Komentarz stanowi ksikowe opracowanie przepisów ustawy z 5.7.2018 r. o krajowym systemie cyberbezpieczestwa, okrelanej popularnie jako „cyberustawa". Ustawa implementuje dyrektyw w sprawie rodków na rzecz wysokiego wspólnego poziomu bezpieczestwa sieci i systemów informatycznych na terytorium Unii (Dyrektywa NIS). Po raz pierwszy tworzy w Polsce caociowy prewencyjny system cyberbezpieczestwa, obejmujcy operatorów usug kluczowych, dostawców usug cyfrowych, podmioty publiczne, podmioty wiadczce usugi z zakresu cyberbezpieczestwa oraz administracj rzdow waciw ds. cyberbezpieczestwa.

 

Ksika stanowi niezbdn lektur i narzdzie pracy dla wszystkich osób, którym przychodzi stosowa ustaw o krajowym systemie cyberbezpieczestwa. Komentarz rozwieje wiele wtpliwoci interpretacyjnych, wystpujcych w praktyce stosowania ustawy. Istotnym atutem komentarza jest udzia w zespole autorskim ekspertów IT, którzy w komentarzu dziel si wiedz techniczn i udzielaj praktycznych wskazówek w zakresie technologii sucych cyberbezpieczestwu.

 

Najwaniejsze atuty komentarza:

 

wskazuje gównych adresatów nowych regulacji z zakresu cyberbezpieczestwa, opisujc kryteria uznania za operatorów usug kluczowych lub dostawców usug cyfrowych;

precyzyjnie prezentuje obowizki z zakresu cyberbezpieczestwa, spoczywajce na operatorach usug kluczowych, dostawcach usug cyfrowych i podmiotach publicznych; moe suy jako przewodnik w implementacji wymogów ustawy;

zawiera praktyczn wiedz w postaci wskazówek dotyczcych zastosowania technologii sucych cyberbezpieczestwu, przygotowanych przez ekspertów IT;

prezentuje interdyscyplinarne podejcie do tematu – wród autorów s prawnicy bdcy (legislatorzy i praktycy) oraz specjalici zajmujce si technicznymi aspektami cyberbezpieczestwa;

przedstawia dobre praktyki w zakresie cyberbezpieczestwa, wynikajce z norm europejskich oraz wytycznych Europejskiej Agencji do spraw Bezpieczestwa Sieci i Informacji (ENISA);

podejmuje kompleksow analiz prawn ustawy wraz z rozporzdzeniami wykonawczymi do ustawy;

przedstawia interpretacje i wzajemne powizania regulacji ustawy, uatwiajc ich praktyczne stosowanie;

wyjania zalenoci pomidzy obowizkami i podmiotami wspierajcymi ich realizacj;

zwile wskazuje na zwizki pomidzy zapisami ustawowymi a rozwizaniami technologicznymi i organizacyjnymi.

W ksice odpowiadamy na pytania, które mog sprawia najwicej problemów w procesie stosowania przepisów ustawy o krajowym systemie cyberbezpieczestwa, np.:

 

Czy zakres ustawy jest tosamy z zakresem dyrektywy NIS?

Jaka jest geneza i znaczenie kluczowych poj z cyberustawy, takich jak cyberbezpieczestwo, obsuga incydentu i zarzdzanie incydentem, usuga kluczowa i usuga cyfrowa?

Jaka jest struktura krajowego systemu cyberbezpieczestwa?

Kiedy przedsibiorca moe zosta uznany za operatora usugi kluczowej?

Co oznacza „natychmiastowa wykonalno" decyzji o uznaniu podmiotu za operatora usugi kluczowej?

W jaki sposób podwaa decyzj o uznaniu za operatora usugi kluczowej?

Jakie cechy posiada system zarzdzania bezpieczestwem w systemie informacyjnym wdraany przez operatorów usug kluczowych?

Jak przebiega proces szacowania ryzyka wystpienia incydentu i zarzdzania ryzykiem, stanowicy element wymaganego przez ustaw systemu zarzdzania bezpieczestwem w systemie informacyjnym wykorzystywanym do wiadczenia usugi kluczowej?

Co naley rozumie przez wymóg „adekwatnoci" i „najnowszego stanu wiedzy", który powinien by realizowany przy wdraaniu rodków technicznych i organizacyjnych przez operatorów usug kluczowych i dostawców usug cyfrowych ?

Jak wyglda bezpieczny rozwój oprogramowania i jak zabezpieczy si przed nieuprawnion modyfikacj w systemie informacyjnym?

W jaki sposób prowadzi dokumentacj dotyczc cyberbezpieczestwa?

Czy dopuszczalne jest dokonanie outsourcingu zada zwizanych z cyberbezpieczestwem? Jakie warunki naley speni?

Jak wygldaj procedury obsugi i zgaszania incydentu u operatorów usug kluczowych, dostawców usug cyfrowych i w podmiotach publicznych?

Jaki jest zakres ochrony tajemnic prawnie chronionych w ustawie o krajowym systemie cyberbezpieczestwa?

Czym s „podatnoci" i jakie s narzdzia suce do badania podatnoci?

Czym róni si status dostawców usug cyfrowych od operatorów usug kluczowych?

Jakie s kontrowersje wokó sposobu klasyfikowania incydentów przez dostawców usug cyfrowych?

Jaka jest rola i obszary dziaalnoci poszczególnych trzech zespoów CSIRT i zespoów sektorowych?

Czy i kiedy zespó CSIRT moe wzi udzia w obsudze incydentu?

Jakie s róda informacji o cyberbezpieczestwie, wykorzystywane przez zespoy CSIRT?

Jaki jest charakter prawny rekomendacji dotyczcych stosowania sprztu i oprogramowania, wydawanych przez Penomocnika Rzdu do Spraw Cyberbezpieczestwa?

Jak wyglda wymiana informacji na temat incydentów krytycznych?

Czy informacje dotyczce incydentów mog by publicznie dostpne?

Jakie s zadania organów waciwych do spraw cyberbezpieczestwa?

Jakie s formy wspópracy ministra do spraw informatyzacji z Grup Wspópracy?

Jakie s zaoenia dla dziaania systemu teleinformatycznego wspierajcego wspóprac w ramach krajowego systemu cyberbezpieczestwa?

Jakie zadania spoczywaj na Krajowym Punkcie kontaktowym?

Jak wyglda przeprowadzenie czynnoci kontrolnych zgodnie z cyberustaw? Jakie znaczenie ma zastosowanie do czynnoci kontroli przepisów ustawy z dnia 6 marca 2018 r.- Prawo przedsibiorców albo ustawy z dnia 15 lipca 2011 r. o kontroli w administracji rzdowej?

Jaka jest rola i zadania Penomocnika Rzdu do spraw Cyberbezpieczestwa oraz Kolegium do Spraw cyberbezpieczestwa?

Jaki charakter prawny ma strategia Cyberbezpieczestwa RP i w jaki sposób jest ona tworzona i realizowana?

Z jakimi konsekwencjami wie si naruszenie przepisów ustawy o krajowym systemie cyberbezpieczestwa?

Jaka jest rola systemu wczesnego ostrzegania o zagroeniach wystpujcych w sieci Internet? Czym jest system ARAKIS-GOV?