Krajowy system cyberbezpieczeństwa Ministerstwo Cyfryzacji Portal Gov pl

kh.nour 0 Comments September 28, 2022

Potwierdzono chęć wprowadzenia procedury, która miałaby pozwolić na określenie czy dostawca sprzętu lub oprogramowania – dla podmiotów usług kluczowych i cyfrowych – zostanie uznany za dostawcę wysokiego ryzyka. W uzasadnieniu trzeciej wersji nowelizacji czytamy m.in. O najważniejszych zmianach, jakie wprowadzono w porównaniu do poprzedniego projektu. Dodano choćby zapisy dotyczące krajowego systemu Jak mogą być podłogi handlowe które mogą dostosować się do trwającej pandemii certyfikacji cyberbezpieczeństwa; zasad wyznaczania Operatora Strategicznej Sieci Bezpieczeństwa oraz jego zadań; przyznania zasobów częstotliwości z zakresu 703–733 MHz oraz 758–788 MHz. To kolejne gigantyczne kwoty, które są związane z pozbyciem się danego sprzętu, oprogramowania i procesów ICT. Opublikowaliśmy nową wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.

stopka Ministerstwo Cyfryzacji

Jesteśmy w fazie regularnej wojny w cyberprzestrzeni, bo działania naszych przeciwników politycznych, jak i grup przestępczych są na takim poziomie aktywności, że musimy mieć narzędzia do twardego reagowania” – stwierdził Olszewski. Będą wydawane ostrzeżenia, nakazy oraz decyzje administracyjne nakazujące lub zaniechanie określonego działania. Nadzór prewencyjny lub następczy nad podmiotami kluczowymi oraz tylko następczy – nad podmiotami ważnymi. CSIRT INT utworzony ma być w celu zapewnienia wsparcia w obsłudze incydentów zgłaszanych przez jednostki podległe Ministrowi Spraw Zagranicznych (lub przez niego nadzorowane), w tym posiadające infrastrukturę krytyczną. W jego constituency znajdzie się oczywiście także sama Agencja Wywiadu.

MZ o ustawie refundacyjnej: na “cofnięcie wszystkiego” się nie zgodzimy. Branża oczekuje rewolucji

Przedsiębiorcy komunikacji elektronicznej to nowe podmioty, na które zostaną nałożone obowiązki po wejściu w życie nowelizacji ustawy o KSC. W tym zakresie warto również wspomnieć o projekcie ustawy – Prawo komunikacji elektronicznej, który już raz został w Sejmie odrzucony [5], a który ma wdrożyć do polskiego porządku prawnego Europejski Kodeks Łączności Elektronicznej. Przewiduje on regulację wielu kwestii związanych z przedsiębiorcami komunikacji elektronicznej. Do prac sejmowych skierowany został najnowszy projekt nowelizacji ustawy z dnia 6 lipca 2018 r. 11 lipca sejmowe komisje [1] postanowiły przeprowadzić wysłuchanie publiczne w sprawie tego projektu. Ustawa realizuje zapisy Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022.

Nowe podejście do cyberbezpieczeństwa? Poznaliśmy założenia nowelizacji KSC

Proponowanych w projekcie zmian jest oczywiście bardzo wiele – wystarczy spojrzeć na objętość dokumentu (wersja z 7 czerwca 2023 roku ma aż 103 strony). Mają one różny charakter – od zmian ściśle legislacyjnych, przez wprowadzenie nowych definicji i podmiotów objętych regulacją, rewolucję w zakresie CSIRT, aż po dodanie możliwości uznania za dostawcę wysokiego ryzyka oraz powołanie operatora strategicznej sieci bezpieczeństwa. Najważniejsze zmiany ilustruje poniższa tabela. Ze względu na dużą ich ilość, w dalszej części artykułu przybliżone zostaną pokrótce tylko zaznaczone zmiany.

