8:38
8/1/2018

Obecnie w Polsce nie mamy czegoś takiego jak Krajowy System Cyberbezpieczeństwa. Ministerstwo Cyfryzacji chce go stworzyć i dlatego w listopadzie przedstawiło projekt odpowiedniej ustawy. Ten projekt jest już po konsultacjach i uzgodnieniach międzyresortowych, a uwag do niego było dość sporo. Oczywiście “duża liczba uwag” to nie jest wada. Jest to wręcz zaleta świadcząca o tym, że projekt nie powstaje pochopnie.

W mękach i bólach powstaje…

Być może już wiecie, że projekt Ustawy o krajowym systemie cyberbezpieczeństwa został opublikowany w RCL w listopadzie tego roku, po czym został przekazany do uzgodnień i konsultacji. Szczerze mówiąc cieszyło nas to, że ustawa nie powstaje w jakimś szaleńczym tempie.

Samo przedstawienie projektu nastąpiło później niż się spodziewaliśmy. Przecież już 20 czerwca 2016 r.  Ministerstwo Cyfryzacji przedstawiło program „Od papierowej do cyfrowej Polski”. Wówczas ujawniono, że planowane jest stworzenie ustawy, która będzie wdrażała przepisy unijne w tym zakresie (tzw. dyrektywę NIS). Pierwotnie planowano, że ustawa będzie skierowana do konsultacji w IV kwartale 2016 roku (nastąpiło to niemal rok później). W mediach pojawiały się informację o sporze kompetencyjnym między MON i MC, a uwagi przedstawione przez MON do projektu sugerują, że rzeczywiście taki spór jest.

Na taką nazwę ustawy powinniśmy zareagować mniej spokojnie…

…ale projekt jest na tyle ważny, że lepiej omówić go bez żartów.

Nowa ustawa ma wprowadzić do polskiego prawa nowe pojęcia takie jak “cyberbezpieczeństwo”, “incydent krytyczny”, “operator usługi kluczowej” czy nawet “ryzyko”. Krajowy System Cyberbezpieczeństwa ma zapewnić, że wszystkie usługi cyfrowe będą działać bez zakłóceń. Ten system będzie obejmował m.in. organy publiczne, sądy, banki, uczelnie. Szczególnie ważni będą…

…Operatorzy Usług Kluczowych (OUK)

Operatorami Usług Kluczowych będą firmy lub organizacje mające siedzibę na terenie RP uznane za OUK przez organ właściwy dla danego sektora. Wydaje się to dość ciekawe, że OUK-iem będzie to, co zostało uznane za OUK, ale nie martwcie się. Ustawa wskazuje co trzeba będzie uznać za OUK. Będzie to firma lub organizacja dostarczająca istotną usługę, która to usługa zależy od systemów informacyjnych. Lotnictwo to dobry przykład – usługa istotna i bez komputerów ani rusz.

Do OUK-ów zaliczymy także dostawców prądu i gazu, inne usługi transportowe, banki, służbę zdrowia, firmy wodno-kanalizacyjne i oczywiście podmioty istotne dla ruchu internetowego i zarządzania domenami. Wykaz tych podmiotów znajdziecie na końcu projektu, w załączniku nr 1.

Wykaz OUK będzie prowadził Minister Cyfryzacji. Wpisane do rejestru podmioty będą miały obowiązek zapewnienia bezpieczeństwa w świadczeniu swoich usług. Te obowiązki będą obejmować odpowiednie zarządzanie incydentami, objęcie usług monitorowaniem w stanie ciągłym, stosowanie wewnętrznych procedur zgłaszania i obsługi incydentów itd. OUK będą musieli opracować dokumentację dotyczącą cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych w ciągu sześciu miesięcy od otrzymania decyzji o uznaniu za OUK.

Co ważne, OUK będą musieli przeprowadzać audyty bezpieczeństwa co dwa lata.

OUK będą musieli zapewnić obsługę “incydentów zwykłych”, czyli wszelkich zdarzeń mogących mieć wpływ na bezpieczeństwo. W przypadku “incydentów poważnych” będą współpracować z odpowiednimi zespołami reagowania na incydenty (CSIRT MON, CSIRT NASK lub CSIRT GOV – poniżej napiszemy o nich więcej). Tu należy wyjaśnić, że incydent poważny to taki incydent zwykły, który może wpłynąć na jakość lub ciągłość świadczenia usług.

Incydentem “krytycznym” z kolei będzie incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego. W tym przypadku OUK również będą musieli współpracować z CSIRT-ami (o których napiszemy dalej).

Dostawcy usług cyfrowych i podmioty publiczne

Dostawcami usług cyfrowych będą dostawcy internetowych platform handlu, wyszukiwarek a także usług przetwarzania danych w chmurze. Przyjęta definicja wyszukiwarki jest dość szeroka. Będzie to każda usługa, która w odpowiedzi na zapytanie zwraca odnośniki do informacji związanych z zapytaniem.

Dostawcy usług cyfrowych będą zobowiązani ustawą do zapewnienia bezpieczeństwa w ramach własnych usług. Będą musieli informować CSIRT NASK o wszelkich incydentach “istotnych” czyli takich, które mają wpływ na świadczenie usług cyfrowych. W ustawie podkreślono, że zgłoszenie incydentu nie może narażać dostawcy usług cyfrowych na zwiększoną odpowiedzialność. Zgłaszanie incydentu będzie mogło odbywać się przez system teleinformatyczny.

Również podmioty publiczne zostaną zobowiązane do zgłaszania incydentów i w razie potrzeby współpracowania z CSIRT. Będą musiały również wyznaczyć przynajmniej jedną osobę odpowiedzialną za bezpieczeństwo.

CSIRT-y i Pojedynczy Punkt Kontaktowy

Ustawa zakłada współdziałanie trzech Zespółów Reagowania na Incydenty Bezpieczeństwa Komputerowego – CSIRT NASK, CSIRT MON i CSIRT GOV. Będą one zapewniać wsparcie operatorom usług kluczowych oraz dostawcom usług cyfrowych. Będą także monitorować zagrożenia, wydawać ostrzeżenia, klasyfikować incydenty jako krytyczne i obsługiwać incydenty zgłoszone przez jednostki podległe MON, jednostki rządowe i samorządowe.

CSIRT GOV będzie zespołem właściwym do incydentów związanych z terroryzmem. W przypadku stwierdzenia, że incydent obsługiwany przez CSIRT MON albo CSIRT NASK jest związany ze zdarzeniami o charakterze terrorystycznym, obsługę takiego incydentu przejmuje CSIRT GOV.

CSIRT-y będą też współpracować z innymi podobnymi zespołami w UE.

CSIRT NASK będzie mógł (po konsultacji z dostawcą usług cyfrowych), przekazać do publicznej wiadomości informacje o poszczególnych incydentach w usługach cyfrowych. Również do CSIRT NASK będą mogły zgłaszać incydenty wszelkie inne osoby niż OUK i dostawcy usług cyfrowych.

Współpraca CSIRT-ów będzie możliwa dzięki tzw. Pojedynczemu Punktowi Kontaktowemu. Będzie on przekazywał informacje w ramach tzw. Grupy Współpracy. PPK będzie też przekazywał Komisji Europejskiej informacje o wyznaczonych organach właściwych, przepisach dotyczących kar pieniężnych, liczbie operatorów usług kluczowych i in.

Podział ról w rządzie

Ministrowie poszczególnych resortów mają być organami właściwymi do spraw cyberbezpieczeństwa. Czyli np. minister energii będzie się zajmował cyberbezpieczeństwem sektora energetycznego, a minister zdrowia bezpieczeństwem służby zdrowia.

Minister ds. informatyzacji będzie monitorował zagrożenia na poziomie krajowym. Będzie też prowadził działania profilaktyczne i informacyjne. Jego zadaniem będzie monitorowanie bezpieczeństwa systemu umożliwiającego współpracę różnym podmiotom włączonym do systemu cyberbezpieczeństwa. Ten system będzie odpowiedzialny także za zgłaszanie incydentów, generowanie rekomendacji, szacowanie ryzyka itd. Informacje z tego systemu będą w razie potrzeby udostępniane służbom, prokuratorom lub fiskusowi. Uruchomienie systemu ma nastąpić z dniem 1 stycznia 2021 r.

