Rząd przyjął 21-go października br. projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Teraz przepisami o szczególnym znaczeniu dla państwa zajmie się parlament. Wicepremier i minister cyfryzacji Krzysztof GAWKOWSKI jest zdeterminowany, aby proces ten zakończył się jeszcze w tym roku.
Prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC) trwają od 6 lat. Są przepisy niezwykle ważne z perspektywy całej branży, implementujące do polskiego porządku prawnego unijną dyrektywę NIS2 (Network and Information Security 2). Projekt przewiduje m.in. utworzenie CSIRT-ów sektorowych czy rozszerzenie katalogu podmiotów zaliczanych do KSC.
Czas na implementację NIS2 minął 17 października 2024 roku. Pomimo upływających miesięcy, nowelizacja nie została przyjęta. Na przestrzeni ostatnich lat pojawiały się natomiast kolejne projekty i propozycje zmian przepisów. Jednym z argumentów jest hasło, że „to skomplikowana materia” (zwłaszcza w odniesieniu do dostawcy wysokiego ryzyka) i w związku z tym należy starannie przygotować przepisy. Nie brakuje też głosów zrzucających odpowiedzialność na procesy unijne.
Krajowy system cyberbezpieczeństwa to jeden z głównych elementów budowania odporności państwa. Premier Donald TUSK w trakcie jawnej części posiedzenia stwierdził wprost: „dzisiaj cyberbezpieczeństwo jest kluczowe z perspektywy bezpieczeństwa wewnętrznego i zewnętrznego”.
Jak zaznaczył, musi istnieć pełna kontrola sprzętu, na którym pracują instytucje państwowe. Zwrócił uwagę na konieczność systematycznej wymiany sprzętu tam, gdzie występuje ryzyko ze względu na m.in. kraj pochodzenia czy brak wsparcia.
Teraz czas na parlament. Krzysztof GAWKOWSKI nie ukrywa, że liczy, iż do końca roku zarówno Sejm, jak i Senat uchwalą nowe przepisy. Na końcu drogi jest jeszcze prezydent.
„Będę namawiał Pana Prezydenta, żeby podpisał tę ustawę, bo to ważne z perspektywy państwa, aby wzmacniać cyberodporność” – podkreślił Krzysztof GAWKOWSKI.
NIS2 (Network and Information Security 2)
to unijny akt prawny z 2022 roku, którego celem jest podniesienie poziomu cyberbezpieczeństwa w państwach członkowskich UE, zwłaszcza w kluczowych i ważnych sektorach gospodarki, takich jak energia, transport, zdrowie i bankowość. Wprowadza ona wspólne, zharmonizowane wymogi dotyczące zarządzania ryzykiem, zgłaszania incydentów oraz stosowania środków technicznych, operacyjnych i organizacyjnych w celu ochrony sieci i systemów informatycznych przed cyberatakami.
CSIRT
to skrót od Computer Security Incident Response Team (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego). Jest to zespół specjalistów, którego głównym zadaniem jest reagowanie na incydenty związane z cyberbezpieczeństwem, takich jak ataki hakerskie, złośliwe oprogramowanie czy naruszenia danych. CSIRT-y monitorują systemy, koordynują działania naprawcze i prewencyjne, a także służą jako centrum kontaktowe dla podmiotów zgłaszających incydenty.
