W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw POPRZEDNI TYTUŁ: Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo telekomunikacyjnePOPRZEDNI TYTUŁ: Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, ustawy – Prawo telekomunikacyjne oraz ustawy – Ordynacja podatkowa
{"register":{"columns":[{"header":"Numer projektu","value":"UD68","registerId":20476989,"dictionaryValues":[],"nestedValues":[],"sequence":{},"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Rodzaj dokumentu","registerId":20476989,"dictionaryValues":[{"id":"Projekty ustaw","value":"Projekty ustaw"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Typ dokumentu","registerId":20476989,"dictionaryValues":[{"id":"D – pozostałe projekty","value":"D – pozostałe projekty"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Informacje o przyczynach i potrzebie wprowadzenia rozwiązań planowanych w projekcie","value":"Doświadczenia z funkcjonowania krajowego systemu cyberbezpieczeństwa na poziomie krajowym (od 2018 r. – wejście w życie ustawy o KSC) pozwoliły ocenić skuteczność wdrożonych rozwiązań prawno-organizacyjnych oraz zidentyfikować obszary wymagające zmian ustawowych, które usprawniają funkcjonowanie systemu cyberbezpieczeństwa m.in. konieczność ujednolicenia na poziomie krajowym procedur zgłaszania incydentów, przyspieszenie tworzenia sektorowych zespołów cyberbezpieczeństwa, czy umożliwienia tworzenia centrów analizy i wymiany informacji (ISAC).\nMimo ustawowej możliwości, sektorowe zespoły cyberbezpieczeństwa nie były dotychczas powoływane. Dotychczas powstał tylko jeden sektorowy CSIRT w sektorze finansowym – CSIRT-KNF. \nPonadto, wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo (a także podmioty świadczące usługi z zakresu cyberbezpieczeństwa) nie współpracują ze sobą, co skutkuje brakiem przepływu istotnych informacji między podmiotami systemu. Operatorzy usług kluczowych mają trudności ze spełnieniem wyśrubowanych wymogów technicznych dla wewnętrznych struktur cyberbezpieczeństwa. \nDo tej pory powstało w Polsce tylko 1 centrum wymiany informacji między podmiotami krajowego systemu cyberbezpieczeństwa – ISAC-Kolej, które rozpoczęło działalność w październiku 2020 r. ISAC (Information Sharing and Analysis Center, centrum wymiany informacji i analiz) gromadzi informacje o podatnościach i cyberzagrożeniach. Taka formuła znacząco wpływa na poprawę cyberbezpieczeństwa. Wskazane jest, aby więcej takich organizacji powstało w Polsce.\nZauważono również, że uprawnienia Pełnomocnika Rządu do spraw Cyberbezpieczeństwa są niewystarczające dla zadań, które musi wypełniać. Brakuje mu skutecznych środków oddziaływania na podmioty krajowego systemu cyberbezpieczeństwa, w tym przede wszystkim wydawania ostrzeżeń w sytuacji prawdopodobieństwa wystąpienia incydentu krytycznego. Chodzi o podobny instrument jaki jest m.in. w Czechach, czyli ostrzeżenie szefa agencji NUKIB. \nBrakuje również środka prawnego, który umożliwiałby wydawanie rekomendacji o charakterze technicznym (w tym np. Narodowych Standardów Cyberbezpieczeństwa, o których mowa w Strategii Cyberbezpieczeństwa RP na lata 2019-2024) i jednocześnie obowiązku uwzględnienia tych rekomendacji przez podmioty krajowego systemu cyberbezpieczeństwa w trakcie procesu zarządzania ryzykiem.\nZmiany na poziomie UE:\nPonadto, w tym samym okresie doszło do istotnych zmian w prawie europejskim. Jednym z priorytetów Komisji Europejskiej stało się zapewnienie cyberbezpieczeństwa sieciom telekomunikacyjnym. Weszła w życie nowa regulacja – dyrektywa Europejski Kodeks Łączności Elektronicznej (EKŁE), który umożliwia (w odróżnieniu od poprzedniej regulacji tzw. dyrektywy ramowej) uspójnienie procedury zgłaszania i reagowania na incydenty i incydenty telekomunikacyjne na poziomie krajowym. Obecnie przedsiębiorcy telekomunikacyjni nie są obowiązani zgłaszać incydenty do jednego z zespołów CSIRT poziomu krajowego.