Inne przepisy

Rozdział 8. ustawy definiuje kwestie nadzoru i kontroli. Tutaj warto zwrócić uwagę na art. 49, który przyzna pewne uprawnienia osobom prowadzącym kontrole wobec przedsiębiorców. Taka osoba będzie miała prawo do przetwarzania danych osobowych, sporządzania kopii dokumentów, przeprowadzania oględzin nośników i systemów.

Rozdział 9. dotyczy strategii cyberbezpieczeństwa RP, która ma być przyjmowana przez Radę Ministrów w drodze uchwały.

Rozdział 10. to przepisy o karach pieniężnych. Przykładowo kara za nieprzeprowadzenie audytu przez OUK będzie wynosiła do 50 tys. zł. Niektórzy mogą więc mieć pokusę nierealizowania takich testów, bo często ich koszt jest wyższy. W razie uporczywych naruszeń jednak kara może urosnąć do 200 tys.

Ustawa miałaby wejść w życie 14 dni po ogłoszeniu.

Negatywna opinia MON i uwagi innych ministrów

Dlaczego teraz piszemy o projekcie z listopada? Ponieważ jest on po uzgodnieniach miedzyresortowych i konsultacjach. Można zatem podsumować opinie, jakie się na jego temat pojawiły. W tym miejscu jeszcze raz podkreślimy, że duża liczba uwag sama w sobie nie jest zła. Świadczy raczej o tym, że konsultacje przebiegają jak należy.

Ministerstwo Obrony Narodowej zaopiniowało projekt negatywnie. Jego zdaniem projekt powinien wyraźnie przyznawać szefowi MON pieczę nad militarnym obszarem cyberbezpieczeństwa. Projekt nie uwzględnia też funkcjonowania systemu cyberbezpieczeństwa w stanie wojny i w innych stanach nadzwyczajnych, co zdaniem MON-u jest poważną luką. Zbyt wiele uprawnień – zdaniem MON – przypisano ministrowi ds. cyfryzacji. MON uważa też, że przyjęte rozwiązania są “reaktywne”, ale zbyt mało uwagi przyłożono do zarządzania ryzykiem na poziomie krajowym.

MSWiA zgłosiło uwagi m.in. dotyczące określenia relacji między przepisami nowej ustawy a stopniami alarmowymi przewidzianymi w tzw. Ustawie antyterrorystycznej. Propozycje MC są takie, aby Zespół do spraw Incydentów Krytycznych opiniował dla szefa ABW wprowadzenie lub odwołanie stopni alarmowych. MSWiA obawia się, że to niepotrzebnie wydłuży procedurę.

Ministerstwo Rozwoju pozytywnie oceniło projekt, ale wniosło uwagi np. do sposobu definiowania internetowej platformy handlowej. Ponadto MR stwierdziło, że…

…ujawnienie informacji o incydencie może spowodować utratę reputacji operatorów usług kluczowych i dostawców usług cyfrowych i narazić ich na trudne do oszacowania straty oraz zagrozić tajemnicy przedsiębiorstwa. Z tego powodu nie wydaje się uzasadnione, by choćby znikome zwiększenie cyberbezpieczeństwa stanowiło wystarczającą podstawę do przekazywania do wiadomości publicznej wiadomości o incydentach.

Minister Koordynator ds. Służb Specjalnych zauważył, że Ustawa o zarządzaniu kryzysowym nakłada obowiązki zgłaszania pewnych incydentów na operatorów infrastruktury krytycznej. Ponieważ operatorzy IK będą jednocześnie OUK to mogą być zmuszeni np. do dwukrotnego zgłaszania incydentów. Minister obawia się również, że system wykorzystywany do zgłaszania incydentów będzie sam w sobie zagrożeniem, ponieważ “docelowo będzie zawierał informacje o podatnościach i zagrożeniach zabezpieczeń kluczowych systemów w kraju“.

Dodajmy jeszcze, że różne ministerstwa zgłaszały różne zastrzeżenia co do sposobu zdefiniowania OUK. Wszystkie opinie ministerstw znajdziecie w Rządowym Centrum Legislacji.

