Kolejna nowelizacja projektu ustawy o krajowym systemie cyberbezpieczeństwa Co się zmieniło?

Warto na marginesie dodać, że przepisy te zostały uchylone przez dyrektywę NIS 2 ze skutkiem od 18 października 2024 r. Przedsiębiorcy komunikacji elektronicznej to nowe podmioty, na które zostaną nałożone obowiązki po wejściu w życie nowelizacji ustawy o KSC. W tym zakresie warto również wspomnieć o projekcie ustawy – Prawo komunikacji elektronicznej, który już raz został w Sejmie odrzucony [5], a który ma wdrożyć do polskiego porządku prawnego Europejski Kodeks Łączności Elektronicznej. Przewiduje on regulację wielu kwestii związanych z przedsiębiorcami komunikacji elektronicznej. O nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa mówi się już od dawna. Pierwsza wersja zmian przedstawiona została 7 września 2020 roku, a zatem procedura na etapie rządowym trwa już niemal trzy lata [2].

Certyfikacja zamiast blokowania – to odpowiedź na zmianę prawa

Ile sprzętu i oprogramowania firm, które mogą zostać uznane za dostawców wysokiego ryzyka działa we wspomnianych przedsiębiorstwach? Problemem jest powielanie błędów poprzedniej władzy, która nie uwzględniała tego typu kwestii w ocenie ryzyka wdrożenia przepisów. Podobnie jak poprzednio, przedsiębiorca komunikacji elektronicznej, w celu zapewnienia ciągłości świadczenia usług komunikacji elektronicznej lub dostarczania sieci telekomunikacyjnej, jest zobowiązany do systematycznego szacowania ryzyka. Doprecyzowano jednak, że taka ocena ryzyka musi być przeprowadzana przynajmniej raz w roku. Kolejną zmianą w stosunku do poprzednich projektów nowelizacji jest doprecyzowanie uprawnień prezesa UKE w zakresie analizy cen usług telekomunikacyjnych oferowanych przez OSSB. Dano mu również możliwość wydania decyzji zastępującej albo zmieniającej umowę z Operatorem.

Krajowy system certyfikacji cyberbezpieczeństwa – pojawił się projekt ustawy

Będą musieli raportować kolejne informacje już w czasie obsługi incydentu telko. Wprowadzono też nową wersję przepisów dotyczących wspólnej procedury CSIRT-ów do obsługi przypadków incydentów, które angażują wiele zespołów. 2 w art. 3, co ma sprawić, że KSC będzie miał zastosowanie „we wszystkich stanach gotowości obronnej państwa”. Rozwiązania zapewniają szybkie reagowanie na incydenty poważne, skoordynowane działanie, a sprawozdania okresowe i końcowe informacje o incydencie poważnym i jego przebiegu. – Jeśli jakiś sprzęt zostanie zakazany w Polsce, ale będzie można go używać w Niemczech, we Francji, to nasi konkurenci, czyli firmy niemieckie, zwyczajnie przeniosą sobie ten sprzęt do innego kraju i będą go dalej używać, bo będzie tam to legalne. Tylko polscy przedsiębiorcy zostaną bez możliwości reakcji – dodaje Karol Skupień.

Kim będzie Operator Strategicznej Sieci Bezpieczeństwa?

  1. Podmiotów, w Hiszpanii 25 tys., we Francji 15 tys.
  2. Podobnie jak poprzednio, przedsiębiorca komunikacji elektronicznej, w celu zapewnienia ciągłości świadczenia usług komunikacji elektronicznej lub dostarczania sieci telekomunikacyjnej, jest zobowiązany do systematycznego szacowania ryzyka.
  3. Finalizowane są obecnie prace nad ośmioma rozporządzeniami wykonawczymi, bez których pełne wdrożenie nowego systemu nie jest możliwe.
  4. Przy Ministrze Cyfryzacji powstanie Pojedynczy Punkt Kontaktowy (PPK), który umożliwi wymianę informacji o poważnych incydentach, które dotknęły co najmniej dwa państwa członkowskie UE.
  5. Powyższa kwestia jest o tyle istotna, że konsekwencją określenia przez Kolegium poziomu ryzyka danego dostawcy jako wysokiego jest zakaz wprowadzania do użytkowania sprzętu, oprogramowania czy usług oferowanych przez tego dostawcę i obowiązek wycofania z użytku ww.

Dyrektywa ma służyć zwiększeniu bezpieczeństwa sieci i systemów teleinformatycznych w krajach Unii Europejskiej. Mija termin wdrożenia tej dyrektywy przez państwa unijne. Konieczność przygotowania Projektu wynikała m.in.

Ustawa o krajowym systemie cyberbezpieczeństwa weszła w życie

Poza operatorami usług kluczowych, także podmioty kluczowe i ważne będą zobowiązane do przeprowadzania audytów bezpieczeństwa swoich systemów informacyjnych co dwa lata. W projekcie ustawy przewidziano także kary pieniężne, nakładane na dostawców produktów/ usług/ procesów, którzy nie wykonują obowiązków dotyczących certyfikacji. Jej wysokość może wynosić do dwudziestokrotności przeciętnego wynagrodzenia.

