Budowanie krajowego systemu cyberbezpieczeństwa to działania podjęte przez Ministerstwo Cyfryzacji mające za zadanie wypracowanie odpowiednich mechanizmów zapewniających cyberbezpieczeństwo w Polsce. Dbałość o cyberbezpieczeństwo w organizacji nie jest już tylko praktyką poszczególnych podmiotów obecnie to także wymóg prawny.
Prezydent RP podpisał ustawę o krajowym systemie cyberbezpieczeństwa, implementującą do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, tzw. Dyrektywa NIS. Dodatkowo wdrożenie Dyrektywy NIS wymagało przyjęcia rozporządzeń Rady Ministrów: w sprawie uznania incydentu za poważny, jak i w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Zawarte w tych dokumentach uregulowania prawne umożliwiają utworzenie potrzebnego i zabezpieczającego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym, a w szczególności niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług. Powołana ustawa to realizacja zapisów Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017–2022.
System ma obejmować operatorów usług kluczowych, czyli z sektora energetycznego, transportowego, zdrowotnego i bankowości, dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły i podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedyncze punkty kontaktowe do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie tych spraw.
Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego, wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na ten temat.
Dodatkowo do krajowego systemu włączone zostaną organy administracji publicznej, przedsiębiorcy telekomunikacyjni. Wymaganiami z opisanego zakresu zostali objęci również dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Międzynarodowa działalność podmiotów i obowiązki dla dostawców usług cyfrowych są objęte zharmonizowanym na poziomie UE reżimem regulacyjnym.
Warto wiedzieć, że dostawcy usług cyfrowych również mają swoje obowiązki tj. przeprowadzania czynności umożliwiających wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów; zapewnienie w niezbędnym zakresie dostępu do informacji o incydentach zakwalifikowanych jako krytyczne; zgłaszanie incydentu istotnego niezwłocznie czy też usuwanie podatności.
W świetle opisanych niektórych obowiązków warto zdefiniować kim jest dostawca usług cyfrowych. Otóż są to osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej, mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadczące usługi cyfrowe, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe.
Omawiane przepisy dążą do zapewnienia poufności, dostępności i autentyczności informacji przetwarzanych przez operatorów, szczególnie związanych z usługami kluczowymi, gdyż one stanowią ważny zasób. Implementując dyrektywę, polski ustawodawca skupił się na kwestiach związanych z incydentami bezpieczeństwa, niemniej jednak dokument umożliwia operatorom całościowe spojrzenie na system zarządzania bezpieczeństwem informacji co jest kluczowe w organizacjach. Powyższe może umożliwić wprowadzenie działań organizacyjno-technicznych, jako konsekwencja analiz prowadzonych w opisanym zakresie co dodatkowo może przyczynić się do podniesienia poziomu bezpieczeństwa posiadanej infrastruktury teleinformatycznej. Ochrona informacji przetwarzanych w organizacji, w tym danych osobowych, jest obecnie kluczowa z uwagi na cyberataki a opisane działania mogą pozwolić zminimalizować ryzyko w tym zakresie oraz eliminować niezgodności z innymi aktami prawnymi.
