10:13
27/4/2018

Projekt pierwszej polskiej ustawy o “cyberbezpieczeństwie” został przyjęty przez Radę Ministrów.

Już dwukrotnie pisaliśmy o tym, że taka ustawa powstaje. Wspominaliśmy też, że Ministerstwo Finansów nie chce dawać pieniędzy na “cybery”,  a cały system może się bardziej skomplikować. Wielu jest chętnych do zapewniania nam bezpieczeństwa, jeśli nie w kraju to przynajmniej w jakimś sektorze.

Tak czy owak Rada Ministrów przyjęła ustawę, a to oznacza drogę przez Sejm i Senat do biurka Prezydenta. Ogólne założenie ustawy jest takie, że państwo będzie zapewniało bezpieczeństwo tzw. usług kluczowych (transportowych, finansowych, energetycznych itd). Krajowy system cyberbezpieczeństwa będzie obejmował operatorów tych usług, a także, dostawców usług cyfrowych, Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT-y), sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz tzw. Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa służący komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie.

Warto tu przypomnieć, że ustawa będzie  wdrażała przepisy unijne w zakresie cyberbezpieczeństwa, czyli tzw. dyrektywę NIS.

Projekt ustawy zawiera m.in.:

  • zasady wskazywania operatorów usług kluczowych oraz ich obowiązki (m.in. wdrożenia systemu zarządzania bezpieczeństwem oraz przeprowadzania audytów),
  • przepisy dotyczące podmiotów publicznych (będą one zobowiązany do obsługi incydentów),
  • wymagania dla dostawców usług cyfrowych (chodzi o internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe),
  • opis systemu reagowania na incydenty i włączenie w ten proces wszystkich zainteresowanych podmiotów, a także kategorie incydentów.

Nie jest tajemnicą, że projekt powstawał w atmosferze konfliktu na linii MC-MON. Resort obrony chciał więcej władzy nad cyberbezpieczeństwem. Znajduje to odzwierciedlenie w tej wersji projektu ustawy, który poszedł do Rady Ministrów. Do projektu dopisano rozdział 10 pt. Zadania Ministra Obrony Narodowej. Ma on m.in. pozyskiwać i rozwijać narzędzia służące budowaniu zdolności zapewnienia cyberbezpieczeństwa w Siłach Zbrojnych RP. Minister obrony będzie też prowadził Narodowy Punkt Kontaktowy do współpracy z Organizacją Traktatu Północnoatlantyckiego.

Ponadto w projekcie znalazł się rozdział 12 pt. Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa oraz Kolegium do Spraw Cyberbezpieczeństwa. Przypomnijmy, że pełnomocnika rządu ds. cyber już mamy choć został on powołany na mocy dość nieoczekiwanie wydanego rozporządzenia Prezesa Rady Ministrów. Ustawa – w przeciwieństwie do rozporządzenia – nie mówi, że pełnomocnik ma być sekretarzem lub podsekretarzem stanu w MON. Ma być po prostu sekretarzem lub podsekretarzem stanu. Rolą pełnomocnika ma być koordynowanie działań i realizowanie polityki rządu. Jeśli zaś chodzi o Kolegium do Spraw Cyberbezpieczeństwa to będzie się ono składać z ministrów, szefa BBN i szef kancelarii Prezesa RM.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

8 komentarzy

Dodaj komentarz
  1. Macie informatorów w rządzie ;) ? Na stronie Ministerstwa jeszcze brak informacji – wciąż projekt bez terminów.

    • Hacznęli ich i tyle

  2. oh, powiało grozą…..

  3. Skupiacie się w artykule na informacjach bardziej interesujących polityków niż podmioty, które przez tą ustawę, będącą implementacją dyrektywy NIS dostaną mocno po kieszeni.
    Bardziej ciekawe jest zwiększenie w projekcie wysokości kar oraz dodanie nowych podmiotów świadczących usługi kluczowe. Już widzę, jak np. w aptekach wdrożą wszystkie obowiązki zapisane w art. 8-16 i to równolegle z RODO…

    Ciekawe, kiedy zamierzają to opublikować, skoro ma wejść po 14 dniach od publikacji, a termin wynikający z dyrektywy jest 10 maja.

    • I tym pisaliśmy w poprzednich – podlinkowanych w tym artykułe – tekstach.

  4. Tyle, że poprzednie artykułu dotyczyły wcześniejszych wersji projektu i sporo zawartych tam informacji jest już mocno nieaktualnych. Nowy projekt wymienił w załączniku enumeratywnie dodatkowe podmioty (np. apteki, hurtownie farmaceutyczne, przychodnie, itd), które potencjalnie świadczą usługi kluczowe oraz zwiększył wysokość i dotkliwość kar. Już widzę, jak apteki przygotują całą tą wymaganą dokumentacje i będą raz na dwa lata przeprowadzały audyt bezpieczeństwa…

    Większości osób nie interesuje jak układa się współpraca na linii MON-MC czy obsada stanowisk, tylko co konkretnie ustawa zmieni w ich życiu. Nie chciałbym, żeby komentarze pod artykułami Niebezpiecznika przypominały wojny trollowe z portali Onet czy WP, a artykuły skupiające się na tego typu wątkach nieuchronnie do tego mogą doprowadzić.

    • Jest jeszcze jedna wada tego projektu … Podrożeją usługi , w tym w aptekach ,a za wszystkie pomysły UE zapłacimy My obywatele jak to tradycyjnie już bywa …

  5. A czy będzię szansa doczekać się na Waszą interpretację zmian wynikających z wprowadzenia samego RODO? Oczywiście z punktu widzenia bardziej “techno” niż “law” (bo tych interpretacji – równie optymistycznie szerokich co wymijających – jest całe mnóstwo . Zdaję sobie sprawę (niestety z własnego doświadczenia wdrażania RODO) że na gruncie przyjetych aktów prawnych jest równie wiele znaków zapytania ile twierdzenia, ale właśnie dlatego może wartałoby się pokusić o jakoś wewnętrzno -niebezpiecznikowy kodeks dobrych praktyk …

    Pozdrawiam

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.