Dostawcy usług cyfrowych – obowiązki

  1. Podmioty zobowiązane do zawarcia umowy z OSSB otrzymały możliwość zawarcia umowy z innym dostawcą usług telekomunikacyjnych, jeśli ceny oferowane przez Operatora przekraczają koszty oraz rozsądną marżę.
  2. 2 w art. 3, co ma sprawić, że KSC będzie miał zastosowanie „we wszystkich stanach gotowości obronnej państwa”.
  3. Wprowadzenie dyrektywy NIS2 jest odpowiedzią na rosnące potrzeby związane z cyfrowym bezpieczeństwem.
  4. W takim przypadku świadczenie usług telekomunikacyjnych może być przez dany podmiot zlecone innemu operatorowi telekomunikacyjnemu, dającemu rękojmię zapewnienia bezpieczeństwa świadczonych usług na poziomie nie niższym niż określony w rozwiązanej umowie z OSSB.

De facto jest to wersja implementująca do polskiego prawa przepisy wynikające z unijnej dyrektywy NIS2. Dyrektywa ma służyć zwiększeniu bezpieczeństwa sieci i systemów teleinformatycznych w krajach Unii Europejskiej. Mija termin wdrożenia tej dyrektywy przez państwa unijne. Na stronie Kancelarii Prezesa Rady Ministrów w wykazie prac legislacyjnych i programowych Rady Ministrów pojawił się projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Zagwarantować uruchomienie bezpiecznej sieci telekomunikacyjnej wykorzystywanej na potrzeby realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego przez kluczowe urzędy i podmioty działające w kraju. Wśród najważniejszych rozwiązań zawartych w projekcie wskazano przebudowanie modelu współpracy w ramach krajowego systemu cyberbezpieczeństwa pomiędzy Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) a operacyjnymi centrami bezpieczeństwa (SOC).

Podobnie jak w poprzednich propozycjach nowelizacji ustawy o KSC, również w tym z października br. Zakłada się utworzenie strategicznej sieci bezpieczeństwa w celu zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie telekomunikacji. Dodano jednak uprawnienie Prezesa Rady Ministrów do wydania rozporządzenia, w którym określone zostaną minimalne wymagania techniczne jakie musi spełniać SSB oraz minimalny poziom bezpieczeństwa usług transmisji danych, połączeń głosowych oraz wiadomości tekstowych. Znowelizowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które są objęte przepisami obecnej ustawy o krajowym systemie cyberbezpieczeństwa.

Ustawa o krajowym systemie cyberbezpieczeństwa

Przede wszystkim zmieni się sposób zgłaszania incydentów – operatorzy usług kluczowych będą je notyfikować nie CSIRT poziomu krajowego, jak do tej pory, ale CSIRT właściwemu dla sektora lub podsektora, który reprezentują. Ten dopiero będzie zgłaszał incydenty poważne do CSIRT poziomu krajowego. Powołanie CSIRT sektorowych (które zastąpią sektorowe zespoły cyberbezpieczeństwa, do tej pory uregulowane w art. 44 ustawy o KSC) stanie się obligatoryjne.

Wobec faktu, że w tym ostatnim poziom wynagrodzeń jest wyższy, to takie podejście zwiększa szanse w rywalizacji o pozyskanie specjalistów. Chodzi o produkty ICT, rodzaje usług ICT lub konkretne procesy ICT pochodzące od dostawcy wysokiego ryzyka, które będą musiały zostać wycofane, co ma pomóc w „zapewnieniu ochrony ważnego interesu państwowego w postaci bezpieczeństwa państwa”. Szczegóły tych regulacji opiszemy w kolejnym materiale. Teraz zmiana obejmuje punkt, w którym to minister ma kierować działaniami CSIRT-ów również w czasie wojny. Doprecyzowano, że minister obrony narodowej kieruje działaniami związanymi z obsługą incydentów, a także koordynuje działania CSIRT NASK i CSIRT GOV w czasie stanu wojennego oraz czasie wojny – poprzez CSIRT MON.

Tu jednak pojawił się problem, ponieważ chińscy dostawcy sprzętu mogą być zgodnie z nowymi przepisami blokowani jako dostawcy wysokiego ryzyka. Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa to jedno wielkie pole minowe. Musi być przyjęta do 17 października, inaczej będą nas czekać kolejne kary ze strony unijnych organów.

