Najistotniejszą zmianą w stosunku do wcześniejszego (szóstego) projektu nowelizacji z dnia 12 października 2021 r. Zmiana ta stanowi istotne rozszerzenie zakresu podmiotów, do których należy stosować przepisy ustawy o krajowym systemie cyberbezpieczeństwa – zgodnie bowiem z projektem nowelizacji z dnia 12 października 2021 r. Krajowym systemem cyberbezpieczeństwa mieli być objęci wyłącznie przedsiębiorcy telekomunikacyjni. Ocena taka polegać ma na przeprowadzeniu testów bezpieczeństwa systemu informacyjnego w celu identyfikacji jego podatności.
- Nawet mali przedsiębiorcy będą musieli spełniać wymogi bezpieczeństwa i zgłaszania incydentów.
- Minister do spraw Unii Europejskiej w ramach uzgodnień międzyresortowych projektu nowelizacji UKSC[10].
- Określone podmioty mogłyby zatem nie mieć nawet świadomości, że zostały zobowiązane do danego zachowania w drodze decyzji administracyjnej, ponieważ nie zostałyby o tym bezpośrednio poinformowane.
W ustawie zaznaczono również, że ze środków dotacji nie może być dofinansowana działalność gospodarcza operatora strategicznej sieci bezpieczeństwa. Poza opisanymi powyżej zagadnieniami projekt nowelizacji przewiduje również inne zmiany – dokonano m.in. Ważne jest również to, że mimo bardzo silnego sprzeciwu i wielu uwag zgłaszanych przez przedsiębiorców na wcześniejszym etapie prac nad nowelizacją UKSC, w najnowszym, marcowym projekcie nowelizacji UKSC, utrzymane zostały kompetencje ministra właściwego ds. Informatyzacji w zakresie uznania dostawcy za dostawcę wysokiego ryzyka oraz wydawania poleceń zabezpieczających w przypadku wystąpienia incydentu krytycznego (więcej pisaliśmy o nich na naszym blogu), choć w obecnej wersji nowelizacji zaproponowano pewne nieznaczne zmiany. 2 zespoły CSIRT GOV, CSIRT MON i CSIRT NASK będą mogły udzielić wsparcia w obsłudze incydentów i incydentów telekomunikacyjnych wszystkim podmiotom krajowego systemu cyberbezpieczeństwa oraz operatorom infrastruktury krytycznej. Cyberbezpieczeństwa, który będzie mógł zlecić zapewnienie wsparcia CSIRT NASK (za zgodą ministra właściwego ds. informatyzacji), CSIRT GOV (za zgodą szefa ABW) i CSIRT MON (za zgodą ministra).
Raport Fortinet: brakuje specjalistów w obszarze cyberbezpieczeństwa
Nie jest przy tym jasne, jakie „systemy informacyjne” mają być przedmiotem audytu ze strony CSIRT – definicja „systemu informacyjnego” z projektu nowelizacji ustawy odwołuje się bowiem do definicji „systemu teleinformatycznego” z Ustawy z dnia 17 lutego 2005 r. O informatyzacji działalności podmiotów realizujących zadania publiczne[4], która ma bardzo szeroki zakres i może obejmować szereg różnych systemów informatycznych, w tym komercyjne systemy do obsługi przedsiębiorstw typu ERP czy CRM. Co jednak niezwykle istotne, poddanie się ocenie bezpieczeństwa systemów informacyjnych ma być w pełni dobrowolne – może się bowiem odbyć jedynie za zgodą podmiotu krajowego systemu cyberbezpieczeństwa. Po pierwsze przedsiębiorcy komunikacji elektronicznej staną się częścią krajowego systemu cyberbezpieczeństwa.
- System jest stale usprawniany, ale eksperci apelują o kolejne zmiany i jak najszersze włączenie w cały proces szczepień farmaceutów, pielęgniarki i położne.
- Aby otrzymać dostęp do nagrania z webinaru o nowelizacji ustawy o KSC, wypełnij poniższy formularz kontaktowy.
- Minister właściwy do spraw informatyzacji uruchomi system teleinformatyczny, o którym mowa w art. 46 ust.
- Oba dokumenty są na tyle niespójne, że niektóre podmioty będą częścią krajowego systemu bezpieczeństwa w rozumieniu NIS 2, ale już nie nowelizacji KSC.
- Zagrożenia cyberbezpieczeństwa, mogące doprowadzić do sytuacji kryzysowej, po raz pierwszy zostaną ujęte w Raporcie o zagrożeniach bezpieczeństwa narodowego, który zostanie sporządzony z udziałem Pełnomocnika, po wejściu w życie ustawy.
