Kolejna nowelizacja projektu ustawy o krajowym systemie cyberbezpieczeństwa Co się zmieniło?

„wszelkie potencjalne okoliczności, zdarzenie lub działanie, które mogą wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie wpłynąć na systemy informacyjne, użytkowników takich systemów oraz na inne podmioty”. Operator strategiczny ma być wyznaczony w ciągu 30 dni od wejścia w życie ustawy przez prezesa Rady Ministrów, a w ciągu 60 dni od jego wyznaczenia – ma zostać powołana spółka Polskie 5G. Projekt stanowi próbę działań na rzecz wdrożenia założeń i postanowień 5G Toolbox do porządku krajowego. W związku z powyższym, siłą rzeczy przewidziane w nim rozwiązania będą wywierały istotny wpływ na działalność niektórych przedsiębiorców. Podmioty zobowiązane do zawarcia umowy z OSSB otrzymały możliwość zawarcia umowy z innym dostawcą usług telekomunikacyjnych, jeśli ceny oferowane przez Operatora przekraczają koszty oraz rozsądną marżę.

Projekt zakłada również dodanie do krajowego systemu cyberbezpieczeństwa przedsiębiorców komunikacji elektronicznej. Na wycofanie sprzętu lub oprogramowania dostawca wysokiego ryzyka będzie miał 7 lat od wydania decyzji administracyjnej; z kolei duzi przedsiębiorcy telko – 5 lat (jeżeli znajdują się w zakresie funkcji krytycznych). Co podkreślono, wycofać trzeba będzie tylko produkty, usługi i procesy, które będą konkretnie wskazane przez ministra ds.

  • Utrzymanie, rozwój i modernizacja strategicznej sieci bezpieczeństwa będzie finansowana w ramach dotacji celowej z budżetu państwa, a w 2023 roku na ten cel ma wyznaczono koszt w postaci 189 mln zł.
  • 25 marca na stronie internetowej Rządowego Centrum Legislacji  pojawił się nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
  • Wprowadzenie postępowania w sprawie uznania dostawcy sprzętu lub oprogramowania dla podmiotów KSC za dostawcę wysokiego ryzyka.
  • Krajowym systemem cyberbezpieczeństwa mieli być objęci wyłącznie przedsiębiorcy telekomunikacyjni.
  • W artykule przedstawiamy najważniejsze zagadnienia, które trzeba wziąć pod uwagę przy praktycznym stosowaniu ChatGPT (i podobnych rozwiązań) we własnej działalności, a także uwzględniając ryzyko korzystania z niego również przez pracowników, współpracowników i podwykonawców.

Projekt zakłada także powstanie Krajowego Systemu Certyfikacji Cyberbezpieczeństwa, w ramach którego wydawane będą certyfikaty dotyczące cyberbezpieczeństwa. Dostawcy sprzętu i oprogramowania będą mogli zostać poddani procedurze sprawdzającej pod kątem zagrożenia, jakie może wywołać wykorzystywanie oferowanego przez nich konkretnego sprzętu lub oprogramowania, w kluczowych podmiotach polskiej gospodarki. Po prostu należy zastosować tu przepisy, które obowiązują już od wielu lat, tj. Przepisy przewidujące doręczenie uzasadnienia wyroku, jawność postępowania czy możliwość wstrzymania wykonalności wyroku przez sąd. Dokładnie o tym samym pisze zresztą w swoich uwagach do noweli Rządowe Centrum Legislacji – mówi prof. Maciej Rogalski. W artykule przedstawiamy najważniejsze zagadnienia, które trzeba wziąć pod uwagę przy praktycznym stosowaniu ChatGPT (i podobnych rozwiązań) we własnej działalności, a także uwzględniając ryzyko korzystania z niego również przez pracowników, współpracowników i podwykonawców.

Jakie najważniejsze zmiany wprowadzi nowelizacja UKSC?

Kluczowym aspektem działania organizacji staje się odpowiednia współpraca między wszystkimi stronami. Zakaz korzystania z usług oraz sprzętu ICT określonych dostawców będzie dotyczyć tysięcy podmiotów objętych KSC. Ograniczenie rynku odbije się na wszystkich jego uczestnikach, zmniejszy konkurencyjność i będzie główny problem agenta w polityce miało negatywne skutki gospodarcze. Podmioty objęte KSC będą musiały usunąć ze swojej sieci wszystkie produkty, usługi lub procesy ICT wskazane w decyzji. Podmioty objęte KSC będą musiały stale monitorować decyzje organów i utrzymywać ciągłą gotowość do zmiany stosowanych rozwiązań w narzuconym terminie.