Zakres podmiotów, wprowadza bardziej rygorystyczne wymogi dotyczące zarządzania ryzykiem i zgłaszania incydentów cybernetycznych czy końcowego raportowania. Przykładowo zmiana pierwotnej wersji “operator usługi kluczowej” na “podmiot kluczowy lub ważny” podkreśla szerszy zakres podmiotów, odpowiedzialności i rozliczalności w zarządzaniu ryzykiem cybernetycznym. Po przyjęciu aktualnej wersji projektu, istotna zmiana czeka jednostki funkcjonujące jako CSIRT poziomu krajowego [6]. Część ich kompetencji przekazana zostanie CSIRT sektorowym (lub podsektorowym).

Taki ISAC zostaje następnie wpisany do wykazu prowadzonego przez ministra właściwego do spraw informatyzacji. Określono również nowe zasady i formę powoływania i odwoływania OSSB. Potencjalny Operator strategicznej sieci bezpieczeństwa musi wyrazić zgodę na przyjęcie na siebie tej roli. Wicepremier i minister cyfryzacji Krzysztof Gawkowski projekt nazwał „ustawą KSC 3.0”, która w „70 proc.

Koordynowanie działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w Rzeczypospolitej Polskiej powierza się Pełnomocnikowi. CSIRT MON, CSIRT NASK lub CSIRT GOV informuje inne państwa członkowskie Unii Europejskiej w przypadku, gdy incydent istotny dotyczy dwóch lub większej liczby państw członkowskich Unii Europejskiej, za pośrednictwem Pojedynczego Punktu Kontaktowego. Kolejnym nowym obszarem jest Krajowy Plan Reagowania na Incydenty i Sytuacje Kryzysowe, opisujący cele i sposoby zarządzania incydentami oraz zarządzania kryzysowego w cyberbezpieczeństwie. Jego przyjęcie pozwoli, jak wierzę, na uporządkowanie tej niezwykle istotnej materii z poziomu strategicznego. Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r…

Słyszymy ponadto, że projekt nakłada na przedsiębiorców i administrację publiczną znacznie więcej kosztownych obowiązków niż wymaga tego Dyrektywa NIS2 – powstaje tzw. Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa. Będą oni musieli regularnie przeprowadzać aktualizacje oprogramowania, zgodnie z zaleceniami producenta (z uwzględnieniem analizy wpływu aktualizacji na bezpieczeństwo usługi kluczowej i poziomu krytyczności poszczególnych aktualizacji). Przepisy wzmacniają też pozycję pełnomocnika ds.

Natomiast przedstawiony projekt określa ich minimalny poziom na poziomie zł w przypadku podmiotów kluczowych oraz zł w przypadku podmiotów ważnych. Na stronie Kancelarii Prezesa Rady Ministrów pojawił się projekt, na który czekała branża cyberbezpieczeństwa w Polsce, obejmujący zmiany w ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC). Nowelizacja wdrażająca między innymi dyrektywę NIS 2, została wpisana do wykazu prac legislacyjnych Rady Ministrów. Planowany termin przyjęcia projektu to III kwartał br., odpowiada za niego wiceminister cyfryzacji Paweł Olszewski.

Pierwsza wersja zmian przedstawiona została 7 września 2020 roku, a zatem procedura na etapie rządowym trwa już niemal trzy lata [2]. Do projektów w ciągu tego czasu zgłoszono bardzo wiele uwag i wypracowanie tekstu, który został zaakceptowany przez rząd, nie sprawia, że żadne uwagi nie będą już zgłaszane. Przeciwnie – kontrowersje wokół projektu wciąż się pojawiają [3]. Wymaganiami z zakresu cyberbezpieczeństwa zostali także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych są objęte zharmonizowanym na poziomie UE reżimem regulacyjnym. Ustawa odwołuje się tutaj do decyzji wykonawczej Komisji Europejskiej.

Kampanie społeczne, skierowane do różnych grup docelowych (między innymi dzieci, rodziców, seniorów). Administracja publiczna ma wspierać wszelkie działania, zarówno operatorów usług kluczowych jak i dostawców usług cyfrowych, w zakresie podejmować działania edukacyjne i informacyjne. Celem działań będzie zapewnienie użytkownikom końcowym dostępu do wiedzy John Templeton słynie z niezwykłego podejścia do inwestowania pozwalającej na zrozumienie zagrożeń w cyberprzestrzeni i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami. 5 października w Biuletynie Informacji Publicznej Ministra Cyfryzacji opublikowany został nowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz ustawy – Prawo zamówień publicznych.

