Podczas obrad sejmowych Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej do rządowego projektu ustawy o krajowym systemie cyberbezpieczeństwa przyjęto jedynie poprawki o charakterze redakcyjnym.
Za projekt odpowiada Ministerstwo Cyfryzacji. Proponowane przepisy wdrażają dyrektywę Parlamentu Europejskiego.
Do projektu poprawki zgłaszał Paweł Suski (PO), jednak wszystkie zostały negatywnie rozpatrzone przez komisje.
Dzięki zmianom w prawie działania w skali kraju, które mają na celu zapobiegać, wykrywać oraz minimalizować skutki incydentów naruszających bezpieczeństwo informatyczne kraju, zostaną skoordynowane.
Jak wskazują autorzy projektu, celem ustawy jest organizacja oraz określenie sposobu funkcjonowania krajowego systemu cyberbezpieczeństwa (KSC). W projekcie wskazano sektory gospodarki narodowej, dla których zastosowanie będą miały przepisy ustawy oraz określono, kim są dostawcy usług cyfrowych oraz operatorzy usług kluczowych z punktu widzenia cyberbezpieczeństwa.
Zarówno operatorzy usług kluczowych, jak i same usługi zostaną określone w drodze rozporządzenia Ministra Cyfryzacji. Obecnie projekt takiego rozporządzenia znajduje się w konsultacjach publicznych. Przedsiębiorstwa, które będą nosić miano operatorów usług kluczowych będą wyłaniani w drodze decyzji administracyjnych.
Jak tłumaczył jeszcze podczas posiedzenia podkomisji wiceminister cyfryzacji Karol Okoński, rząd zdecydował, że ze względu na ciągle rozwijający się sektor informatyczny, lepszym rozwiązaniem będzie wydanie rozporządzenia w tej sprawie i jego aktualizacja - w razie potrzeby - niż ciągłe nowelizowanie prawa.
Według szacunków MC zostanie wyznaczonych ok. 335 operatorów usług kluczowych
Operatorzy będą zobowiązani do wdrożenia systemu zarządzania cyberbezpieczeństwem. Będą musieli systematycznie szacować ryzyka wystąpienie incydentu, który może mieć wpływ na cyberbezpieczeństwo. Ich zadaniem będzie też zbieranie informacji o zagrożeniach cyberbezpieczeństwa oraz stosowanie środków im zapobiegających. Będą także zobowiązani do prowadzenia odpowiedniej dokumentacji, którą w drodze rozporządzenia określi Rada Ministrów.
Zadaniem operatora będzie obsługa i sklasyfikowanie występującego incydentu. W ciągu 24 godzin od momentu wykrycia incydentu operator będzie miał obowiązek zgłoszenia go do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.
CSIRT MON, NASK oraz GOV to zespoły reagowania na incydenty bezpieczeństwa komputerowego działające na poziomie krajowym. Przekazują sobie one informacje dotyczące m.in. operatorów czy incydentów. CSIRT MON prowadzony jest przez ministra obrony narodowej, CSIRT NASK prowadzi Naukowa i Akademicka Sień Komputerowa, a CSIRT GOV - szef Agencji Bezpieczeństwa Wewnętrznego.
CSIRT-y wraz z Rządowym Centrum Bezpieczeństwa będą tworzyć Zespół ds. Incydentów Krytycznych, którego zadaniem będzie obsługa incydentów, które wykraczają poza kompetencje jednego CSIRT-u.
Operatorzy usług kluczowych będą zobowiązani m.in. raz na dwa lata przeprowadzić i ponieść koszty audytu. Szacuje się, że koszt jednostkowy wykonania audytu wyniesie 50 tys. zł. Audyt po raz pierwszy będzie przeprowadzony w 2019 r., a następnie co dwa lata.
Z kolei dostawcy usług cyfrowych będą odpowiedzialni za zapewnienie bezpieczeństwa świadczonych przez nich usług. Będą musieli określić i podejmować odpowiednie środki techniczne w celu zarządzania ryzykami. Proponowane przepisy nakładają na nich także obowiązek podjęcia odpowiednich środków zapobiegających i minimalizujących wpływ zaistniałych incydentów.
Dostawcy usług cyfrowych będą powiadamiać o istotnych incydentach odpowiednie CSIRT-y, również o tych transgranicznych.
W projekcie przewiduje się, że za niedopełnienie swoich obowiązków zarówno operatorzy usług kluczowych, jak i dostawcy usług cyfrowych poniosą kary.
Projekt zakłada także, że przedsiębiorcy (m.in. operatorzy usług kluczowych) będą mogli podłączyć się do NPCnet. Ten moduł pozwoli na bezpieczną i szyfrowaną wymianę informacji o zagrożeniach, podatnościach i incydentach. Decyzja o podłączeniu i wynikające z niej koszty pozostają po stronie przedsiębiorcy.
Projektowana ustawa zwiększy zapotrzebowanie na podmioty świadczące usługi z zakresu cyberbezpieczeństwa. W ramach własnej działalności przedsiębiorcy będą mogli świadczyć takie usługi.
Proponowane przepisy określają też kompetencje poszczególnych ministrów w zakresie cyberbezpieczeństwa.
Przewiduje się też, że premier powoła pełnomocnika ds. cyberbezpieczeństwa, do zadań którego będzie należało koordynowanie i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa kraju.
Proponowane przepisy mają wejść w życie 14 dni po ogłoszeniu w Dzienniku Ustaw.