W ramach opiniowania Generalny Inspektor Ochrony Danych też zgłosił kilka uwag. Zauważył m.in., że informacje o incydentach i podatnościach nie będą udostępnione na podstawie informacji o dostępie do informacji publicznej, a to może spowodować rozproszenie metod udostępniania komunikatów. GIODO miał też zastrzeżenia co do zakresu informacji przetwarzanych w związku z obsługą zgłoszeń.

Opinie przedsiębiorstw, obywateli i NGO-sów

Warto rzucić okiem na opinie zgłoszone w konsultacjach społecznych.

Federacja Przedsiębiorców Polskich, zwróciła uwagę na znaczenie szyfrowania, które powinno być ujęte w ustawie jako jeden ze środków zapewniających bezpieczeństwo. Zdaniem FPP ustawa powinna zawierać katalog takich środków lub przynajmniej delegację ustawową do wydania rozporządzenia w tym zakresie.

Instytut Kościuszki wyraził opinię, że projekt ustawy ignoruje m.in.: postulat utworzenia Naukowego Klastra Cyberbezpieczeństwa. Instytut wyraził też opinię, że ustawa powinna nie tylko nakładać pewne sankcje, ale też wprowadzać konkretne zachęty oraz wsparcie administracji publicznej w zakresie realizacji nowych obowiązków.

Związek Pracodawców Mediów Elektronicznych i Telekomunikacji MEDIAKOM wyraził obawę, że regulacjami ustawy mogą być objęci mali i średni operatorzy (jako podmioty świadczące usługi DNS). Generalnie wiele innych uwag dotyczyło tego, w jaki sposób należy definiować dostawców usług cyfrowych czy platformy handlowe.

KIKE wyraziła zdanie, że ustawa transponująca dyrektywę NIS do polskiego porządku prawnego nie powinna nakładać żadnych nowych obowiązków na przedsiębiorców telekomunikacyjnych, jako że przedsiębiorcy telekomunikacyjni realizują już od dawna szereg obowiązków na podstawie Prawa telekomunikacyjnego.

Związek Banków Polskich miał sporo uwag. Wyraził też ogólne zdanie, że ustawa nie określa co ma być chronione i jak. Zdaniem ZBP brakuje faktycznego zarządcy krajowym systemem cyberbezpieczeństwa RP, a gradacja incydentów jest jego zdaniem źle zbudowana, bo głównym kryterium powinny być: zasięg incydentu (skutek oddziaływania: lokalny, sektorowy, międzysektorowy i międzynarodowy) oraz istotność – wpływ na bezpieczeństwo sieci lub systemów informatycznych (niska, średnia, istotna i krytyczna). Co ciekawe, również Ministerstwo Zdrowia stwierdziło, że nie rozumie klasyfikacji incydentów.

Konfederacja Lewiatan wskazała, że przedsiębiorcy już mają obowiązki zgłaszania różnych incydentów do GIODO, UKE i ministra ds. cyfryzacji (w zakresie usług zaufania), a teraz dojdzie do tego obowiązek zgłaszania do CSIRT NASK. Zdaniem organizacji powinien istnieć jeden punkt zgłoszeń na poziomie krajowym.

KIGEIT stwierdziła, że “wdrożenie systemu cyberbezpieczeństwa w proponowanym przez Projekt modelu spowoduje wzrost popytu na usługi i produkty cyberbezpieczeństwa, w konsekwencji wzrost importu zarówno usług, jak i rozwiązań produktowych, a z drugiej pogłębi uzależnienie cyber bezpieczeństwa Polski od zagranicznych rozwiązań. Dlatego – zdaniem KIGEiT – należy jednocześnie stymulować polski rynek rozwiazań w zakresie bezpieczeństwa.

