Cyberbezpieczeństwo zyskało państwowe ramy. Prezydent podpisał ustawę o krajowym systemie cyberbezpieczeństwa
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) została właśnie podpisana przez prezydenta Andrzeja Dudę. Nowe przepisy mają pomóc w ochronie cyberprzestrzeni na poziomie krajowym.
Nowa ustawa obejmować będzie operatorów tzw. usług kluczowych, czyli sektor energetyczny, zdrowotny, bankowy i transportowy oraz operatorów sieci. Firmy świadczące ten typ usług będą m.in zobowiązane do wdrożenia skutecznych systemów bezpieczeństwa oraz do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo. Rolą takiej osoby będzie m.in zgłaszanie wszystkich incydentów związanych z próbami włamań oraz za współpracę z zespołami reagowania na takie incydenty.
Krajowy System Cyberbezpieczeństwa: kto będzie go nadzorował?
Jeśli chodzi o zespoły CSIRT (ang. Computer Security Incident Response Team), to tę rolę przyjęły na siebie Agencja Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (CSIRT NASK) oraz resort obrony narodowej (CSIRT MON). Będą one współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa.
Ich działania mają zapewnić spójny i kompletny system zarządzania ryzykiem na poziomie krajowym. Do zadań zespołów CSIRT należeć będzie także przeciwdziałanie zagrożeniom na poziomie ponadsektorowym oraz koordynacja obsługi zgłaszanych incydentów przez operatorów usług kluczowych. Z wprowadzonych zmian w szczególności ucieszy się Agencja Bezpieczeństwa Wewnętrznego, której zwiększono budżet ze względu na nowe obowiązki.
W praktyce zmieni się niewiele...
Sama ustawa o Krajowym Systemie Bezpieczeństwa to nic innego, jak wdrożenie dyrektywy Unii Europejskiej, która zobowiązuje państwa członkowskie do stworzenia krajowych strategii dotyczących cyberbezpieczeństwa w kluczowych sektorach gospodarczych. Tak właściwie to nasza ustawa jest lekko spóźniona, termin wdrożenia dyrektywy minął bowiem z początkiem maja br.
W praktyce zresztą nowe przepisy, oprócz zwiększenia poziomu biurokracji nie zmienią zbyt wiele. Większość firm z tzw. sektorów kluczowych od dawna ma swoje własne zespoły ludzi zajmujących się cyberbezpieczeństwem i doskonale zdaje sobie sprawę, że nie warto oszczędzać na ochronie swojej infrastruktury. Dobrym przykładem tego, jak w kwestiach bezpieczeństwa sieciowego radził sobie sektor prywatny jest np. projekt Cybertarczy realizowany przez firmę Orange.
