Komentarz zawiera szczegóow analiz przepisów ustawy 5.7.2018 r. o krajowym systemie cyberbezpieczestwa (Dz.U. z 2018 r. poz. 1560), która wesza w ycie 28.8.2018 r.

 

Celem regulacji jest zapewnienie cyberbezpieczestwa w zakresie wiadczenia usug kluczowych i usug cyfrowych. Krajowy system cyberbezpieczestwa obejmuje kilkanacie kategorii podmiotów, w szczególnoci tzw. operatorów usug kluczowych, tj. firmy dziaajce w sektorach:

 

finansowym, m.in. banki krajowe i zagraniczne oraz ich oddziay, spódzielcze kasy oszczdnociowo-kredytowe,

energetycznym, m.in. przedsibiorstwa energetyczne posiadajce koncesj na wykonywanie dziaalnoci gospodarczej w zakresie wytwarzania paliw ciekych, podmioty prowadzce dziaalno gospodarcz w zakresie przesyania ropy naftowej, wytwarzania paliw syntetycznych, przetwarzania albo magazynowania energii elektrycznej, wydobywania gazu ziemnego,

transportowym, np. przewonicy lotniczy i kolejowi, podmioty zajmujce si transportem drogowym,

ochrony zdrowia, np. podmioty lecznicze, wytwórcy produktów leczniczych, przedsibiorcy prowadzcy dziaalno w formie aptek, przedsibiorcy prowadzcy hurtownie farmaceutyczne,

zaopatrzenia w wod pitn, tj. przedsibiorstwa wodocigowo-kanalizacyjne;

dostawców usug cyfrowych;

Zespoy Reagowania na Incydenty Bezpieczestwa Komputerowego (tzw. zespoy CSIRT poziomu krajowego);

sektorowe zespoy cyberbezpieczestwa;

podmioty wiadczce usugi z zakresu cyberbezpieczestwa;

organy waciwe do spraw cyberbezpieczestwa;

Penomocnika Rzdu;

Kolegium do Spraw Cyberbezpieczestwa oraz

Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczestwa (sucy komunikacji w ramach wspópracy w Unii Europejskiej w tej dziedzinie).

Ustawa o krajowym systemie cyberbezpieczestwa zawiera równie zasady wskazywania operatorów usug kluczowych i okrela ich obowizki dotyczce wdroenia skutecznego systemu zarzdzania bezpieczestwem, obejmujcego m.in.:

 

zarzdzanie ryzykiem,

stosowanie zabezpiecze systemów informacyjnych adekwatnych do zidentyfikowanego ryzyka, procedur i mechanizmów zgaszania oraz

postpowania z incydentami, prowadzenia dokumentacji czy organizacji struktur wewntrznych.

Operator usugi kluczowej ma równie zapewni przeprowadzenie minimum raz na 2 lata audytu bezpieczestwa systemów informacyjnych, wykorzystywanych do wiadczenia usugi kluczowej oraz powoa osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczestwa.

 

W ustawie o krajowym systemie cyberbezpieczestwa ustanowiono organy waciwe ds. cyberbezpieczestwa odpowiedzialne za sprawowanie nadzoru wobec operatorów usug kluczowych w sektorach wymienionych w dyrektywie 2016/1148/UE (tzw. dyrektywie NIS).

 

Ustawa przewiduje, e minister waciwy ds. informatyzacji bdzie m.in.:

 

monitorowa wdraanie Strategii Cyberbezpieczestwa,

prowadzi wykaz operatorów usug kluczowych i polityk informacyjn dotyczc krajowego systemu cyberbezpieczestwa,

realizowa obowizki sprawozdawcze wobec instytucji unijnych.

Ustaw o krajowym systemie cyberbezpieczestwa dokonano kompleksowej regulacji zagadnie, m.in. dotyczcych:

 

podmiotów tworzcych krajowy system cyberbezpieczestwa,

identyfikacji i rejestracji operatorów usug kluczowych,

obowizków operatorów usug kluczowych w zakresie stosowania zabezpiecze systemów informacyjnych,

obowizków dostawców usug cyfrowych, w tym sformuowano m.in. wymagania, jakie musz speni dostawcy usug cyfrowych w zakresie zabezpiecze systemów informacyjnych sucych do wiadczenia usug cyfrowych,

obowizków podmiotów publicznych, gdzie zostay zdefiniowane obowizki podmiotów publicznych objtych zakresem ustawy,

zasad udostpniania informacji i przetwarzania danych osobowych, gdzie zostay wyodrbnione zasady udostpniania informacji i przetwarzania danych osobowych w krajowym systemie cyberbezpieczestwa,

nadzoru i kontroli operatorów usug kluczowych,

nakadania administracyjnych kar pieninych.

Publikacja jest skierowana do:

 

praktyków – sdziów, prokuratorów, adwokatów i radców prawnych, jak równie

specjalistów zajmujcych si na co dzie zagadnieniami z obszaru bezpieczestwa IT,

operatorów usug kluczowych wszystkich sektorów,

dostawców usug cyfrowych,

organów administracji publicznej,

specjalici compliance.