Do tego dochodzą koszty roczne nadzoru, koszty zatrudnienia personelu, zakupienia sprzętu, oprogramowanie monitorującego 24 godziny na dobę. Skojarzenie cyberbezpieczeństwa z telekomunikacją jest oczywiste. Cyberzagrożenia kojarzą nam się z Internetem, a za ten odpowiada właśnie branża telekomunikacyjna.

Celem przygotowanej przez Ministerstwo Cyfryzacji ustawy o krajowym systemie cyberbezpieczeństwa było opracowanie uregulowań prawnych umożliwiających implementacje dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym . – Zmiany w Krajowym Systemie Cyberbezpieczeństwa to dla nas priorytetowy projekt na ten rok. Przez ostatnie lata wiele zmieniło się w krajobrazie cyberprzestrzeni, a wyzwań jest coraz więcej biorąc pod uwagę liczbę incydentów i ich konsekwencje. Jesteśmy zdeterminowani, aby wprowadzić nowe prawo szybko, ale zachowując odpowiedni okres dla przedsiębiorców do dostosowania się do regulacji – podkreślił wicepremier, minister cyfryzacji Krzysztof Gawkowski. Kara, o której mowa w art. 73, może zostać nałożona również w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli organ właściwy do spraw cyberbezpieczeństwa uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia.

Jest to nieprawda, ponieważ wiele urządzeń ma gwarancje długoletnie, nawet i po kilkanaście lat. Niektóre elementy tych urządzeń oczywiście są wymieniane – informował prezes KIKE. O powyższą wiedzę możemy być bogatsi, jeśli w tej kwestii wypowiedzą się zainteresowane Historia pracy z Alpari firmy. Niektóre z nich być może nawet nie wiedzą, że mogą ich czekać takie zmiany. Co słusznie wskazuje w felietonie dla Telko.In Piotr Mieczkowski. Czasu na konsultacje społeczne jest bardzo mało i może go nie starczyć dla wszystkich.

Stąd tak krytyczne jest dostosowanie przepisów do rosnących wyzwań, jakie niewątpliwie w obliczu cyfrowego świata wciąż się piętrzą. Zasady korzystania z platformy określone zostaną w porozumieniu z ministrem właściwym do spraw informatyzacji. Przeprowadzenie w sprawie tego projektu wysłuchania publicznego 11 września znacznie wydłuży proces legislacyjny. Jest to o tyle istotne, że w związku z zaplanowanymi na 15 października 2023 r.

Wydadzą decyzje o uznaniu za operatora usługi kluczowej oraz przekażą ministrowi właściwemu do spraw informatyzacji wnioski o wpisanie operatorów usług kluczowych do wykazu, o którym mowa w art. 7. Nowym aspektem będą postępowania o wydanie decyzji o dostawcach wysokiego ryzyka. Postępowaniami mogą zostać objęci dostawcy produktów, usług i procesów ICT wykorzystywanych przez podmioty kluczowe lub podmioty ważne. Dostawcą może być producent, importer oraz dystrybutor. Jeśli podmiot taki otrzyma decyzję, że jest dostawcą wysokiego ryzyka, będzie to oznaczać dla podmiotów krajowego systemu cyberbezpieczeństwa konieczność wycofania z użytkowania produktów, usług i procesów objętych decyzją w ciągu 7 lat. Nowelizacja dotyczy również CSIRT-ów (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego – red.) poziomu krajowego oraz sektorowego.

W związku z tym w nowym projekcie usunięto przepisy dotyczące utworzenia spółki Polskie 5G. Powstanie również CISRT INT – prowadzony przez Szefa Agencji Wywiadu, będzie przeznaczony dla jednostek podległych ministrowi spraw zagranicznych (lub przez niego nadzorowanych), o czym pisaliśmy jako pierwsi na łamach CyberDefence24 w tym materiale . Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie. Szczegółowe zapisy nowelizacji KSC będziemy także opisywali na łamach CyberDefence24.pl w kolejnych dniach. Zaznaczył, że podstawą jest przyjęcie przepisów dotyczących Toolbox 5G, które do tej pory nie zostały przyjęte, co jak ocenił Gawkowski „jest prawdziwym skandalem”. Dodatkowo, podstawą jest implementacja Dyrektywy NIS 2, z czym polski rząd nie może zwlekać.