criteria).

Propozycje konkretnych działań dot. tego obszaru znajdują się w Krajowych Ramach Polityki Cyberbezpieczeństwa Rzeczpospolitej Polski na lata 2017-2022 oraz w przepisach projektu ustawy o krajowym systemie cyberbezpieczeństwa. Projekt zakłada wśród obowiązków podmiotów publicznych zapewnienie użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami. W projekcie przewidziano także zadanie dla CSIRT NASK prowadzenia działań z zakresu budowania świadomości w obszarze cyberbezpieczeństwa, prowadzenia współpracy w zakresie rozwiązań edukacyjnych w obszarze cyberbezpieczeństwa. Krajowe Ramy uwzględniają rozwijanie na polskich uczelniach interdyscyplinarnych specjalizacji związanych z cyberbezpieczeństwem i rozwojem nowych technologii oraz podnoszenie kwalifikacji nauczycieli informatyki. Tematyka bezpiecznego korzystania z cyberprzestrzeni ma wg Krajowych Ram być elementem programu nauczania już na poziomie kształcenia wczesnoszkolnego.

Edukacja społeczna realizowana przez administrację publiczną w tym MC, we współpracy z organizacjami pozarządowymi oraz ośrodkami akademickimi, przekłada się na systemowe działania uwrażliwiające społeczeństwo na zagrożenia płynące z w cyberprzestrzeni, a także działania edukacyjne w zakresie praw i wolności w środowisku cyfrowym. Krajowe Ramy przewidują m.in. kampanie społeczne, skierowane do różnych grup docelowych (między innymi dzieci, rodziców, seniorów). Administracja publiczna ma wspierać wszelkie działania, zarówno operatorów usług kluczowych jak i dostawców usług cyfrowych, w zakresie podejmować działania edukacyjne i informacyjne. Celem działań będzie zapewnienie użytkownikom końcowym dostępu do wiedzy pozwalającej na zrozumienie zagrożeń w cyberprzestrzeni i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami. W myśl projektu ustawy o KSC, minister właściwy do spraw informatyzacji będzie prowadził działania informacyjne dotyczące dobrych praktyk, programów edukacyjnych, kampanii i szkoleń na rzecz poszerzania wiedzy i podnoszenia świadomości z zakresu cyberbezpieczeństwa, w tym bezpiecznego korzystania z Internetu przez różne kategorie użytkowników.

Edukacja ekspercka obejmuje z kolei wypracowanie skuteczniej formy przeciwdziałań dla rozwijającej się cyberprzestępczości, w oparciu o system szkoleń dla pracowników podmiotów istotnych dla funkcjonowania bezpieczeństwa w cyberprzestrzeni oraz dla przedstawicieli organów ścigania i wymiaru sprawiedliwości.