Nowości w krajowym systemie cyberbezpieczeństwa

Zakres podmiotowy ustawy

Ustawą o krajowym systemem cyberbezpieczeństwa mają zostać objęci przedsiębiorcy komunikacji elektronicznej.

Nowe definicje

W celach uporządkowania zdefiniowano pojęcia:

• akredytacja,

• certyfikat,

• cyberzagrożenie,

• deklaracja zgodności,

• dostawca,

• incydent telekomunikacyjny,

• ISAC,

• jednostka oceniająca zgodność,

• krajowy certyfikat cyberbezpieczeństwa,

• krajowa deklaracja zgodności,

• krajowy program certyfikacji cyberbezpieczeństwa,

• krajowy poziom uzasadnienia zaufania,

• obsługa incydentu,

• ocena zgodności,

• proces ICT,

• produkt ICT,

• przedsiębiorca komunikacji elektronicznej

• SOC wewnętrzny, SOC zewnętrzny,

• usługa ICT,

• usługi komunikacji elektronicznej.

Aktualizacje oprogramowania

W projekcie sprecyzowano, że operator usług kluczowych ma obowiązek regularnego przeprowadzania aktualizacji oprogramowania, stosownie do zaleceń producenta, z uwzględnieniem analizy wpływu aktualizacji na bezpieczeństwo świadczonej usługi kluczowej oraz poziomu krytyczności poszczególnych aktualizacji.

Więcej osób kontaktowych

Operatorzy usług kluczowych będą musieli wyznaczyć 2 osoby do kontaktu z podmiotami z krajowego systemu cyberbezpieczeństwa.

Zgłaszanie poważnych incydentów

Operator usług kluczowych będzie musiał zgłaszać za pomocą odpowiedniego systemu IT incydenty poważne do CSIRT sektorowego, który następnie przekaże je do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.

SOC

Zadania operatorów usług kluczowych w zakresie bezpieczeństwa systemów informacyjnych mają być wykonywane w ramach SOC wewnętrznych i SOC zewnętrznych. Wykaz SOC ma prowadzić minister właściwy do spraw informatyzacji.

Obowiązki przedsiębiorców komunikacji elektronicznej

Przedsiębiorcy komunikacji elektronicznej będą zobligowani m.in.:

• systematycznie szacowa

• ryzyko wystąpienia sytuacji szczególnego zagrożenia,

• wdrażać środki techniczne i organizacyjne zapewniające poufność, integralność, dostępność i autentyczność przetwarzanych danych, a także poziom bezpieczeństwa odpowiedni do poziomu zidentyfikowanego ryzyka,

• dokumentowa

• prowadzenie analizy ryzyka oraz wdrożenie środków bezpieczeństwa,

• informowanie o podjętych środkach Prezesa UKE (na jego żądanie),

• obsługiwać każdy incydent telekomunikacyjny, który u nich wystąpi,

• uznać incydent telekomunikacyjny za poważny incydent telekomunikacyjny, jeżeli spełni on progi określone w rozporządzeniu, a także przekazywać informacje o tym incydencie do zespołu CSIRT Telco,

• spełniać odrębny obowiązek informacyjny wobec użytkowników końcowych.

Podmioty publiczne

Podmioty publiczne będą miały obowiązek wyznaczenia 2 osób odpowiedzialnych za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

ISAC

ISAC będą mogły funkcjonować w ramach krajowego systemu cyberbezpieczeństwa.

Wsparcie od zespołów

CSIRT GOV, CSIRT MON i CSIRT NASK będą mogły udzielić wsparcia w obsłudze incydentów i incydentów telekomunikacyjnych wszystkim podmiotom krajowego systemu cyberbezpieczeństwa, a także operatorom infrastruktury krytycznej.

Ocena bezpieczeństwa systemów IT

CSIRT GOV, CSIRT MON, CSIRT NASK, CSIRT sektorowe, CSIRT INT albo CSIRT Telco będą przeprowadzały oceny bezpieczeństwa systemów informacyjnych wykorzystywanych przez podmioty krajowego systemu cyberbezpieczeństwa. Ocena będzie przeprowadzana jedynie za zgodą za zgodą podmiotu krajowego systemu cyberbezpieczeństwa wyrażoną w postaci pisemnej lub elektronicznej pod rygorem nieważności. Ocena ta będzie miała na celu pomoc w identyfikacji podatności.

Krajowy system certyfikacji cyberbezpieczeństwa

Zostanie utworzony krajowy system certyfikacji cyberbezpieczeństwa. W jego skład wejdą:

• Polskie Centrum Akredytacji,

• minister właściwy do spraw informatyzacji,

• jednostki oceniające zgodność (dobrowolnie),

• przedsiębiorcy certyfikujący swoje produkty (dobrowolnie).

W ramach tego systemu W ramach obowiązków krajowego organu minister właściwy do spraw informatyzacji będzie prowadził postępowania administracyjne dotyczące m.in.:

• zatwierdzania certyfikatów odwołujących się do poziomu zaufania wysoki,

• wydawania zezwoleń na prowadzenie oceny zgodności w przypadku, gdy program certyfikacyjny określa szczególne wymagania dla jednostek oceniających,

• cofania i ograniczania, zezwoleń na prowadzenie oceny zgodności w przypadku, gdy program certyfikacyjny określa szczególne wymagania dla jednostek oceniających zgodność,

• cofnięcia certyfikatu wydanego wbrew przepisom ustawy lub wbrew postanowieniom programu certyfikacyjnego,

• nakładania kar pieniężnych.

Krajowe programy certyfikacji bezpieczeństwa

Programy takie będą ustalane w rozporządzeniach Rady Ministrów. Celem tych programów będzie zapewnienie, aby produkty ICT, usługi ICT i procesy ICT, certyfikowane zgodnie z takimi programami, spełniały określone wymogi w celu ochrony dostępności, autentyczności, integralności i poufności przechowywanych, przekazywanych lub przetwarzanych danych lub powiązanych funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych produktów, usług i procesów w trakcie ich całego cyklu życia.