Ministerstwo Cyfryzacji przedstawia założenia nowelizacji ustawy związanej z bezpieczeństwem w sieci. Co pojawi się w nowym Krajowym Systemie Cyberbezpieczeństwa?
Jak informuje serwis CyberDefence24.pl powołujący się na raport CBZC odnośnie działań w zeszłym roku, specjalny oddział Policji zajmujący się zwalczaniem przestępstw w internecie odnotował ponad 3 tys. realnych cyberprzestępstw. Zabezpieczono ponad 441,3 mln zł oraz odzyskano mienie w wysokości 14,3 mln zł. Nie dziwi więc fakt, że nowy rząd, a konkretnie Ministerstwo Cyfryzacji musi podjąć odpowiednie działania w celu zminimalizowania zagrożenia. Pomóc w tym ma zaprezentowany właśnie nowy Krajowy System Cyberbezpieczeństwa.
Polecamy na Geekweek: Numer alarmowy 112. Rząd szykuje ważne zmiany
Zmiany w Krajowym Systemie Cyberbezpieczeństwa to dla nas priorytetowy projekt na ten rok. Przez ostatnie lata wiele zmieniło się w krajobrazie cyberprzestrzeni, a wyzwań jest coraz więcej biorąc pod uwagę liczbę incydentów i ich konsekwencje. Jesteśmy zdeterminowani, aby wprowadzić nowe prawo szybko, ale zachowując odpowiedni okres dla przedsiębiorców do dostosowania się do regulacji.
– mówi wicepremier, minister cyfryzacji Krzysztof Gawkowski.
Krajowy System Cyberbezpieczeństwa. Tak rząd będzie walczył z przestępczością w sieci
Obecne regulacje w ramach Krajowego Systemu Cyberbezpieczeństwa obowiązują od 1 sierpnia 2018 roku. Od tamtego czasu sytuacja w obszarze cyberprzestrzeni znacznie się zmieniła. Aby sprostać nowym wyzwaniom, konieczne jest zaktualizowanie ustawy, aby zapewnić lepsze bezpieczeństwo informatyczne na poziomie krajowym. Ministerstwo Cyfryzacji już teraz planuje nowelizację, która wprowadza zaktualizowane zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które podlegają obecnym przepisom. Ważne i kluczowe jednostki, których liczba w całym kraju sięga tysięcy, będą musiały wdrożyć system zarządzania bezpieczeństwem informacji w swoich procesach biznesowych, które są kluczowe dla świadczenia usług.
Nowy Krajowy System Cyberbezpieczeństwa ma na celu zapewnienie bezpieczeństwa na poziomie krajowym, ze szczególnym naciskiem na ciągłość świadczenia usług kluczowych i cyfrowych oraz ochronę systemów teleinformatycznych. System obejmuje operatorów usług kluczowych z sektorów takich jak energetyka, transport, zdrowie i bankowość, dostawców usług cyfrowych, zespoły reagowania na incydenty komputerowe (CSIRT), sektorowe zespoły cyberbezpieczeństwa oraz organy odpowiedzialne za cyberbezpieczeństwo. Istnieje także jeden punkt kontaktowy do komunikacji z Unią Europejską. Operatorzy usług kluczowych muszą wdrożyć środki bezpieczeństwa, szacować ryzyko i zgłaszać poważne incydenty do CSIRT. Są również zobowiązani do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo, zarządzanie incydentami i dzielenie się wiedzą w tym zakresie.
Nowe przepisy ds. bezpieczeństwa w sieci. Co się zmieni?
Projekt nowelizacji ustawy zakłada zmiany w zakresie:
- podmiotów kluczowych i ważnych,
- zespołów CSIRT,
- systemu S46 i Pojedynczego Punktu Kontaktowego,
- nadzoru i środków egzekwowania przepisów przez organy właściwe ds. cyberbezpieczeństwa,
- kompetencji Ministra Cyfryzacji,
- zmiany obowiązków Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa,
- instytucji dostawcy wysokiego ryzyka.
Istotnym zagadnieniem opisywanym w nowej ustawie ma być forma zgłaszanie incydentów związanych z naruszeniem cyberbezpieczeństwa. Incydenty poważne zgłaszane będą do CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego ) w ściśle określonym trybie:
- wczesne ostrzeżenie o incydencie poważnym:
- podmiot kluczowy i ważny zgłasza niezwłocznie nie później niż w ciągu 24 godzin od momentu wykrycia incydentu poważnego,
- przedsiębiorca telekomunikacyjny – niezwłocznie w nie później niż w ciągu 12 godzin od momentu wykrycia incydentu poważnego,
- zgłoszenie incydentu poważnego - niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia;
- w trakcie obsługi incydentu sporządzane jest sprawozdanie okresowe, a po zakończeniu obsługi incydentu sprawozdanie końcowe;
- CSIRT sektorowy przekazuje wczesne ostrzeżenie oraz zgłoszenia niezwłocznie, nie później niż 8 godzin od jego otrzymania, do właściwego CSIRT MON, CSIRT NASK albo CSIRT GOV;
- wczesne ostrzeżenie może zawierać wniosek np. o udzielenie wsparcia technicznego przy obsłudze incydentu.
Więcej informacji na temat planowanych zmian i bardziej szczegółowe przedstawienie proponowanej nowelizacji znajdziecie na stronach Ministerstwa Cyfryzacji. Do 24 maja trwają konsultacje społeczne, w ramach których można zgłaszać swoje zastrzeżenia do projektu.
Stock image from Depositphotos
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu