8:32
3/8/2018

Jeśli nie lubisz słowa “cyberbezpieczeństwo” to wiedz, że teraz jest to pojęcie z ustawy. 1 sierpnia Prezydent podpisał ustawę o Krajowym Systemie Cyberbezpieczeństwa, która wdraża do polskiego prawa dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium UE (tzw. dyrektywa NIS).

Wcześniej w Niebezpieczniku pisaliśmy o pracach nad tą ustawą. Najważniejszym elementem tworzonego przez nią systemu cyberbezpieczeństwa będą tzw. operatorzy usług kluczowych, czyli dostawcy ważnych usług zależnych od systemów informacyjnych (np. firmy energetyczne, przewoźnicy lotniczy i kolejowi, szpitale, podmioty istotne dla infrastruktury ICT itd.). Te podmioty będą ustawowo zobowiązane do wdrażania zabezpieczeń, szacowania ryzyka i przekazywania informacji o incydentach do tzw. CSIRT-ów (tj. Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego).

Ustawa nałoży także pewne obowiązki na internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Będą one m.in. zgłaszać incydenty krytyczne, zapewniać ich obsługę i informować operatorów usług kluczowych o incydentach istotnych dla nich. Ustawa generalnie określa zasady reagowania na incydenty.

CSIRTy zostaną utworzone w ramach Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), NASK (CSIRT NASK) oraz resortu obrony narodowej (CSIRT MON). Oprócz nich będą istnieć organy właściwe ds. cyberbezpieczeństwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych. Ustanowiony będzie Pojedynczy Punkt Kontaktowy prowadzony przez ministra właściwego ds. informatyzacji, który ma pełnić rolę łącznika pomiędzy organami właściwymi ds. cyberbezpieczeństwa, organami władzy publicznej i CSIRT. Teoretycznie to wszystko ma stworzyć “spójny i kompletny system zarządzania ryzykiem”.

Ustawa wejdzie w życie 14 dni od dnia ogłoszenia.

 

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

4 komentarzy

Dodaj komentarz
  1. No i… no.

  2. Jakbym się cofnął 30 lat, uchwalimy ustawę i już wszystko będzie cacy.
    Tylko zdrowego rozsądku jakby mało w tych ustawach…

  3. No dobrze – Kenjiro – mowisz ze rozsadku malo. Jest w sumie ‘po staremu’. Sa CSIRTy, jest pojedynczy punkt kontaktowy. Nie ma mechanizmu akredytacji (tzn. czesc jest w innej ustawie), je ma info o obowiazkach CSIRTOW (czy bedzie chociaz tak jak bylo ze wydzial ABW produkowal bibule o zagrozeniach czy jak z NASKiem). Nie ma CERTow operatorskich. Nie ma info o wsparciu w zwalczaniu incydentow. Nie ma o dzialaniach zapobiegawczych (chociaz troche jest – patrz inna ustawa). Krok pierwszyjednak zrobiony…

  4. Ustawa przewiduje wyznaczenie osób do kontaktu z CSIRT, będą jakieś szkolenia dla takich osób?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.