Jak widzicie, różne reakcje wywołuje projekt ustawy i wiele złożonych zagadnień pozostaje jeszcze do doprecyzowania. Trudno ocenić teraz jakie będą losy projektu, skoro po niebawem może nastąpić rekonstrukcja rządu. Byłoby natomiast dobrze, gdyby idea budowania takiego krajowego systemu nie umarła całkowicie, tak samo jak umarła idea powiadomień SMS w RSO po wcześniejszej zmianie rządu.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

25 komentarzy

Dodaj komentarz
  1. Bardzo interesujące podsumowanie. Naturalnie moim zdanie pracę nad tą ustawa powinny rozpocząć się dawno temu i powinniśmy już działać na nim. Tymczasem uruchomienie systemu ma nastąpić z dniem 1 stycznia 2021 r., ale lepiej późno niż wcale. Swoją drogą jest to bardzo trudny projekt ponieważ dotyka wielu ministerstw jednocześnie.

    • Powiedz nam jakim cudem funkcjonujemy od powiedzmy 10 lat bez takiej ustawy? Jakim cudem funkcjonuje Japonia czy USA nieposiadające takich ustaw. Ta ustaw to kolejny urząd i posadki dla znajomych na których TY będziesz łożył.

    • @John Sharkrat USA mają kilka takich regulacji, zarówno na poziomie federalnym jak i stanowym. Mają też odpowiednie strategie na poziomie krajowym i własne spory kompetencyjne, podobne miejscami do naszych. Serio, jest 2018. JFGI.

      Konieczność istnienia takiej ustawy to inna sprawa. Na pewno ułatwi trochę niektóre kwestie w publicu.

  2. Sprawozdania, informacje, formularze, informacje….
    Pewnie będzie jak z prawem telekomunikacyjnym. Najpierw mali przedsiębiorcy prawie jej nie zauważali a teraz przytłacza ich ilość sprawozdań, formularzy, kar. Wystarzy wejść na forum np. Trzepak’a.

    Od ustaw to jeszcze bezpieczeństwa nie przybyło a tylko złudzenia.

    • Dokładnie. Ta ustawa jest potrzeba jak w Porsche dyszel.
      Na opracowanie tej ustawy w obecnej formie penie już poszły miliony dla kolesi za ekspertyzy i nagrody specjalne dla urzędników, bo napisał 3 strony w Wordzie bez błędów.

  3. “Podmiot, który świadczy usługi DNS.” – czyli każdy ISP

  4. Pokrycie operatorów Infrastruktury Krytycznej i Operatorów Usług Kluczowych to rzeczywiście bubel.
    Jak rzadko zgadzam się z Lewiatanem – jeden punkt raportowania incydentów to dobry pomysł.
    Wysokośc kar jest rzeczywiście śmieszna. O ile nie powiąże się ich z obrotami/przychodami przedsiębiostwa jak w prawie telekomunikacyjnym, to dla większych firm nie będą miały żadnego znaczenia

    Ministerstwo Rozwoju – facepalm.

    Trochę smuci mnie fakt, że uwag nie zgłaszał Panoptykon(chyba że mamy teraz innego NGOsa robiącego za polskie EFF). Najbliżej był Instytut Kościuszki, o którym nigdy wcześniej nie słyszałem

  5. Jak informują media nieoficjalnie Anna Streżyńska już zdymisjonowana. Po prostu nie wolno zadzierać z Macierewiczem – nie i już. Nawet jeśli się jest najlepszym ministrem, a przynajmniej się najbardziej stara z tych, którzy są. Negatywna ocena MON wystawiona z premedytacją – niezależnie co by było w projekcie – i tak ocena byłaby negatywna, bo chodziło o argument do uwalenia Streżyńskiej.

    • A jak podpadł Antoni, że Macierewicz go zdymisjonował

  6. Ciekawy projekt który powinien być już daaaawno temu wdrożony a teraz powinien być co roku tylko modernizowany w miarę rozwoju różnych technologii jednak puki co mówi się o Cyberbezpieczeństwie na podobnej zasadzie jak minister od służby zdrowia tzn – jest problem ze służbą zdrowia – trzeba wydać uchwałę ograniczającą ilość pacjentów (czyli próbując zrozumieć ministra i jego uchwałe trzeba ozdrowić resztę)- i tu podobnie projekt taki jakby miał nakazać hakerom zaprzestanie ataków lub ich ograniczenie dlatego bo w Polsce powstanie KSC. Dobrze zauważył ZBP że ustawa nie określa co ma być chronione i jak a JAK TO RACZEJ PODSTAWA. Nie wyobrażam sobie dostać wytyczne odnośnie bezpieczeństwa IT które mają w zasadzie określać bezpieczeństwo ale nie mówić jak zabezpieczać bo jeśli tak zrobią to znaou powstanie dokument mówiący że coś trzeba ale RADŹCIE SOBIE SAMI.

