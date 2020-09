Ministerstwo Cyfryzacji daje 14 dni na zgłoszenie uwag do projektu noweli ustawy o krajowym systemie cyberbezpieczeństwa, który trafił we wtorek do konsultacji. Zmiany mają m.in. wdrożyć zalecenia UE dot. bezpieczeństwa sieci telekomunikacyjnych.

We wtorek projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy - Prawo zamówień publicznych został opublikowany na stronie Rządowego Centrum Legislacji.

Według MC cyberbezpieczeństwo sieci telekomunikacyjnych to jeden z priorytetów Komisji Europejskiej. Ma to swoje odwierciedlenie m.in. w przyjęciu Europejskiego Kodeksu Łączności Elektronicznej, który umożliwia m.in. ujednolicenie procedur zgłaszania incydentów bezpieczeństwa na poziomie krajowym. Komisja Europejska kładzie też nacisk na zapewnienie bezpieczeństwa szerokopasmowej sieci łączności nowej generacji, czyli technologii 5G.

"Kwestię bezpieczeństwa sieci telekomunikacyjnych wielokrotnie podnosiliśmy na forum europejskim. Niezawodność i niezakłócone świadczenie usług telekomunikacyjnych ma i będzie miało coraz większe znaczenie dla cyberbezpieczeństwa usług kluczowych i cyfrowych" - wskazał minister cyfryzacji Marek Zagórski, pełnomocnik rządu ds. cyberbezpieczeństwa, cytowany w komunikacie na temat nowelizacji ustawy.

MC wskazuje, że proponowane w ustawie zmiany są konieczne z powodu podjętych na poziomie europejskim zobowiązań. Chodzi o wdrożenie zaleceń i standardów opublikowanych w tak zwanym 5G Toolbox, czyli zestawie narzędzi przygotowanych przez Komisję Europejską, Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Zawiera on minimalny poziom harmonizacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G. Są to zarówno narzędzia o charakterze strategicznym i technicznym oraz wspierającym.

Resort podał także, iż jego analizy oraz zgłaszane przez partnerów społecznych uwagi m.in. w trakcie prac nad Strategią Cyberbezpieczeństwa RP na lata 2019-2024, wskazały na potrzebę usprawnienia krajowego systemu cyberbezpieczeństwa. Według MC, obszary, które wymagają zmian, to m.in. ujednolicenie na poziomie krajowym procedur zgłaszania incydentów, w tym także incydentów raportowanych przez przedsiębiorstwa telekomunikacyjne, zapewnienie warunków do utworzenia zespołów reagowania na incydenty komputerowe (CSIRT) w sektorach i podsektorach gospodarki o kluczowym znaczeniu dla społeczno-ekonomicznego bezpieczeństwa państwa (sektorowe CSIRT).

Zwrócono też uwagę na wzmocnienie współpracy operatorów usług kluczowych z organami właściwymi oraz zespołami CSIRT poziomu krajowego w zakresie wymiany informacji o incydentach, podatnościach, zagrożeniach i dobrych praktykach, umożliwienie tworzenia centrów analizy i wymiany informacji (ISAC).

Projekt przewiduje, że Kolegium ds. Cyberbezpieczeństwa otrzyma kompetencje do oceny ryzyka dostawców sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa podmiotów krajowego systemu cyberbezpieczeństwa. Jak podaje MC, prowadzenie przez państwa członkowskie UE tego typu ocen ryzyka zostało uzgodnione z Komisją Europejską i ENISA, jako jeden ze środków strategicznych w dokumencie 5G Toolbox.

Ponadto, zmiany mają umożliwić powstanie sektorowych CSIRT we wszystkich kluczowych dla społeczno-ekonomicznego bezpieczeństwa państwa i obywateli sektorach gospodarki. Chodzi o to, że mimo istnienia takiej możliwości, dotychczas powstał tylko jeden sektorowy zespół cyberbezpieczeństwa - Sektorowy Zespół Cyberbezpieczeństwa dla Sektora Bankowości i Infrastruktury Rynków Finansowych (CSIRT-KNF).

MC, chce również wprowadzić do krajowego systemu cyberbezpieczeństwa operacyjne centra bezpieczeństwa, czyli SOC, a także ISAC, czyli specjalistyczne organizacje, dzięki którym określone podmioty krajowego systemu cyberbezpieczeństwa będą miały możliwość bieżącej wymiany informacji o incydentach, zagrożeniach, podatnościach oraz dobrych praktykach. ISAC usprawnią także współpracę podmiotów z zespołami CSIRT poziomu krajowego.

Resort prosi o zgłaszanie uwag w konsultacjach stowarzyszenia branżowe, fundacje, instytuty naukowe, środowiska akademickie, przedsiębiorstwa świadczące usługi z zakresu cyberbezpieczeństwa oraz branżowych specjalistów.