W czwartek 5 lipca Sejm uchwalił ustawę o Krajowym Systemie Cyberbezpieczeństwa. Będzie obowiązywała po 14 dniach od opublikowania, choć powinna już od maja. Do tego czasu bowiem Polska powinna wdrożyć dyrektywę Unii Europejskiej. Zobowiązuje ona państwa UE do przyjęcia krajowych strategii cyberbezpieczeństwa, wskazania lub ustanowienia organów właściwych do spraw cyberbezpieczeństwa oraz powołania tzw. zespołów reagowania na incydenty komputerowe. I uchwalona ustawa przewiduje powstanie Krajowego Systemu Cyberbezpieczeństwa (KSC), który będzie zapobiegał, wykrywał oraz minimalizował skutki ataków naruszających bezpieczeństwo informatyczne kraju. Za jej przyjęciem głosowało 270 posłów. Przeciw było 155. Od głosu wstrzymało się 5.
Nowe uprawnienia ABW
Dyrektywa przede wszystki zobowiązuje do zapewnienia cyberbezpieczeństwa systemów informacyjnych w sektorach usług tzw. kluczowych - m.in. w energetyce, transporcie, bankowości czy ochronie zdrowia. Odpowiedzialne za to będa zespoły do spraw bezpieczeństwa komputerowego i reagowania na incydenty (CSRiT) - Ministerstwa Obrony Narodowej, Narodowego Centrum Bezpieczeństwa i Rządowy. Zastrzeżenia do ich uprawnień zgłaszały organizacje pracodawców, ale bezskutecznie.
Podczas prac sejmowych Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej wprowadzono kilka zmian do ustawy. Wprowadzono m.in. nowe uprawnienia dla Agencji Bezpieczeństwa Wewnętrznego dot. koordynowania systemu wczesnego ostrzegania o zagrożeniach występujących w internecie. Sejm zaakceptował też poprawki dotyczące m.in. zwiększenia budżetu dla ABW w związku z nadaniem tej instytucji dodatkowych obowiązków.
Szczegóły w rozporządzeniach
Zarówno operatorzy usług kluczowych, jak i same usługi zostaną określone w drodze rozporządzenia Ministra Cyfryzacji. Obecnie projekt takiego rozporządzenia znajduje się w konsultacjach publicznych. Przedsiębiorstwa, które będą nosić miano operatorów usług kluczowych, będą wyłaniani w drodze decyzji administracyjnych. Według szacunków Ministerstwa Cyfryzacji, autora ustawy i ropzorządzenia, zostanie wyznaczonych ok. 335 operatorów usług kluczowych.
Klasyfikacja incydentów
Operatorzy będą zobowiązani do wdrożenia systemu zarządzania cyberbezpieczeństwem. Będą musieli systematycznie szacować ryzyka wystąpienia incydentu, który może mieć wpływ na cyberbezpieczeństwo. Ich zadaniem będzie też zbieranie informacji o zagrożeniach cyberbezpieczeństwa oraz stosowanie środków im zapobiegających. Będą także zobowiązani do prowadzenia odpowiedniej dokumentacji, którą w drodze rozporządzenia określi Rada Ministrów. Zadaniem operatora będzie obsługa i sklasyfikowanie występującego incydentu. W ciągu 24 godzin od momentu wykrycia incydentu.
Operator będzie miał obowiązek zgłoszenia go do właściwego CSIRT. Są to zespoły reagowania na incydenty bezpieczeństwa komputerowego działające na poziomie krajowym. Przekazują one sobie informacje dotyczące m.in. operatorów czy incydentów. CSIRT-y wraz z Rządowym Centrum Bezpieczeństwa będą tworzyć Zespół ds. Incydentów Krytycznych, którego zadaniem będzie obsługa incydentów, które wykraczają poza kompetencje jednego CSIRT-u.
Milionowe kary
Z kolei dostawcy usług cyfrowych będą odpowiedzialni za zapewnienie bezpieczeństwa świadczonych przez nich usług. Będą musieli określić i podejmować odpowiednie środki techniczne w celu zarządzania ryzykami. Proponowane przepisy nakładają na nich także obowiązek podjęcia odpowiednich środków zapobiegających i minimalizujących wpływ zaistniałych incydentów. Dostawcy usług cyfrowych będą powiadamiać o istotnych incydentach odpowiednie CSIRT-y, również o tych transgranicznych. Za niedopełnienie swoich obowiązków zarówno operatorzy usług kluczowych, jak i dostawcy usług cyfrowych poniosą wysokie kary. Za każdy przypadek niezgłoszenia incydentu poważnego lub istotnego grozić będzie od 20 tys. zł kary. Nieprzeprowadzenie audytu, nie usunięcie w terminie nieprawidłowości stwierdzonych podczas kontroli skutkować będzie karami sięgającymi 200 tys. zł.
Teraz ustawa trafi pod obrady Senatu.