Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa

• Implementacja wytycznych dyrektywy UE NIS2
  Ustawa mają dostosować polskie prawo do dyrektywy Unii Europejskiej NIS 2, co oznacza rozszerzenie zakresu podmiotów oraz obowiązków.
• Zapewnienie wysokiego poziomu cyberbezpieczeństwa
  Ustawa ma na celu aby usługi świadczone przez podmioty kluczowe i podmioty ważne zapewniały wysoki poziom cyberbezpieczeństwa, poprzez wdrożenie systemu zarządzania bezpieczeństwem informacji.
• Skorelowany i spójny system reagowania na incydenty
  Budowa krajowego systemu informowania i reagowania (CSIRT poziomu krajowego i sektorowego). Powołanie nowych zespołów CSIRT, które będą wspierać obsługę incydentów oraz zwiększać skuteczność reagowania na cyber zagrożenia w poszczególnych sektorach.
• Nowy podział podmiotów objętych regulacją
  Określenie, kto jest podmiotem kluczowym (sektory takie jak energetyka, transport, bankowość, zdrowie, wodociągi itp.) oraz ważnym (np. podmioty publiczne, dostawcy usług cyfrowych, instytucje zajmujące się badaniami naukowymi itp.) a także określenie jakie ma on obowiązki (zarządzanie ryzykiem, audyty, reagowanie na incydenty, wyznaczenie osób odpowiedzialnych).
• Rozszerzenie katalogu sektorów gospodarczych i objęcie ich regulacją
  Ustawa wprowadza rozszerzenie katalogu sektorów w Krajowym Systemie Cyberbezpieczeństwa o nowe obszary gospodarki, takie jak np. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna oraz produkcja i dystrybucja chemikaliów i żywności, co zwiększy odporność cybernetyczną szczególnie wrażliwych sektorów.
• Rozszerzenie kompetencji dla organów właściwych do spraw cyberbezpieczeństwa poszczególnych sektorów
  Nowe przepisy rozszerzają uprawnienia organów właściwych ds. cyberbezpieczeństwa (ministrów, KNF, Prezesa UKE) do wydawania ostrzeżeń, nakazywania ocen i audytów oraz monitorowania realizacji obowiązków przez podmioty kluczowe i ważne. Minister Cyfryzacji będzie mógł wydawać m.in. polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego.
• Nowe kompetencje dla Zespołów CSIRT poziomu krajowego, w tym CSIRT NASK
  Związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.
• Wprowadzenie Połączonego Centrum Operacyjnego Cyberbezpieczeństwa
  Do ustawy zostaje włączone działające już Połączone Centrum Operacyjne Cyberbezpieczeństwa jako punkt wymiany informacji o cyberzagrożeniach, incydentach i podatnościach. Usprawnione zostanie też zgłaszanie incydentów, a informacje będą kierowane bezpośrednio do zespołów CSIRT przez system S46, co ma przyspieszyć reakcję na istotne naruszenia bezpieczeństwa.
• Kary pieniężne za brak realizacji obowiązków wynikających z UoKSC
  Będą mogły być nakładane po raz pierwszy po upływie 2 lat od dnia wejścia w życie ustawy. Pozwoli to podmiotom objętym ustawą, odpowiednio przygotować się do nowych wymagań.

Wdrożenie systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym.

• Zarządzanie ryzykiem,
• monitorowanie cyberzagrożeń i podatności,
• monitorowanie i raportowanie incydentów bezpieczeństwa,
• stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi,
• prowadzenie audytów i testów penetracyjnych.

Podmiot musi:

• wdrożyć środki techniczne i organizacyjne mające na celu ograniczenie ryzyk,
• chronić sieci, systemy i dane przed atakami (np. systemy monitoringu, kopie zapasowe, szyfrowanie, segmentacja sieci).
• dostosować poziom zabezpieczeń do charakteru świadczonych usług oraz znaczenia podmiotu dla funkcjonowania państwa lub gospodarki.

Zgłaszanie incydentów

Incydenty poważne muszą być zgłaszane do odpowiedniego CSIRT  w ściśle określonym czasie. Podmioty objęte ustawą są zobowiązane do współpracy z CSIRT-ami oraz do przekazywania informacji niezbędnych do analizy zagrożeń i obsługi incydentów w ramach krajowego systemu reagowania.

Utrzymywanie dokumentacji i dowodów

Obowiązek prowadzenia dokumentacji bezpieczeństwa, także dokumentacji potwierdzającej realizację obowiązków wynikających z ustawy oraz wdrożonych środków ochrony systemów informacyjnych.

Szkolenie pracowników

Regularne szkolenia z zakresu cyberbezpieczeństwa, zwłaszcza pracowników mających dostęp do systemów krytycznych, a także budowania świadomości w zakresie bezpieczeństwa poprzez  kampanie phishing.

Wyznaczenie osoby kontaktowej

Podmiot musi wyznaczyć osobę kontaktową do kontaktu z CSIRT-em i organem nadzoru.

Konieczność dostosowania systemów bezpieczeństwa przez podmioty, które dotychczas nie podlegały UoKSC.

Podmioty kluczowe:

• Ochrona zdrowia (szpitale),
• Energetyka (gaz, prąd, ciepło),
• Transport (kolej, lotniska, porty),
• Finanse (banki, giełdy),
• Wodociągi i odpady.
• Infrastruktura cyfrowa
• Zarządzanie usługami ICT
• Podmioty publiczne
• Zaopatrzenie w wodę pitną i jej dystrybucja

Podmioty ważne:

• Podmioty publiczne,
• Produkcja sprzętu ICT,
• Usługi cyfrowe (chmura, hosting),
• Poczta i kurierskie,
• Dostawcy usług cyfrowych,
• Badania naukowe