  • Sprowadzała się ona do kompetencji ministra właściwego do spraw informatyzacji do wydania polecenia zabezpieczającego w przypadku wystąpienia incydentu krytycznego.
  • Pytanie tylko, czy to dobry kierunek, skoro powinniśmy jak najszybciej rozpocząć prace nad wdrożeniem NIS 2.
  • Rząd od przeszło pół roku szykuje jej nowelizację, która będzie mieć duże przełożenie na wdrażanie w Polsce sieci 5G oraz kształt całego rynku telekomunikacyjnego.
  • Uregulowano między innymi obowiązki przedsiębiorcy komunikacji elektronicznej po wykryciu incydentu telekomunikacyjnego, który musi zapewnić dostęp do rejestrowanych incydentów zespołom CSIRT poziomu krajowego i CSIRT Telco.
  • Maciej Rogalski, rektor Uczelni Łazarskiego, wspólnik w Kancelarii Rogalski i Wspólnicy.

Cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych i usług cyfrowych. Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Cyberbezpieczna Polska

Wcześniej prognoza ekonomiczna dla 17 października-forex projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa został pozytywnie zaopiniowany przez Komitet Rady Ministrów do spraw Cyfryzacji (29 stycznia 2021 r.) oraz Komitet do Spraw Europejskich (5 marca 2021 r.). SKRM zarekomendował skierowanie projektu do zaopiniowania przez Komitet Rady Ministrów do spraw Bezpieczeństwa Narodowego i spraw Obronnych (KRMBNSO).

“Dzisiaj polscy przedsiębiorcy, polskie instytucje chcąc certyfikować swoje wyroby i usługi muszą korzystać z firm zagranicznych. Chcemy, żeby mogły to robić w kraju, żeby te środki zostawały w Polsce” – wyjaśniał. Niezależnie od tych wątpliwości, wdrożenie nowych regulacji wzmacniających krajowy system cyberbezpieczeństwa jest potrzebne. W miarę rozwoju nowych technologii i postępu usług cyfrowych, zagrożeń w cyberprzestrzeni będzie tylko przybywać. Konsultacje z ekspertami od cyberbezpieczeństwa oraz przedstawicielami firm z branży telekomunikacyjnej pozwolą wypracować najlepsze rozwiązania. Najbliższa debata na temat konkretnych rozwiązań ujętych w KSC została zaplanowana po przerwie wakacyjnej.

EDUKACJA W DZIEDZINIE CYBERBEZPIECZEŃSTWA

W związku z włączeniem przedsiębiorców komunikacji elektronicznej do krajowego systemu cyberbezpieczeństwa projekt nowelizacji zakłada także wprowadzenie całkowicie nowego rozdziału 4a, który reguluje ich szczególne obowiązki w zakresie cyberbezpieczeństwa. Obowiązki te mają zostać nałożone na wszystkich przedsiębiorców komunikacji elektronicznej, a więc w szczególności na podmioty takie jak dostawcy poczty elektronicznej, czy podmioty dostarczające usługi przekazywania wiadomości, czaty grupowe, czy różnego rodzaju komunikatory. W jednej z ostatnich wersji projektu nowelizacji UKSC została usunięta budząca największe kontrowersje instytucja polecenia zabezpieczającego.

Efekty tych działań zostały przekazane do konsultacji w formie projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Przebudowany zostanie model współpracy w ramach krajowego systemu cyberbezpieczeństwa. Obecnie mimo istnienia takiej możliwości, dotychczas powstał tylko jeden dla sektora bankowości i infrastruktury rynków finansowych (CSIRT-KNF). Zmiany umożliwią powstanie CSIRT we wszystkich sektorach gospodarki kluczowych dla społeczno-ekonomicznego bezpieczeństwa państwa. Powstaje tu jednak pytanie, jaki podmiot powinien takie centrum stworzyć lub nim kierować, bo przecież nie będzie to specjalnie powołana instytucja.

Powstanie więcej sektorowych zespołów reagowania na incydenty bezpieczeństwa komputerowego – CSIRT.

Podmioty świadczące usługi SOC powinny też zostać wpisane do wykazu SOC, który ma prowadzić minister właściwy do spraw informatyzacji. Zostało opublikowane rozporządzenie Rady Ministrów w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Podmioty krajowego systemu cyberbezpieczeństwa przy obsłudze incydentu będą mogły analizować ruch sieciowy oraz czasowo go ograniczyć z adresów IP lub adresów URL, zidentyfikowanego jako przyczyna incydentu. CSIRT sektorowy (zamiast dotychczasowego sektorowego zespołu cyberbezpieczeństwa) będzie nie fakultatywny, a obowiązkowy; będzie odpowiadał za przyjmowanie zgłoszeń o incydentach w sektorze oraz reagowanie na zgłoszenia. Do tej pory wspierał jedynie operatorów usługi kluczowej w reagowaniu na incydenty, a po zmianach ma „dokonywać dynamicznej analizy ryzyka i incydentów” i gromadzić informacje o cyberzagrożeniach. Spółka Polskie 5G będzie posiadała kapitał zakładowy rzędu 1 mln zł, zarząd i radę nadzorczą, powoływaną na 3 lata.

Jak wskazuje Ministerstwo Cyfryzacji, jednym z priorytetów Komisji Europejskiej stało się cyberbezpieczeństwo sieci telekomunikacyjnych. Po pierwsze – pojawił się Europejski Kodeks Łączności Elektronicznej, który umożliwia m.in. Ujednolicenie procedur zgłaszania incydentów bezpieczeństwa na poziomie krajowym. Po drugie – Komisja Europejska kładzie nacisk na zapewnienie bezpieczeństwa szerokopasmowej sieci łączności nowej generacji, czyli technologii 5G. Z uwagi na procesy globalizacyjne niezbędne jest włączenie Polski w międzynarodowy system oceny i certyfikacji oparty na międzynarodowych normach i standardach. Polska aktywnie włącza się w ustanowienie europejskiego systemu oceny i certyfikacji produktów oraz usług sektora technologii informatycznych i komunikacyjnych.

Cyberpolicy NASK

Cyberbezpieczeństwa CSIRT sektorowego – właściwego dla danego sektora lub podsektora, który będzie wspierał operatorów usług kluczowych tego sektora pod względem reagowania na incydenty. Do zadań CSIRT sektorowego będzie należało przyjmowanie zgłoszeń o incydentach oraz reagowanie na incydenty. Przedmiotem ustawy jest organizacja krajowego systemu cyberbezpieczeństwa i określenie zadań oraz obowiązków podmiotów wchodzących w skład krajowego systemu cyberbezpieczeństwa. Ustawa reguluje również kwestie sprawowania nadzoru i kontroli przestrzegania jej przepisów oraz tryb ustanawiania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Treść ustawy określa zarówno podmioty będące uczestnikami krajowego systemy cyberbezpieczeństwa w Polsce oraz ich obowiązki[10]. Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw ma m.in.

W przypadku wysokiego ryzyka podmioty krajowego systemu cyberbezpieczeństwa nie będą mogły wprowadzać do użytkowania sprzętu, oprogramowania i usług danego dostawcy, a dotychczas używany sprzęt będzie trzeba wycofać w ciągu 5 lat od ogłoszenia komunikatu o ocenie ryzyka. Cyberbezpieczeństwa – obecnie jest nim Marek Zagórski, minister cyfryzacji – będzie zamieszczenie takiego ogłoszenia w Monitorze Polskim. Za używanie bworld forex broker-bworld przegląd i informacje zakazanego sprzętu i oprogramowania podmiotom prywatnym będą grozić kary w wysokości do 3 proc. Całkowitego rocznego światowego obrotu, a publicznym jedynie w wysokości do 100 tys. Co więcej podmioty z wysokim ryzykiem, czyli zidentyfikowani jako źródło zagrożenia, zostaną wyłączeni z zamówień publicznych. Kampanie społeczne, skierowane do różnych grup docelowych (między innymi dzieci, rodziców, seniorów).

W obecnych realiach ataki cybernetyczne stają się codziennością nie tylko na świecie, ale także coraz częściej i w Polsce. Obowiązuje trzeci (w skali czterostopniowej) stopień alarmowy CHARLIE – CRP w celu przeciwdziałania zagrożeniom w cyberprzestrzeni. Więcej informacji na temat struktury globalnej organizacji KPMG można znaleźć na stronie o strukturze zarządczej. Proponowane w ustawie zmiany są konieczne z powodu podjętych na poziomie europejskim zobowiązań – podkreśla resort. Za niewykonanie wyżej wymienionych obowiązków, w rozdziale 14 Ustawy, przewidziano zastosowanie kar finansowych.

Nie jest to tylko pogląd mój czy innych prawników analizujących przepisy tego projektu, ale także Rządowego Centrum Legislacji, które z kolei wskazuje na niezgodność niektórych przepisów z regulacjami krajowymi. Chodzi w dużej części o te same zapisy, które zostały już krytycznie ocenione podczas konsultacji społecznych poprzedniej wersji noweli – mówi agencji Newseria Biznes prof. dr hab. Maciej Rogalski, rektor Uczelni Łazarskiego, wspólnik w Kancelarii Rogalski i Wspólnicy. Obecnie trwają intensywne prace nad projektem rozporządzenia RE i PE tzw. Certyfikacji Cyberbezpieczeństwa, która zajmie się uregulowaniem europejskich ram certyfikacji cyberbezpieczeństwa na poziomie unijnym celem zwiększenia zaufania obywateli i przedsiębiorców do jednolitego rynku cyfrowego.

Wedle ustawy, centrów ISAC może być wiele, a pełną listę będzie mieć minister cyfryzacji – zauważa Łukasz Olejnik. Nowelizacja zakłada powstanie osobnego podmiotu – operatora strategicznej sieci bezpieczeństwa (OSSB). Usługi cyberbezpieczeństwa na potrzeby najważniejszych organów państwa. OSSB będzie wyznaczany przez Prezesa Rady Ministrów spośród podmiotów spełniających szereg kryteriów.


Publicado

em

por

Tags:

Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

×