Procesy legislacyjne w Polsce i Unii Europejskiej trwają w najlepsze. W tej chwili urzędnicy pracują nad uchwaleniem ponad 50 aktów prawnych związanych z cyberbezpieczeństwem, e-handlem czy prywatnością w sieci. Na naszym rodzimym podwórku najistotniejszym dokumentem wydaje się być nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa. Proces jej zmian trwa już od 3 lat, a zgodnie z przewidywaniami ma zakończyć się przyjęciem nowelizacji najpóźniej w II kwartale tego roku.
KSC ma w tej chwili najważniejsze znaczenie głównie ze względu na obszerną liczbę adresatów, którzy będą musieli dostosować się do nowych przepisów. Odbiorcami dokumentu są operatorzy usług kluczowych, czyli m.in dostawcy usług chmurowych, wyszukiwarki internetowe oraz dostawcy internetowych platform handlowych. Nowy dokument ma ujednolicić zasady zgłaszania incydentów cyberbezpieczeństwa, a także umożliwiać realizację zadań z zakresu cyberbezpieczeństwa przez zewnętrzne oddziały Security Operations Center. Mowa o monitorowaniu bezpieczeństwa i nietypowych zdarzeń w infrastrukturze informatycznej konkretnych podmiotów. Kontrolowany ma być także sprzęt i oprogramowanie pod kątem zagrożenia, jakie może wywołać ich wykorzystanie w kluczowych sektorach polskiej gospodarki.
Kluczowy dokument unijny, który musimy wdrożyć na poziomie krajowym to dyrektywa NIS 2, która znacząco zwiększa grono podmiotów kluczowych i istotnych. Mowa chociażby o producentach żywności, dostawcach usług kurierskich, pocztowych. Zadaniem podmiotów pracujących nad nowelizacją KSC jest jak najwierniejsze wdrożenie postanowień NIS2 w nowej wersji KSC. Brak ujednolicenia zasad może spowodować wiele sprzeczności jak chociażby takie, że zgodnie z KSC dany podmiot nie będzie uznany za kluczowy, a wg NIS2 już tak. Takie podwójne standardy to nie tylko chaos w przepisach, ale także podwójne koszty dla adresatów, którzy będą musieli dwa razy ponieść koszty związane z procesem przygotowania się do nowego prawa.
Co na dziś nowego pojawiło się w nowej wersji KSC? Najistotniejsza zmiana to sektorowość CSRIT i znaczący podział CSRIT w zależności od obszarów działalności danych podmiotów. CSIRT GOV ma być właściwy dla przyjmowania incydentów zgłaszanych przez: Państwowe Gospodarstwo Wodne Wody Polskie, instytucje rozwoju, Urzędu Komisji Nadzoru Finansowego. CSRIT NASK ma przyjmować zgłoszenia od Centrum Łukasiewicz, instytutów działających w jego ramach, instytutów badawczych, międzynarodowych instytutów badawczych, Polskiej Akademii Nauk, Polskiej Akademii Umiejętności, samodzielnych publicznych zakładów opieki zdrowotnej, uczelni. Z kolei do CSIRT MON będą zgłaszali incydenty telekomunikacyjne ci przedsiębiorcy komunikacji elektronicznej, którzy są: podmiotami podległymi MON lub przez niego nadzorowanymi, przedsiębiorcami realizującymi zadania na rzecz Sił Zbrojnych. Natomiast do CSIRT GOV będą zgłaszali incydenty telekomunikacyjne przedsiębiorcy komunikacji elektronicznej (którzy są wymienieni w art. 26 ust. 7). Dla pozostałych przedsiębiorców komunikacji elektronicznej właściwym CSIRT będzie CSIRT NASK.
Jaki ostateczny kształt przyjmie Krajowy System Cyberbezpieczeństwa i przyniesie kluczowe zmiany dowiemy się, zgodnie z zapowiedziami, najpóźniej do końca czerwca br.
Najnowsze komentarze