Ustawa o cyberbezpieczeństwie w Polsce (z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa) wprowadza szereg regulacji, mających na celu zwiększenie poziomu cyberbezpieczeństwa w kraju.
Ustawa nakłada na różne podmioty – w tym na dostawców usług kluczowych oraz dostawców usług cyfrowych – obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa dla systemów informatycznych, które wykorzystują.
Zabezpieczenie infrastruktury krytycznej
Jednym z głównych celów ustawy o cyberbezpieczeństwie jest zabezpieczenie infrastruktury krytycznej, takiej jak sieci energetyczne, systemy telekomunikacyjne czy systemy zaopatrzenia w wodę.
Ustawa wprowadza obowiązek dla operatorów infrastruktury krytycznej, aby stosowali odpowiednie środki ochrony, zarówno fizyczne, jak i techniczne, w celu zminimalizowania ryzyka wystąpienia incydentów w cyberprzestrzeni. Przykładem takiej inicjatywy może być opracowanie przez Polskie Sieci Elektroenergetyczne S.A. planu ochrony infrastruktury krytycznej, zgodnie z wymogami ustawy o cyberbezpieczeństwie.
Wymogi bezpieczeństwa IT
Ustawa o cyberbezpieczeństwie wprowadza wymogi dotyczące zarządzania ryzykiem i minimalizacji zagrożeń w obszarze bezpieczeństwa IT. Podmioty zobowiązane do stosowania ustawy muszą przeprowadzać regularne audyty bezpieczeństwa oraz stosować systemy zarządzania ryzykiem.
Sprawdź: Jak złamać hasło do WiFi
Ponadto ustawodawstwo przewiduje konieczność zgłaszania incydentów cyberbezpieczeństwa odpowiednim służbom, takim jak Centrum Zarządzania Kryzysowego Ministerstwa Cyfryzacji czy Rządowe Centrum Bezpieczeństwa.
Ramy prawne w cyberbezpieczeństwie
Ustawa wprowadza ramy prawne mające na celu lepsze zrozumienie i egzekwowanie obowiązków związanych z cyberbezpieczeństwem.
Wdraża również przepisy dyrektywy NIS (dyrektywa 2016/1148 Parlamentu Europejskiego i Rady z dnia 6 lipca 2016 r.) w polskim porządku prawnym.
Wprowadzone regulacje ustanawiają zasady współpracy międzynarodowej oraz tworzą podstawy do współpracy między podmiotami publicznymi a prywatnymi w celu zapewnienia lepszej ochrony przed cyberzagrożeniami.
Ustawa o cyberbezpieczeństwie wprowadza zasady odpowiedzialności
Odpowiedzialność za incydenty cyberbezpieczeństwa to kolejny element ustawy. Podmioty zobowiązane do stosowania ustawy muszą zgłaszać incydenty cyberbezpieczeństwa odpowiednim służbom. W przypadku naruszenia przepisów dotyczących cyberbezpieczeństwa podmioty te mogą ponosić odpowiedzialność administracyjną, finansową czy nawet karną – w zależności od skali naruszenia oraz jego skutków.
Przykładem takiej odpowiedzialności może być nałożenie na operatora telekomunikacyjnego kary finansowej przez Prezesa Urzędu Komunikacji Elektronicznej za niezgłoszenie incydentu cyberbezpieczeństwa.
Ustawa o cyberbezpieczeństwie – te odpowiedzi trzeba znać
Krajowa ustawa o cyberbezpieczeństwie to ważny dokument. Oto kilka pytań i odpowiedzi (FAQ), które zdecydowanie powinniśmy znać:
Kogo dotyczy ustawa?
Ustawa o cyberbezpieczeństwie dotyczy podmiotów zarówno z sektora publicznego, jak i prywatnego. W szczególności obejmuje operatorów usług kluczowych (OSK) oraz dostawców usług cyfrowych (DUC).
Operatorzy usług kluczowych to podmioty odpowiedzialne za zarządzanie infrastrukturą krytyczną w takich sektorach jak energia, transport, sektor finansowy, sektor medyczny czy systemy zarządzania wodą. Dostawcy usług cyfrowych to podmioty oferujące usługi internetowe, takie jak usługodawcy chmurowi, platformy handlowe czy wyszukiwarki internetowe.
Jakie obowiązki przewiduje ustawa o cyberbezpieczeństwie?
Ustawa przewiduje szereg obowiązków dla podmiotów objętych jej zakresem. Do najważniejszych należą:
- Wdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa cybernetycznego
- Zgłaszanie incydentów cyberbezpieczeństwa do właściwych organów oraz informowanie o nich innych podmiotów, jeśli jest to konieczne
- Współpraca z właściwymi organami oraz innymi podmiotami w celu poprawy poziomu cyberbezpieczeństwa
- Przeprowadzanie regularnych audytów i ocen ryzyka dotyczących cyberbezpieczeństwa
- Udział w szkoleniach i ćwiczeniach związanych z cyberbezpieczeństwem
Czy są jakieś szkolenia, dzięki którym zyskamy niezbędną wiedzę dot. ustawy?
Tak, istnieją różne szkolenia i kursy, które pomagają zdobyć wiedzę na temat ustawy o cyberbezpieczeństwie oraz ogólnie w zakresie cyberbezpieczeństwa. Szkolenia te mogą być organizowane przez różne podmioty, takie jak instytucje publiczne, firmy konsultingowe czy uczelnie wyższe. Przykładem takiego szkolenia może być kurs organizowany przez Polską Agencję Bezpieczeństwa Wewnętrznego (ABW), który ma na celu przygotowanie specjalistów do pracy w obszarze cyberbezpieczeństwa.
Zobacz zapis webinaru o tym jak realizować zapisy Ustawy o Krajowym Systemie Cyberbezpieczeństwa:
Warto śledzić informacje o szkoleniach i kursach na stronach internetowych instytucji zajmujących się cyberbezpieczeństwem oraz uczestniczyć w konferencjach i warsztatach branżowych, aby być na bieżąco z wymogami i praktykami związanymi z ustawą o cyberbezpieczeństwie.
Autor: Jacek Kawik, dziennikarz Vault-Tech
Polecamy również: