Ustawa o cyberbezpieczeństwie w Polsce (z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa) wprowadza szereg regulacji, mających na celu zwiększenie poziomu cyberbezpieczeństwa w kraju.
Ustawa nakĹ‚ada na różne podmioty – w tym na dostawcĂłw usĹ‚ug kluczowych oraz dostawcĂłw usĹ‚ug cyfrowych – obowiÄ…zek zapewnienia odpowiedniego poziomu bezpieczeĹ„stwa dla systemĂłw informatycznych, ktĂłre wykorzystujÄ….
Zabezpieczenie infrastruktury krytycznej
Jednym z głównych celów ustawy o cyberbezpieczeństwie jest zabezpieczenie infrastruktury krytycznej, takiej jak sieci energetyczne, systemy telekomunikacyjne czy systemy zaopatrzenia w wodę.
Ustawa wprowadza obowiązek dla operatorów infrastruktury krytycznej, aby stosowali odpowiednie środki ochrony, zarówno fizyczne, jak i techniczne, w celu zminimalizowania ryzyka wystąpienia incydentów w cyberprzestrzeni. Przykładem takiej inicjatywy może być opracowanie przez Polskie Sieci Elektroenergetyczne S.A. planu ochrony infrastruktury krytycznej, zgodnie z wymogami ustawy o cyberbezpieczeństwie.
Wymogi bezpieczeństwa IT
Ustawa o cyberbezpieczeństwie wprowadza wymogi dotyczące zarządzania ryzykiem i minimalizacji zagrożeń w obszarze bezpieczeństwa IT. Podmioty zobowiązane do stosowania ustawy muszą przeprowadzać regularne audyty bezpieczeństwa oraz stosować systemy zarządzania ryzykiem.
Sprawdź: Jak złamać hasło do WiFi
Ponadto ustawodawstwo przewiduje konieczność zgłaszania incydentów cyberbezpieczeństwa odpowiednim służbom, takim jak Centrum Zarządzania Kryzysowego Ministerstwa Cyfryzacji czy Rządowe Centrum Bezpieczeństwa.
Ramy prawne w cyberbezpieczeństwie
Ustawa wprowadza ramy prawne mające na celu lepsze zrozumienie i egzekwowanie obowiązków związanych z cyberbezpieczeństwem.
WdraĹĽa rĂłwnieĹĽ przepisy dyrektywy NIS (dyrektywa 2016/1148 Parlamentu Europejskiego i Rady z dnia 6 lipca 2016 r.) w polskim porzÄ…dku prawnym.
Wprowadzone regulacje ustanawiają zasady współpracy międzynarodowej oraz tworzą podstawy do współpracy między podmiotami publicznymi a prywatnymi w celu zapewnienia lepszej ochrony przed cyberzagrożeniami.
Ustawa o cyberbezpieczeństwie wprowadza zasady odpowiedzialności
Odpowiedzialność za incydenty cyberbezpieczeĹ„stwa to kolejny element ustawy. Podmioty zobowiÄ…zane do stosowania ustawy muszÄ… zgĹ‚aszać incydenty cyberbezpieczeĹ„stwa odpowiednim sĹ‚uĹĽbom. W przypadku naruszenia przepisĂłw dotyczÄ…cych cyberbezpieczeĹ„stwa podmioty te mogÄ… ponosić odpowiedzialność administracyjnÄ…, finansowÄ… czy nawet karnÄ… – w zaleĹĽnoĹ›ci od skali naruszenia oraz jego skutkĂłw.
Przykładem takiej odpowiedzialności może być nałożenie na operatora telekomunikacyjnego kary finansowej przez Prezesa Urzędu Komunikacji Elektronicznej za niezgłoszenie incydentu cyberbezpieczeństwa.
Ustawa o cyberbezpieczeĹ„stwie – te odpowiedzi trzeba znać
Krajowa ustawa o cyberbezpieczeństwie to ważny dokument. Oto kilka pytań i odpowiedzi (FAQ), które zdecydowanie powinniśmy znać:
Kogo dotyczy ustawa?
Ustawa o cyberbezpieczeństwie dotyczy podmiotów zarówno z sektora publicznego, jak i prywatnego. W szczególności obejmuje operatorów usług kluczowych (OSK) oraz dostawców usług cyfrowych (DUC).
Operatorzy usług kluczowych to podmioty odpowiedzialne za zarządzanie infrastrukturą krytyczną w takich sektorach jak energia, transport, sektor finansowy, sektor medyczny czy systemy zarządzania wodą. Dostawcy usług cyfrowych to podmioty oferujące usługi internetowe, takie jak usługodawcy chmurowi, platformy handlowe czy wyszukiwarki internetowe.
Jakie obowiązki przewiduje ustawa o cyberbezpieczeństwie?
Ustawa przewiduje szereg obowiązków dla podmiotów objętych jej zakresem. Do najważniejszych należą:
- Wdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa cybernetycznego
- Zgłaszanie incydentów cyberbezpieczeństwa do właściwych organów oraz informowanie o nich innych podmiotów, jeśli jest to konieczne
- Współpraca z właściwymi organami oraz innymi podmiotami w celu poprawy poziomu cyberbezpieczeństwa
- Przeprowadzanie regularnych audytów i ocen ryzyka dotyczących cyberbezpieczeństwa
- Udział w szkoleniach i ćwiczeniach związanych z cyberbezpieczeństwem
Czy są jakieś szkolenia, dzięki którym zyskamy niezbędną wiedzę dot. ustawy?
Tak, istnieją różne szkolenia i kursy, które pomagają zdobyć wiedzę na temat ustawy o cyberbezpieczeństwie oraz ogólnie w zakresie cyberbezpieczeństwa. Szkolenia te mogą być organizowane przez różne podmioty, takie jak instytucje publiczne, firmy konsultingowe czy uczelnie wyższe. Przykładem takiego szkolenia może być kurs organizowany przez Polską Agencję Bezpieczeństwa Wewnętrznego (ABW), który ma na celu przygotowanie specjalistów do pracy w obszarze cyberbezpieczeństwa.
Zobacz zapis webinaru o tym jak realizować zapisy Ustawy o Krajowym Systemie Cyberbezpieczeństwa:
Warto śledzić informacje o szkoleniach i kursach na stronach internetowych instytucji zajmujących się cyberbezpieczeństwem oraz uczestniczyć w konferencjach i warsztatach branżowych, aby być na bieżąco z wymogami i praktykami związanymi z ustawą o cyberbezpieczeństwie.
Autor: Jacek Kawik, dziennikarz Vault-Tech
Polecamy rĂłwnieĹĽ: