Menu

Region US

Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

  • en
  • pl
  • Projekt nowelizacji ustawy o KSC. Co nas czeka?

    Projekt nowelizacji ustawy o KSC. Co nas czeka?

    Date: 23.05.2024



    Zagrożenia w sieci rozwijają się w równie zawrotnym tempie co pozostałe technologie. Teraz, w obliczu niestabilnej sytuacji geopolitycznej – prawdopodobnie jeszcze szybciej. Nadążyć za nimi muszą zmiany legislacyjne, które pozwolą ustanowić minimalny poziom ochrony i chociaż w podstawowym zakresie zadbać o bezpieczeństwo strategiczne, dobro odbiorców i ciągłość usług. Wraz z europejską dyrektywą NIS2 powstał projekt nowelizacji ustawy o KSC (Ustawy o Krajowym Systemie Cyberbezpieczeństwa). Co nas czeka?

    24 kwietnia Ministerstwo Cyfryzacji przedstawiło projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Złożenie projektu to dopiero pierwszy krok. Aby nowelizacja weszła w życie, musi przejść pełną drogę legislacyjną:

    1. Sejm musi rozpatrzyć projekt w trzech czytaniach (uzasadnienie projektu, debata nad projektem i zgłaszanie poprawek, głosowanie nad przyjęciem lub odrzuceniem projektu).
    2. Senat musi przyjąć zaakceptowany projekt nowelizacji.
    3. Prezydent musi podpisać zatwierdzony przez Senat projekt.
    4. Musi upłynąć vacatio legis, jeśli ustawa takie zakłada.

    Nowe zagrożenia i tło dla projektu nowelizacji ustawy o KSC

    Obowiązująca obecnie, wprowadzona w 2018 roku ustawa to przede wszystkim szeroka strategia dla polskiego cyberbezpieczeństwa, zakres zadań i obowiązków podmiotów określonych w dokumencie jako kluczowe i sposób sprawowania nad nimi kontroli. Chociaż w perspektywie technologii 6 lat to przepaść, to ramowe zapisy pozwoliły na jej skuteczne funkcjonowanie przez długi czas. Do najważniejszych zapisów należało utworzenie CSRIT, czyli zespołów reagujących na incydenty na poziomie krajowym. Zobowiązywała wszystkie objęte ustawą podmioty do wprowadzenia i przestrzegania procedur bezpieczeństwa oraz zawierała opis systemu ostrzegania czy szczegółowe instrukcje na wypadek incydentów. Na tej podstawie dokonywano oceny i przyznawano certyfikaty.

    Najpierw pandemia, następnie wojna w Ukrainie, coraz bardziej skomplikowane stosunki między państwami oraz upowszechnianie się AI sprawiły jednak, że skończył się jej termin przydatności.

    W obliczu nowych zagrożeń i w związku z wejściem w życie dyrektywy NIS2, Polska jest zobowiązana dostosować Ustawę o KSC do nowych, bardziej wyśrubowanych wymogów.

    Nowe podmioty objęte ustawą o Krajowym Systemie Cyberbezpieczeństwa

    Projekt nowelizacji ustawy o KSC opiera się w dużej części o nową dyrektywę unijną NIS2, która wprowadza istotne zmiany w podejściu do bezpieczeństwa informatycznego państwa.

    Najważniejsza z perspektywy krajowej zmiana dotyczy znacznego rozszerzenia podmiotów objętych ustawą. Do tej pory obejmowała jedynie dostawców usług zaufania, podmioty lecznicze oraz dostawców usług telekomunikacyjnych.

    Teraz wejdą w nią również firmy i instytucje zatrudniające powyżej 50 osób, prowadzące działalność związaną z:

    • Produkcją, w tym szczególnie podmioty związane z produkcją, przetwarzaniem i dystrybucją żywności oraz chemikaliów,
    • Zarządzaniem usługami IT,
    • Usługami pocztowymi,
    • Badaniami naukowymi,
    • Gospodarowaniem odpadami i ściekami,
    • Współpracują lub zajmujące się bezpośrednio działalnością związaną z przestrzenią kosmiczną.

    Ponieważ na tę chwilę niemożliwe jest przeprowadzenie spisu wszystkich takich podmiotów, powstanie system samoidentyfikacji, a firmy z wymienionych sektorów będą miały obowiązek się w nim zarejestrować.

