Ministerstwo Cyfryzacji otrzymało liczne opinie do projektu aktualizacji Standardów Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO). Nowa wersja dokumentu spotkała się z pozytywnym odbiorem podmiotów uczestniczących w prekonsultacjach. W przekazanych opiniach zasygnalizowane zostały obszary wymagające doprecyzowania lub dalszej pracy w celu rozwoju wykorzystania usług przetwarzania w chmurze obliczeniowej.

Wszystkie zgłoszone postulaty zostaną przeanalizowane pod kątem możliwości ich uwzględnienia w dokumencie. Niezależnie Ministerstwo Cyfryzacji zapewnia, że zgłoszone uwagi będą brane pod uwagę przy opracowywaniu dalszych aktów związanych z wykorzystaniem chmury obliczeniowej w administracji publicznej. 

Ministerstwo Cyfryzacji podkreśla, że zeszłoroczna nowelizacja uchwały Rady Ministrów w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” złagodziła wymogi w zakresie rodzaju systemów teleinformatycznych, które mogą zostać przeniesione do Rządowej Chmury Obliczeniowej oraz Publicznej Chmury Obliczeniowej. Złagodzone zostały także kryteria regulujące dopuszczalną jurysdykcję Centrów Przetwarzania Danych (CPD) w przypadku Publicznych Chmur Obliczeniowych. 

SCCO w nowej wersji ma za zadanie zapewnić stosowalność zmienionych przepisów ale także zagwarantować odpowiedni poziom bezpieczeństwa poprzez określenie konkretnych i aktualnych zabezpieczeń dla przetwarzanych w chmurze obliczeniowej danych.  

Ministerstwo Cyfryzacji dopuszcza możliwość przetwarzania danych w CPD zlokalizowanych na terenie EOG, jednakże wymogiem jest, aby w tych państwach respektowane było prawo Unii Europejskiej. W szczególności przepisy dotyczące ochrony danych osobowych czy cyberbezpieczeństwa. W niektórych przypadkach przewidujemy pierwszeństwo wykorzystywania CPD zlokalizowanych na terytorium Polski. Co do zasady jednak, podmiot ma swobodę w wyborze, czy skorzysta z usług chmurowych dostawcy, który oferuje CPD na terenie kraju czy na terenie EOG. Ograniczenia wynikać będą z przeprowadzonej analizy ryzyka. 

Ministerstwo chce realizować politykę Cloud First ale z poszanowaniem suwerenności, bezpieczeństwa i niezakłóconego działania państwa. Dążymy do rozwoju polskiej gospodarki zachęcając przedsiębiorców – niezależnie od ich wielkości –  do inwestowania w Polsce, budowy nowych CPD i oferowania usług dla polskiej administracji na najwyższym poziomie. Liczymy, że rozwój usług chmurowych będzie następował z szerokim udziałem polskich przedsiębiorców. 

Administracja publiczna jest wyjątkową kategorią odbiorcy usług chmurowych. Z tego powodu dostawcy komercyjni chcąc świadczyć usługi dla tych podmiotów powinni dostosować ofertę i warunki świadczenia usług uwzględniając indywidualną sytuację danego podmiotu. 

Wierzymy, że obecne i przyszłe działania związane z chmurą obliczeniową zapewnią m.in.: 

• wzrost inwestycji i rozwój polskiej gospodarki 
• bezpieczeństwo państwa i przetwarzanych danych na wypadek cyberataków bądź konfliktów zbrojnych 
• wojskową współpracę sojuszniczą 
• trwałe obniżenie kosztów stałych przetwarzania danych 
• niezakłócone świadczenie usług przez administrację publiczną 

Projekt aktualizacji SCCO zostanie teraz przekazany do akceptacji przez Ministra Spraw Wewnętrznych i Administracji, Ministra Koordynatora do spraw Służb Specjalnych oraz Ministra Obrony Narodowej. 

Link do artykułu: Zakończenie konsultacji Standardów Cyberbezpieczeństwa Chmur Obliczeniowych

Ministerstwo Cyfryzacji udostępniło do konsultacji publicznych projekt aktualizacji Standardów Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO). Dokument ten jest kluczowym elementem, który umożliwia administracji rządowej korzystanie z usług przetwarzania w Publicznej Chmurze Obliczeniowej (PChO) zgodnie z nowymi regulacjami.

Nowelizacja WIIP – krok w stronę cyfrowej transformacji

29 października 2024 r. weszła w życie nowelizacja uchwały Rady Ministrów w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” (WIIP). Nowe przepisy pozwalają podmiotom administracji rządowej na korzystanie z rozwiązań chmurowych w jurysdykcji krajowej lub w innych państwach Europejskiego Obszaru Gospodarczego (EOG). Warunkiem jest przeprowadzenie przez administratora systemu szczegółowej analizy ryzyka. 

Aby zapewnić skuteczność wdrażania uchwały, konieczna jest aktualizacja Standardów Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO). Oba dokumenty są ze sobą powiązane – brak aktualnych standardów utrudnia, a często wręcz uniemożliwia pełne wykorzystanie usług chmurowych przez administrację publiczną. 

Co zmieniło się w SCCO?

W ramach prac nad aktualizacją SCCO, Ministerstwo Cyfryzacji we współpracy z kluczowymi instytucjami rządowymi przeprowadziło gruntowny przegląd i modernizację dokumentu. Najważniejsze zmiany obejmują: 

• nowelizację kluczowych pojęć zawartych w SCCO, 
• dostosowanie kategorii zabezpieczeń do nowego brzmienia uchwały WIIP, 
• aktualizację katalogu zabezpieczeń zgodnie z bieżącymi standardami NIST, 
• wprowadzenie zmian w zakresie podstawowych wymagań bezpieczeństwa w macierzy zabezpieczeń. 

Dzięki tym modyfikacjom dokument uwzględnia zarówno potrzeby administracji rządowej, jak i postulaty organów określonych w uchwale WIIP. 

Zaproszenie do konsultacji

Projekt SCCO, mimo swojej kluczowej roli, nie podlega procesowi legislacyjnemu. Jego przyjęcie wymaga jednak wspólnej akceptacji Ministra Cyfryzacji, Ministra Koordynatora ds. Służb Specjalnych, Ministra Obrony Narodowej oraz Ministra Spraw Wewnętrznych i Administracji. 

Ministerstwo Cyfryzacji, wychodząc naprzeciw oczekiwaniom sektora prywatnego i dążąc do szerokiej współpracy z rynkiem, zaprasza do 14-dniowych konsultacji projektu aktualizacji SCCO. Zależy nam na uwzględnieniu nie tylko perspektywy administracji, ale również głosu dostawców usług chmurowych, których działalność i standardy będą bezpośrednio związane z wymaganiami określonymi w SCCO. 

Jak zgłosić uwagi?

Uwagi i opinie dotyczące projektu aktualizacji SCCO można przesyłać na adres e-mail: sekretariat.DC@cyfra.gov.pl. Konsultacje trwają do 28 lutego 2025 r. 

Ministerstwo Cyfryzacji dąży do tego, by zaktualizowane standardy ułatwiły administracji publicznej korzystanie z usług chmurowych w ramach znowelizowanej uchwały WIIP. Jednocześnie, wszelkie propozycje wykraczające poza zakres aktualnych prac będą cennym wkładem w dalszy rozwój infrastruktury chmurowej w sektorze publicznym.

Link do aktualności: Ministerstwo Cyfryzacji zaprasza do konsultacji aktualizacji Standardów Cyberbezpieczeństwa Chmur Obliczeniowych