Niebezpiecznik

Szykuje się rozszerzenie grupy podmiotów, które obejmie Krajowy System Cyberbezpieczeństwa. Te podmioty będą musiały robić audyty i zgłaszać incydenty. Może też im się przytrafić obowiązek realizowania szczególnych poleceń ministra cyfryzacji.

Nowa, świeżutka ustawa o KSC

Życie stawia nowe wyzwania (i NIS2 też)

Niebawem minie 5 lat od momentu, gdy Polska wprowadziła Ustawę o Krajowym Systemie Cyberbezpieczeństwa (KSC). W tym czasie sporo się zmieniło. Niektóre firmy (dostarczające tzw. usługi kluczowe) znacznie podniosły swoją świadomość i zaczęły projektować procedury pod kątem bezpieczeństwa. Rozruszały się zespoły reagowania na incydenty. W 2022 r. do zespołu CSIRT NASK zgłoszono ponad 39 tys. incydentów , a w 2023 r. ponad 75 tys. incydentów. Powstały tylko dwa zespoły sektorowe, CSIRT KNF i CSIRT Centrum e-Zdrowie, ale zawsze to jakiś początek.

Pewnych rzeczy nadal nie zrobiono. Określono podmioty, które wchodzą w skład systemu cyberbezpieczeństwa, ale nie zaliczono do nich np. telekomów i dostawców usług zaufania. Na szczeblu unijnym pojawiła się tzw. dyrektywa NIS 2, która rozszerzyła wymagania cyber na nowe podmioty (np. pocztę, producentów chemikaliów czy zakłady odprowadzania ścieków).  Pojawił się Pełnomocnik Rządu ds. Cyberbezpieczeństwa, ale już teraz widać, że jego uprawnienia nie przystają do stawianych mu zadań.

Wczoraj Ministerstwo Cyfryzacji zaprezentowało projekt nowej ustawy o KSC. Został on już opublikowany i będzie poddany konsultacjom. Ma 139 stron, choć zapewne wiele osób zainteresuje załącznik z tabelką wymieniającą podmioty kluczowe (patrz str. 109). Będzie co analizować. Pozwólcie, że w tym tekście zaledwie nakreślimy kierunek zmian.

Nowe sektory i “samoidentyfikacja”

Obecnie ustawa o KSC dotyczy tzw. operatorów usług kluczowych, których wyznacza się w drodze decyzji. Dyrektywa NIS2 wymaga innego podejścia. Firmy będą zobowiązane same zarejestrować się w systemie podmiotów kluczowych i ważnych prowadzonym przez ministra ds. cyfryzacji. To konieczne bo ustawa obejmie wiele podmiotów z nowych sektorów takich jak:

• ścieki,
• zarządzanie usługami ICT,
• przestrzeń kosmiczna,
• usługi pocztowe,
• gospodarowanie odpadami,
• produkcja/dystrybucja chemikaliów i żywności
• produkcja (tak ogólnie),
• badania naukowe.

Podmioty kluczowe i ważne będą musiały prowadzić system zarządzania bezpieczeństwem informacji. Niewywiązywanie się z obowiązków może oznaczać kary finansowe. Prowadzenie szkoleń z zakresu cyberbezpieczeństwa również będzie wymogiem prawnym. Trzeba będzie co dwa lata przeprowadzać audyty bezpieczeństwa systemów informacyjnych. Będzie trzeba korzystać z systemu służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach (S46).

W przyszłości będzie pięknie i bezpiecznie :)

Zgłaszanie incydentów

Wczesne ostrzeżenie o incydencie poważnym ma być według nowej ustawy zgłaszane CSIRT-owi sektorowemu nie później niż w ciągu 24 godzin od momentu wykrycia incydentu. Przedsiębiorcy telekomunikacyjni będą mieli tylko 12 godzin na wczesne ostrzeżenie. Wczesne ostrzeżenie będzie mogło zawierać wniosek o udzielenie wsparcia technicznego przy obsłudze incydentu.

Zgłoszenie incydentu poważnego  ma nastąpić nie później niż w ciągu 72 godzin od momentu jego wykrycia (zob. str. 24 projektu). W trakcie obsługi incydentu sporządzane będzie sprawozdanie okresowe, a po zakończeniu obsługi incydentu sprawozdanie końcowe. CSIRTy sektorowe (których ma powstać więcej) będą przekazywać wczesne ostrzeżenia oraz zgłoszenia w czasie 8 godzin od jego otrzymania, do właściwego CSIRT MON, CSIRT NASK albo CSIRT GOV.

Polecenia zabezpieczające

W razie wystąpienia incydentu krytycznego minister cyfryzacji będzie mógł wydać tzw. polecenie zabezpieczające (zob. str. 79 projektu). To polecenie może dotyczyć “nieokreślonej liczby podmiotów kluczowych i ważnych”. W ten sposób będzie można będzie można zakazać stosowania konkretnego produktu albo nakazać…

• przeprowadzenie analizy ryzyka w związku z jakimś produktem;
• dokonanie przeglądów planów ciągłości działania i planów odtworzenia działalności;
• zastosowanie określonej poprawki bezpieczeństwa w produkcie ICT;
• zastosowanie szczególnej konfiguracji produktu ICT;
• monitorowanie zachowania systemu;
• wprowadzenie ograniczenia ruchu sieciowego z adresów IP lub adresów URL wchodzącego do infrastruktury podmiotu kluczowego lub podmiotu ważnego;
• wstrzymanie dystrybucji lub zakaz instalacji określonej wersji oprogramowania;
• zabezpieczenie określonych informacji, w tym dzienników systemowych;
• wytworzenie obrazów stanu określonych urządzeń zainfekowanych złośliwym oprogramowaniem.

Polecenia zabezpieczające będą ogłaszane w dzienniku urzędowym ministra cyfryzacji. Będzie można zaskarżyć polecenie zabezpieczające.

Inne nowości?

Ustawa wprowadzi pojęcie dostawcy wysokiego ryzyka (HRV). Uznanie dostawcy programu lub sprzętu za tego typu podmiot będzie wymagało przeprowadzenia postępowania. Ponadto ustawa ma wyznaczyć CSIRT NASK do pełnienia roli organu koordynującego ujawnianie podatności. CSIRT-y krajowe mają zyskać nowe uprawnienia m.in. otrzymają licencję ustawową do analizy kodu oprogramowania. Wprowadzony zostanie nowy dokument strategiczny – “Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę”.

Jak już wspomnieliśmy, projekt jest dość długi i nie czyta się go łatwo (to wykaz zmian, jakie mają być wprowadzone do przepisów już funkcjonujących). Zapewne w czasie konsultacji publicznych spojrzy na niego wiele ciekawskich oczu. Jeśli trafi się coś szczególnie godnego uwagi to damy wam znać.