    Nowe, szybsze reakcje na incydenty

    Konieczność niezwłocznego zgłaszania incydentów to jedna z najbardziej zaostrzonych zmian w ustawie. Szczegółowo reguluje czas, w jakim podmioty powinny zgłosić ich wystąpienie do odpowiedniego CSRIT. Dla podmiotów kluczowych będzie to doba, jednak przedsiębiorcy z sektora telekomunikacji będą mieli na to jedynie 12 godzin od momentu wykrycia zdarzenia. Do zgłaszania incydentów muszą wdrożyć i zastosować system S46.

    Pojawi się również lista dostawców, których urządzenia lub oprogramowanie posiadają luki umożliwiające penetrację zabezpieczeń lub nie mają odpowiednich certyfikacji. Objęte ustawą podmioty będą miały 7 lat na wycofanie ich z użytku i zastąpienie innymi. 

    To nie jedyna zmiana dotycząca dostawców. Konieczne będzie wprowadzenie ich dywersyfikacji w taki sposób, by możliwe było ciągłe prowadzenie działalności. Zarówno pod względem geograficznym, jak i ilościowym.

    Na sam koniec ustawa rozszerzy kompetencje Ministra Cyfryzacji, który będzie mógł podejmować decyzje generalne dotyczące danego sektora i wskazujące na konieczność podjęcia konkretnych działań w celu poprawy bezpieczeństwa.

    Nowe wytyczne odnośnie audytów bezpieczeństwa

    Wiele dużych i średnich prywatnych oraz publicznych jednostek będzie zobowiązanych do wdrożenia nowych wytycznych, dostosowania swojej infrastruktury i przeprowadzaniem co dwa lata regularnych audytów bezpieczeństwa

    Oznacza to przede wszystkim duże koszty infrastruktury, ale generuje też problemy kompetencyjne. Wiele firm nie posiada w swoich szeregach osób o odpowiednich umiejętnościach, by powierzyć im to zadanie. Konieczne będzie utworzenie dodatkowych etatów lub zdanie się na wsparcie zewnętrzne.

    […]choć niektórzy zdają sobie to lekceważyć, cyberbezpieczeństwo jest absolutnym priorytetem dla funkcjonowania państwa. Dziś cyberzagrożenia coraz częściej dotyczą np. infrastruktury krytycznej – w swoim liście wspomina Michał Kanownik, Prezes Zarządu Związku Polska Cyfrowa.

    Jako specjaliści w obszarze usług sieciowych podzielamy to zdanie i rozumiemy, że choć zmiany oznaczają ogromne wyzwanie, są one konieczne, by zapewnić bezpieczeństwo strategiczne państwa, obywateli, ale też dla codziennego komfortu i dostępu do podstawowych usług. To nasz wspólny cel, który wymaga kolektywnego zaangażowania.

    Audyt bezpieczeństwa it przykład

    Bezpieczeństwo dla sektora publicznego i prywatnego

    Do projektowania i wdrażania infrastruktury sieciowej nalezy podejść holistycznie i wziąć pod uwagę nie tylko jej wydajność, niezawodność, zgodność z potrzebami, ale przede wszystkim – bezpieczeństwo. Możemy spojrzeć na zagrożenia badając zarówno podatność urządzeń, przygotowane procedury, ale też analizując najsłabsze ogniwo całego systemu – jego użytkowników.

    Liczne partnerstwa pomagają nam dobrać taki sprzęt, który nie tylko dobrze spełni swoją rolę, ale również będzie optymalny cenowo.

    Jeśli chcesz dowiedzieć się więcej o audycie bezpieczeństwa lub infrastrukturze dla swojej firmy – skontaktuj się z naszymi konsultantami.

    Autor

    Joanna Sajkowska

    Z wykształcenia inżynier telekomunikacji. Od ponad 10 lat pracuje po biznesowej stronie mocy, zawsze w organizacjach technicznych (związanych z telekomunikacją lub wytwarzaniem oprogramowania). Skupia się na tłumaczeniu technologii i rozpoznawaniu wartości tam, gdzie inni widzą specyfikację. W Grandmetric kieruje marketingiem i komunikacją marki, w tym kampaniami edukacyjnymi z zakresu cyberbezpieczeństwa.

    Komentarze są niedostępne
    Grandmetric: Network & Security