  7. re jakaś tam zmiana
    Nie sądzę, żeby chodziło personalnie o Streżyńską.
    Albo w ramach rekonstrukcji awansują innego “gowinowca” i nie chcą zachwiać równowagi. Ma zostać wlał – wylał.
    Albo chodzi o zasięg władzy (jeśli Antoni się ostanie). Macierewicz może nie chcieć, żeby ktokolwiek miał choć odrobinę kontroli i wpływu na to, co wyprawia na swoim podwórku.
    W tym wypadku uwalił by projekt bez względu czy zasiadała by MC Streżyńska czy Kowalski.
    Albo oba jednocześnie.
    Tak czy inaczej niektóre uwagi MON zasadne. Inne czysto polityczne.

    imho Streżyńska za bardzo odstaje od reszty. Oni nie mogą mieć u siebie profesjonalisty, bo w nim jak w lustrze odbija się partactwo reszty ;)

  8. podoba mi sie przytomny kometarz koordynatora sluzb specjalnych

  9. Instytut Kościuszki – uwielbiam takie organizacje (w 99% Instytuty) – które chętnie doradzą w każdym temacie: Cyberbezpieczeństwo? OK Ocena eurodeputowanych? Nie ma sprawy. Aktywny student w Kirgistanie? Oczywiście! Korupcja w Małopolsce? Znamy się na tym. Najlepsze przyprawy do pierogów ruskich? Jeśli zamówicie raport… (na podstawie Wikipedii). A może zapytać Wydział Informatyki Politechniki X, Zeto Y, CERT, firmy Dell i CSC itd? A jeśli już Instytut to może Instytut Budowy Dróg i Mostów – twórcę największego polskiego systemu inwigilacji – ISKIP?

    • Re: instytut kościuszki via @cranky – chwila googlowania przed dodaniem komentarza uratowałaby twój wizerunek przed drobną wpadką. IK robi jedną z największych konferencji w Europie dotyczących cyberbezpieczeństwa pod kątem polityki.

      Re projekt: jako współautor jednego ze zbioru uwag do projektu (nie do końca pochlebnego dla projektu) zostałem zaproszony na konsultacje międzyresortowe. W dużym skrócie: stracony dzień, bo i tak wszystko między MON, MC i Służbami zostało przeniesione na “bardziej kameralne spotkanie”. Nie przywiązywałbym się BARDZO do obecnego projektu ustawy.

  10. Pewnie jakieś odgórne pilnowanie bezpieczeństwa istotnych usług mogłoby być przydatne, ale obawiam się o jakość takiej kontroli. Jak znam życie – jak tylko pojawi się szeroki obowiązek przeprowadzania audytów to wyrośnie masa firm bez żadnych kompetencji, oferujących certyfikat “na święty spokój”. Będzie wielkie udawanie, tak jak przy wielu projektach finansowanych z unii. A no i oczywiście przynajmniej rodzaj i liczba incydentów u różnych dostawców powinny być ujawniane – może być po jakimś czasie – ale to właśnie powinien być główny straszak, a nie kary za nieprzeprowadzenie audytu. Kary powinny być za niezgłoszenie incydentu, o którym się wiedziało i za rażące zaniedbania (ale po fakcie)

  11. Audyt co 2 lata i 50 tys. zł kary za jego brak? Przecież to kpina. Najrzadziej audyt powinien być co pół roku i dodatkowe po wykryciu ważnych luk bezpieczeństwa często tu opisywanych. Powinna być też minimalna kara określona w złotych, procentach wartości spółki i jej obrotów – przyjmowana najsurowsza jej dolna granica. Czy oni żyją w epoce kamienia łupanego? Zaś za każdy incydent bezpieczeństwa powinny być surowe kary, tak aby płotki nie wchodziły do przetwarzania i wycieków danych, a ci co nie umieją zadbać o bezpieczeństwo bezpowrotnie wylatywali. Wiem, że usług będzie mało, ale wtedy będą one bezpieczne. Teraz nikt nie chce wydawać dodatkowych pieniędzy na bezpieczeństwo. Po prostu napisze, że bezpieczne wlepi tarczę i ludzie ślepo ufają.

