W obecnych realiach ataki cybernetyczne stają się codziennością nie tylko na świecie, ale także coraz częściej i w Polsce. Aktualnie w Polsce co najmniej do 15 marca 2022 r. obowiązuje trzeci (w skali czterostopniowej) stopień alarmowy CHARLIE – CRP w celu przeciwdziałania zagrożeniom w cyberprzestrzeni.
Dlatego też tak istotną rolę odgrywa uchwalona jeszcze w 2018 r. ustawa o krajowym systemie cyberbezpieczeństwa, będąca implementacją unijnej dyrektywy NIS. Obecnie Rada Ministrów pracuje nad jej nowelizacją, której celem jest wzmocnienie i dalszy rozwój krajowego systemu cyberbezpieczeństwa.
Wspomniany projekt, mimo swojego państwowego charakteru, przyniesie także istotne zmiany w funkcjonowaniu podmiotów niepaństwowych. Jedna z najistotniejszych proponowanych zmian polega na rozszerzeniu kręgu podmiotów, do których ustawa będzie miała zastosowanie, o przedsiębiorców komunikacyjnych, którzy nie podlegali dotychczas tej ustawie.
Zmiany dotkną także operatorów usług kluczowych (OUK), do których zalicza się m.in. podmioty prowadzące działalność gospodarczą w zakresie dostaw systemów, maszyn, urządzeń, materiałów, surowców oraz świadczenia usług na rzecz sektora energii, banki krajowe oraz oddziały banków zagranicznych czy podmioty lecznicze.
Na rzecz operatorów usług kluczowych działać będą zespoły pełniące funkcję operacyjnego centrum bezpieczeństwa – tzw. SOC (Security Operations Center), które będą realizować wskazane zadania OUK w zakresie bezpieczeństwa systemów informatycznych (w tym dot. wdrożenia systemu do zarządzania bezpieczeństwem, opracowanie i stosowanie dokumentacji dot. cyberbezpieczeństwa itp.). Co ważne SOC będzie mógł zostać powołany w ramach struktur wewnętrznych OUK albo taką funkcję będzie mógł pełnić podmiot zewnętrzny na podstawie umowy z OUK.
W oparciu o znowelizowane przepisy możliwym ma być także przeprowadzenie postępowania w sprawie uznania za dostawcę wysokiego ryzyka, co stanowi jedną z najbardziej kontrowersyjnych zmian. Takie powstępowanie może zakończyć się bowiem wydaniem decyzji administracyjnej uznającej dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka (jeżeli dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi). W konsekwencji niektóre podmioty (szczególnie narażone na cyberataki – zwłaszcza podmioty objęte krajowym systemem cyberbezpieczeństwa) nie będą mogły korzystać z produktów, usług lub procesów objętych taką decyzją.
Ponadto, minister do spraw informatyzacji ma zostać upoważniony do wydania polecenia zabezpieczającego w przypadku wystąpienia incydentu krytycznego, które ma mieć formę decyzji administracyjnej i będzie mogło zawierać szereg nakazów i zakazów skierowanych do jego adresata określonego rodzajowo, w tym np. zakaz korzystania z określonego sprzętu/oprogramowania czy wersji oprogramowania.
Zmiana ustawy o cyberbezpieczeństwie może okazać się istotna dla wielu podmiotów, które będą zmuszone wdrożyć nowe rozwiązania do swoich przedsiębiorstw.
W pierwszej kolejności należy jednak ustalić status swojego przedsiębiorstwa w świetle ww. ustawy, aby potwierdzić, czy spółka objęta jest krajowym system cyberbezpieczeństwa, a co za tym idzie licznymi obowiązkami z tym związanymi.
Już teraz sygnalizujemy, że poza projektowaną nowelizacją, istotne zmiany w tym zakresie przynieść może w przyszłości także planowana dyrektywa NIS 2.
W przypadku pytań dotyczących wdrażania obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa oraz przeprowadzania audytu zgodności stosowania odpowiednich regulacji krajowych i unijnych z zakresu cyberbezpieczeństwa serdecznie zachęcamy do kontaktu!