Bezpiecznymi pomieszczeniami – wynika z decyzji ministra cyfryzacji, o której resort poinformował we wtorek. Ministerstwo podkreśla, że nie oznacza to obniżenia wymagań bezpieczeństwa. Chodzi o produkty ICT, rodzaje usług ICT lub konkretne procesy ICT pochodzące od dostawcy wysokiego ryzyka, które będą musiały zostać wycofane, co ma pomóc w „zapewnieniu ochrony ważnego interesu państwowego w postaci bezpieczeństwa państwa”. Zagwarantować uruchomienie bezpiecznej sieci telekomunikacyjnej wykorzystywanej na potrzeby realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego przez kluczowe urzędy i podmioty działające w kraju. Prawnicy zwracają uwagę, że ustawa o KSC może ingerować w tę zasadę.
Zakaz korzystania z określonego sprzętu/oprogramowania czy wersji oprogramowania. Zmiany dotkną także operatorów usług kluczowych (OUK), do których zalicza się m.in. Podmioty prowadzące działalność gospodarczą competitive, consistent institutional trading w zakresie dostaw systemów, maszyn, urządzeń, materiałów, surowców oraz świadczenia usług na rzecz sektora energii, banki krajowe oraz oddziały banków zagranicznych czy podmioty lecznicze.
„działania niezbędne do ochrony systemów informacyjnych, użytkowników takich systemów oraz innych podmiotów przed cyberzagrożeniami”. Wskazano także na realne skutki wprowadzenia nowelizacji dla rynku cyberbezpieczeństwa w Polsce po wejściu ustawy w życie (ustawa wejdzie w życie po upływie 30 dni od ogłoszenia.). Rada Ministrów przyjęła rozporządzenie w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych.
Kim jest Dostawca Usług Cyfrowych?
Uregulowano między innymi obowiązki przedsiębiorcy komunikacji elektronicznej po wykryciu incydentu telekomunikacyjnego, który musi zapewnić dostęp do rejestrowanych incydentów zespołom CSIRT poziomu krajowego i CSIRT Telco. Bezpieczeństwa koncentrowały się wyłącznie na systemach informatycznych swojej firmy. Bezpieczeństwo stało się priorytetem biznesowym, realizowanym w modelu współodpowiedzialności organizacji i dostawców usług. CISO muszą określić, które umiejętności należy zachować w firmie, a które zadania można zlecić zewnętrznym podwykonawcom.
Wprowadzono także możliwość zaskarżenia decyzji o uznaniu podmiotu za dostawcę wysokiego ryzyka. Usunięto również zapis, który uniemożliwiał wstrzymanie przez sąd administracyjny natychmiastowej wykonalności decyzji o uznaniu za dostawcę wysokiego ryzyka po wniesieniu przez podmiot skargi. Kolejną zmianą w stosunku do poprzednich projektów nowelizacji jest doprecyzowanie uprawnień prezesa UKE w zakresie analizy cen usług telekomunikacyjnych oferowanych przez OSSB. Dano mu również możliwość wydania decyzji zastępującej albo zmieniającej umowę z Operatorem.
Już tylko z tego powodu przedsiębiorcy będą musieli ponieść koszty podwójnego wdrożenia. Najpierw dostosować się do przepisów KSC, a następnie – po wdrożeniu NIS 2 – powtórzyć prace. KSC odnosi się do ograniczonego grona podmiotów z sektora energetycznego, transportowego, bankowego, finansowego i zdrowotnego. NIS 2 znacząco rozszerzy to grono i obejmie tysiące nowych podmiotów. Oba dokumenty są na tyle niespójne, że niektóre podmioty będą częścią krajowego systemu bezpieczeństwa w rozumieniu NIS 2, ale już nie nowelizacji KSC.
Nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa – jakie wprowadza zmiany?
Kompleksowe wsparcie w zakresie bezpieczeństwa informacji, systemów informatycznych oraz instalacji przemysłowych. Prawdopodobnie każda organizacja w pewnym momencie ucierpi z powodu incydentu, bardziej lub mniej szkodliwego. Istnieje duże prawdopodobieństwo, że takich incydentów będzie coraz więcej. W wyścigu o innowacje i wykorzystanie nowych technologii, obawy dotyczące bezpieczeństwa i ochrony danych, prywatności i zagadnień etycznego ich wykorzystania, choć przyciągają coraz większą uwagę, gdy przychodzi do działań, są często ignorowane lub zapominane.
Pacta sunt servanda to jedna z fundamentalnych zasad prawa cywilnego, wywodząca się z czasów prawa rzymskiego. Reguła ta oznacza, że umów należy dotrzymywać – umowa, która została prawidłowo zawarta, nie może być rozwiązana na podstawie arbitralnych decyzji jednej ze stron. Poszukiwanie mieszkania na wynajem to z perspektywy najemcy żmudny proces. Sytuacja wynajmującego, który oferuje swoją nieruchomość, nie jest jednak łatwiejsza. Choć obie strony mają inne zadania, to jeden wspólny cel – najem mieszkania i bezproblemowa współpraca. W wyborach w najbliższą niedzielę 15 października chęć głosowania na PiS deklaruje 39 proc.
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa w Sejmie. Jakie zmiany nas czekają?
Netia jako dostawca zaawansowanych rozwiązań cyberbezpieczeństwa chce pomóc przedsiębiorcom w dostosowaniu się do nowych przepisów, zwłaszcza że ten proces może zająć nawet 18 miesięcy. Opublikowaliśmy nową wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Projekt został skierowany do Komitetu Rady Ministrów do spraw Bezpieczeństwa Narodowego i spraw Obronnych (KRMBNSO). Organ właściwy do spraw cyberbezpieczeństwa może nałożyć karę pieniężną na kierownika operatora usługi kluczowej w przypadku, gdy nie dochował należytej staranności celem spełnienia obowiązków, o których mowa w art. 8 pkt 1, art. 9 ust. 1, z tym że kara ta może być wymierzona w kwocie nie większej niż 200% jego miesięcznego wynagrodzenia.
Ponieważ Dyrektywa NIS jest harmonizacją minimalną, polski ustawodawca włączył w zakres ustawy również administrację publiczną oraz sektor telekomunikacyjny. Poprzednie projekty ustawy o zmianie ustawy o KSC wprowadzały pojęcie dostawcy wysokiego ryzyka. W obecnie procedowanym projekcie doprecyzowano niektóre przepisy związane z działaniem tych podmiotów. Przede wszystkim będą one mogły korzystać z produktów wskazanych w decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka, nawet jeśli zakupiły je przed wydaniem tej decyzji. W porównaniu do poprzedniego projektu nowelizacji zniesiono obowiązek informowania przez przedsiębiorcę komunikacji elektronicznej użytkowników o samym zagrożeniu.
Dają też organowi większą władzę niż przewiduje DORA – dyrektywa dotycząca wspólnego poziomu cyberbezpieczeństwa w UE. Obecne zapisy projektu pozwalają uznać za dostawcę wysokiego ryzyka praktycznie każdy podmiot spoza stock.com forex broker-przegląd i informacje stock.com UE. Ocena nie dotyczy konkretnych usług czy systemów IT, ale całych ich kategorii. Przyjęcie obecnie obowiązującego tekstu UKSC[1] stanowiło skutek realizacji obowiązku implementacji unijnej dyrektywy NIS[2].
Informatyzacji, ma być oparte o „transparentne procedury określone w Kodeksie postępowania administracyjnego”, a każdorazowo o opinię ma pytać Kolegium Cyberbezpieczeństwa, które ma brać pod uwagę aspekty techniczne, ale i takie, które „mają wpływ na bezpieczeństwo narodowe”. Postępowanie będzie kończyło się decyzją administracyjną, która będzie podlegała zaskarżeniu do sądu administracyjnego. Podobnie jak w poprzednich propozycjach nowelizacji ustawy o KSC, również w tym z października br. Zakłada się utworzenie strategicznej co to jest cytat na rynku forex sieci bezpieczeństwa w celu zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie telekomunikacji. Dodano jednak uprawnienie Prezesa Rady Ministrów do wydania rozporządzenia, w którym określone zostaną minimalne wymagania techniczne jakie musi spełniać SSB oraz minimalny poziom bezpieczeństwa usług transmisji danych, połączeń głosowych oraz wiadomości tekstowych. „NIS 2 wprost wskazuje, że środki zarządzania ryzykiem powinny być proporcjonalne.
Ich zdaniem, w praktyce może stanowić znaczące utrudnienie w powoływaniu i organizowaniu SOC przez operatorów usług kluczowych. Wątpliwości budzi również obowiązek posiadania przez cały personel SOC poświadczenia do klauzuli „poufne” w sytuacji, gdy realizowane wewnętrznie zadania nie wiążą się z obsługą dokumentów, którym nadano taką klauzulę. Natomiast dotychczasowemu brzmieniu definicji cyberbezpieczeństwa odpowiada w projekcie definicja bezpieczeństwa systemów informacyjnych. Co jest jednak istotne, definicja ta w obecnym brzmieniu nowelizacji UKSC nie jest w pełni dostosowana do pojęć, które zostały wprowadzone w innych aktach unijnych, tj.
Wykorzystanie tego potencjału wymaga jednak zbiorowego zaangażowania wszystkich interesariuszy. Należy stosować aktualne oprogramowania antywirusowe oraz dokonywać regularnych aktualizacji systemu[12]. Właściciel strony, który chce ochronić swoich klientów przed atakami tego typu, powinien dbać o certyfikaty bezpieczeństwa i szyfrowanie transmisji danych[12].