  12. “Ministrowie poszczególnych resortów mają być organami właściwymi do spraw cyberbezpieczeństwa. Czyli np. minister energii będzie się zajmował cyberbezpieczeństwem sektora energetycznego, a minister zdrowia bezpieczeństwem służby zdrowia.

    Minister ds. informatyzacji będzie monitorował zagrożenia na poziomie krajowym. Będzie też prowadził działania profilaktyczne i informacyjne. Jego zadaniem będzie monitorowanie bezpieczeństwa systemu umożliwiającego współpracę różnym podmiotom włączonym do systemu cyberbezpieczeństwa. Ten system będzie odpowiedzialny także za zgłaszanie incydentów, generowanie rekomendacji, szacowanie ryzyka itd. Informacje z tego systemu będą w razie potrzeby udostępniane służbom, prokuratorom lub fiskusowi. Uruchomienie systemu ma nastąpić z dniem 1 stycznia 2021 r.”

    ja sie pytam to co teraz politycy stana sie nagle specami od cyberbespieczeństwa kraju???

  13. “Minister obawia się również, że system wykorzystywany do zgłaszania incydentów będzie sam w sobie zagrożeniem, ponieważ “docelowo będzie zawierał informacje o podatnościach i zagrożeniach zabezpieczeń kluczowych systemów w kraju“.” – buahaha co za tok myślowy, Minister ma problem z logicznym myśleniem i jest odrealniony. To tak jakby powiedzieć, że nie należy wytwarzać noży bo mogą służyć złym celom. Realia są jakie są i pożytek jest większy niż straty, przecież to jest takie oczywiste.

    • Według mnie bardzo ważna uwaga i świadomość zagrożenia ze strony ministra.I dzięki tej świadomości można tak budować system aby minimalizować te zagrożenie.

  14. ogólnie, gniot i syf… jak będą chcieli, aby raportował co i jak zabezpieczam, przeniosę się do rajów sąsiedzkich… Banda głupków, którzy nie mają pojęcia nad czym mają pracować.. moje serwery są o 10 lat przed nimi…

  15. po przemyśleniu… niech robią, a firmy niech ślą… Taki włam do rządowej bazy – zabezpieczanej przez informatyków, którym płaci budżetówka – będzie banalny, a wiedza o przedsiębiorcach ogromna … i szodan już będzie zbędny :))

  16. Ministerstwa Cyfryzacji już nie ma. Projekt do piachu? :)

  17. Tylko co z ministrą cyfryzacji i samym ministerstwem. Skoro prowadzili tak ważny projekt to co teraz. Kto to poprowadzi? Który minister jest zainteresowany i wie merytorycznie co w ogóle jest celem dla kraju.

    Reasumując poprzednia p.minister zrobiła wg mnie dobrą robotę no ale….

  18. Ta ustawa posłuży do cyfrowego przejęcia Polski przez wywiad Niemiec i Francji. Większość firm spełniająca wymogi tej ustawy to zagraniczne firmy, są w stanie spełnić w/w wymogi bo są finansowane przez komórki wywiadowcze, rozszerzą swoją działalność usługową i przejmą kontrolę nad olbrzymim obszarem Polski.

  19. Przecież omawiany projekt NIE dotyczy systemu bezpieczeństwa, a reguluje jedynie obowiązki informowania o incydentach…
    Najbliższa istoty sprawy jest krytyczna uwaga od ZBP: nieznany zakres ochrony.
    Tak jak nieznany jest sposób ochrony…
    Ale może ktoś z ministerialnych prawników potrafiłby wytłumaczyć, w jaki sposób usług bezpieczeństwa cybernetycznego będą wynikać z obowiązków narzucanych projektowaną ustawą.

    Czy prawnicy lub urzędnicy wymyślili Internet…? To skąd pokładanie nadziei, że będą oni potrafili znaleźć antidotum na problemy, których nie rozumieją…?

Odpowiadasz na komentarz a

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: