Problem cyberbezpieczeństwa państwa był i jest w Polsce traktowany nieco po macoszemu. Władze nie zajęły się dotychczas tym zagadaniem tak jak należy. W konsekwencji polskie prawo nie reguluje w sposób dostateczny tej kwestii. Można powiedzieć, że w tym względzie panuje u nas dziki zachód. Ma to się jednak zmienić dzięki ustawie o krajowym systemie cyberbezpieczeństwa, której projekt został przyjęty przez polski rząd pod koniec kwietnia 2018 roku. Co zmieni się w prawie po jej wprowadzeniu? Czy dzięki niej Polska stanie się bezpieczniejsza? Czy po jej prowadzeniu będziemy mogli przestać mówić o dzikim zachodzie?
Założenia ustawy o krajowym systemie cyberbezpieczeństwa
Elementy składowe systemu zarządzania bezpieczeństwem cybernetycznym
Włączenie problemu bezpieczeństwa cyberprzestrzeni do sfery zarządzania państwem
Założenia ustawy o krajowym systemie cyberbezpieczeństwa
Celem uchwalenia nowych przepisów było doprowadzenie do sytuacji, w której Polska będzie w stanie w skoordynowany sposób przeciwdziałać zagrożeniom cybernetycznym. Tak, aby z góry było wiadomo, co należy zrobić w razie wykrycia incydentu oraz kto jest odpowiedzialny za zlikwidowanie zagrożenia. Ustawa ma wyeliminować chaos kompetencyjny oraz zagwarantować bezproblemowe świadczenie usług kluczowych z punktu widzenia państwa.
Projekt ustawy o krajowym systemie cyberbezpieczeństwa reguluje między innymi:
- obowiązki operatorów usług kluczowych w zakresie zarządzania cyberbezpieczeństwem,
- zasady reagowania na incydenty zagrażające bezpieczeństwu IT,
- obowiązki dostawców usług cyfrowych, takich jak na przykład wyszukiwarki internetowe, internetowe platformy handlowe czy dostawcy usług w chmurze.
Elementy składowe systemu zarządzania bezpieczeństwem cybernetycznym
Projekt ustawy zakłada wdrożenie przez operatora usługi kluczowej efektywnego i skoordynowanego systemu zarządzania bezpieczeństwem IT. Z jakich elementów powinien składać się – wedle nowych przepisów – system zarządzania bezpieczeństwem cybernetycznym? Obejmuje on między innymi:
- wdrożenie skutecznych zabezpieczeń systemów informatycznych,
- przygotowanie zasad postępowania po wykryciu indycentu naruszającego bezpieczeństwo IT,
- stworzenie procedur z zakresu zgłaszania wykrytych indycentów.
Nowe prawo nakłada także na operatora usług kluczowych obowiązek przeprowadzania audytów bezpieczeństwa systemów IT, które są wykorzystywane do świadczenia usługi kluczowej.
Co ważne, nowe polskie przepisy mają być zgodne z unijną dyrektywą NIS z 2016 roku, która zakłada zapewnienie wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej.
Włączenie problemu bezpieczeństwa cyberprzestrzeni do sfery zarządzania państwem
Reasumując, ustawa o krajowym systemie cyberbezpieczeństwa zakłada włączenie kwestii związanych z bezpieczeństwem cybernetycznym do sfery zarządzania państwem. Na ile to się sprawdzi, czas pokaże.