Zmiana uprawnień MON

Kancelarii Prezydenta RP, Kancelarii Sejmu, Kancelarii Senatu, Kancelarii Prezesa Rady Ministrów, Biuru Bezpieczeństwa Narodowego, ale też sądownictwa i prokuratury, Sił Zbrojnych oraz jednostek podległych lub nadzorowanych przez MON. Od miesięcy mówi się o tym, że tą spółką będzie EXATEL SA (przyznał to nawet w wywiadzie z nami minister Janusz Cieszyński – red.), ponieważ spełna wszystkie te wymagania, właściwie nie posiadając konkurencji w postaci innego podmiotu, który byłby w stanie mu zagrozić. Instytucja ta wynika z opublikowanego w styczniu 2020 r. Minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanym jako Toolbox 5G.

Kolejna nowelizacja projektu ustawy o krajowym systemie cyberbezpieczeństwa. Co się zmieniło?

Usunięto również katalog usług świadczonych przez OSSB na rzecz Ministra Obrony Narodowej, ministra właściwego do spraw wewnętrznych oraz ministra właściwego do spraw zagranicznych. Zgodnie z planowanymi przepisami, Rada Ministrów będzie mogła wydać rozporządzenia określające krajowe Forex – jak czerpać zyski z handlu Forex programy certyfikacji oparte o programy europejskie. Ich celem ma być zapewnienie, by produkty, usługi i procesy ICT spełniały określone wymogi w zakresie dostępności, autentyczności, integralności i poufności danych, funkcji lub usług w trakcie ich całego cyklu życia.

Chodzi o produkty ICT, rodzaje usług ICT lub konkretne procesy ICT pochodzące od dostawcy wysokiego ryzyka, które będą musiały zostać wycofane, co ma pomóc w „zapewnieniu ochrony ważnego interesu państwowego w postaci bezpieczeństwa państwa”. Szczegóły tych regulacji opiszemy w kolejnym materiale. Teraz zmiana obejmuje punkt, w którym to minister ma kierować działaniami Bunny v 2.3 Forex Expert Advisor CSIRT-ów również w czasie wojny. Doprecyzowano, że minister obrony narodowej kieruje działaniami związanymi z obsługą incydentów, a także koordynuje działania CSIRT NASK i CSIRT GOV w czasie stanu wojennego oraz czasie wojny – poprzez CSIRT MON. Rozszerzono też koordynację realizacji zadań organów administracji rządowej i jednostek samorządu terytorialnego o czas wojny.

Kampanie społeczne, skierowane do różnych grup docelowych (między innymi dzieci, rodziców, seniorów). Administracja publiczna ma wspierać wszelkie działania, zarówno operatorów usług kluczowych jak i dostawców usług cyfrowych, w zakresie podejmować działania edukacyjne i informacyjne. Celem działań będzie zapewnienie użytkownikom końcowym dostępu do wiedzy pozwalającej na zrozumienie zagrożeń w cyberprzestrzeni i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami. Więcej obowiązków dla ISAC, dostawców sprzętu lub oprogramowania czy przedsiębiorców telekomunikacyjnych. Nowym aspektem będą postępowania o wydanie decyzji o dostawcach wysokiego ryzyka.

Wprowadzono też nowe uprawnienie Pełnomocnika ds. Cyberbezpieczeństwa, który będzie mógł zlecić zapewnienie wsparcia CSIRT NASK (za zgodą ministra właściwego ds. informatyzacji), CSIRT GOV (za zgodą szefa ABW) i CSIRT MON (za zgodą ministra). Celem projektowanej ustawy jest organizacja systemu certyfikacji cyberbezpieczeństwa w Polsce, ustanowienie procedur niezbędnych do zapewnienia prawidłowości procesów certyfikacyjnych, oraz określenie sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy. Kontrolę w podmiotach należących do krajowego systemu certyfikacji cyberbezpieczeństwa będzie przeprowadzał organ nadzorczy, którym będzie minister właściwy do spraw informatyzacji.

Na Ministrze Cyfryzacji spoczywa także obowiązek przygotowania strategii cyberbezpieczeństwa RP. Przyjęcie tej strategii ma nastąpić najpóźniej do 31 października 2019 r. Obecnie trwają intensywne prace nad projektem rozporządzenia RE Następna wielka wiadomość dla Bitcoin: BTC / USD (BTC = X) będzie Sovereign Wealth Funds i rządy i PE tzw. Certyfikacji Cyberbezpieczeństwa, która zajmie się uregulowaniem europejskich ram certyfikacji cyberbezpieczeństwa na poziomie unijnym celem zwiększenia zaufania obywateli i przedsiębiorców do jednolitego rynku cyfrowego.