\nEKŁE nie jest jedynym symbolem zmian w postrzeganiu przez Komisję Europejską bezpieczeństwa w sektorze telekomunikacyjnym. Komisja wielokrotnie m.in. w opublikowanych w marcu 2019 r. zaleceniach dot. cyberbezpieczeństwa sieci 5G, podkreślała, że kwestia zapewnienia bezpieczeństwa wdrażanej technologii 5G jest priorytetem. Potwierdzenie tego znajduje swój wymiar w opublikowanym w styczniu 2020 r. zestawie środków dot. minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanego jako 5G Toolbox [1]. Zestaw obejmuje zarówno narzędzia o charakterze strategicznym i technicznym, jak również te o charakterze wspierającym. Cele są dwa: po pierwsze, bezpieczeństwo sieci 5G, a po drugie: uspójnienie polityk państw członkowskich w obszarze bezpieczeństwa technologii 5G. 5G Toolbox zawiera też m.in. definicje zestawu środków zabezpieczających na poziomie strategicznym i technicznym oraz wskazuje działania wspierające stosowanie tych środków dla ograniczenia ryzyk cyberbezpieczeństwa w sieciach 5G, które będą kręgosłupem Jednolitego Rynku Cyfrowego UE. Są środki o charakterze: \n1) Strategicznym - m.in. większe uprawnienia dla organów właściwych, w tym ocena bezpieczeństwa łańcucha dostaw, większe wymagania dla przedsiębiorców telekomunikacyjnych oraz ocena ryzyka dostawców sprzętu lub oprogramowania;\n2) Technicznym – m.in. badanie bezpieczeństwa oprogramowania i urządzeń – uprawnienia Pełnomocnika Rządu ds. Cyberbezpieczeństwa oraz zespołów CSIRT poziomu krajowego: CSIRT GOV, CSIRT MON, CSIRT NASK – wynikające z art. 33 ustawy o KSC;\n3) Wspierającym – m.in. dotyczące prac nad europejskim programem standaryzacji i certyfikacji cyberbezpieczeństwa.\nKrajowy System Certyfikacji Cyberbezpieczeństwa \nProjektowana ustawa pozwala dostosować polski porządek prawny do obowiązków wynikających z wejścia w życie (w czerwcu 2019 r.) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013, zwanego dalej Aktem o Cyberbezpieczeństwie. Stanowi również realizację celu 2. Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024 - Podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty.\nSzczególnie istotną kwestią jest tu dostosowanie definicji zawartych w ustawie o KSC do zmian, jakie zaszły w tej dziedzinie na poziomie europejskim. Prawo europejskie wprowadziło cały szereg nowych pojęć oraz dokonało aktualizacji już istniejących. Dostosowanie do tych zmian jest więc konieczne zarówno ze względu na konieczność zachowania spójności porządku prawnego jak również ze względu na korzyści wynikające z posiadania jednolitej terminologii z partnerami z Unii Europejskiej.\nRola sieci i systemów teleinformatycznych wzrosła niepomiernie w ostatnich latach sprawiając, że stały się one niezbędnym elementem współczesnej gospodarki. W związku z pandemią koronawirusa proces ten zapewne będzie postępował coraz szybciej. Jako, że społeczeństwa coraz bardziej będą polegały na produktach i usługach funkcjonujących w cyberprzestrzeni, tym istotniejsze staje się zapewnienie bezpieczeństwa działań podejmowanych w tej płaszczyźnie. Wprowadzenie jednolitych zasad przyznawania certyfikatów cyberbezpieczeństwa i ich wzajemne uznanie w państwach Unii Europejskiej zapewnią, że przedsiębiorstwa będą w stanie lepiej zabezpieczyć swoje interesy w cyberprzestrzeni. Ponadto wzajemne uznawanie certyfikatów zapewni im lepszą pozycję do konkurencji na rynku europejskim. Działania te przyczynią się do ogólnego wzrostu bezpieczeństwa w cyberprzestrzeni. Posłużą też uporządkowaniu rynku w tym zakresie oraz objęciu procesów certyfikacji nadzorem. Wyraźne wsparcie państwa w zakresie certyfikacji powinno również przyczynić się do zwiększenia świadomości społecznej w kwestii cyberbezpieczeństwa.\nSzybkie przyjęcie proponowanych przepisów może dać polskim przedsiębiorcom dużą szansę do pozyskania klientów z sąsiednich krajów zainteresowanych certyfikacją ich produktów. Będzie to więc szansą dla znacznego poszerzenia bazy potencjalnych klientów.\nSama certyfikacja w zakresie cyberbezpieczeństwa jest procesem czasochłonnym i kosztownym, co ogranicza dostępność do certyfikatów. Wprowadzenie krajowego systemu certyfikacji powinno przyczynić się do zmiany tego stanu rzeczy. \nPrzyjęte w ustawie rozwiązania umożliwiają również tworzenie krajowych programów certyfikacyjnych. Dzięki temu możliwe będzie zwiększenie cyberbezpieczeństwa w obszarach uznanych za kluczowe.\nDzięki przepisom umożliwiającym tworzenie krajowych programów certyfikacji cyberbezpieczeństwa administracja publiczna uzyska skuteczne narzędzie pozwalające reagować na cyberzagrożenia dotyczące konkretnych produktów, usług czy procesów. Możliwe będzie opracowanie programu certyfikacji, które weźmie te zagrożenia pod uwagę bez konieczności oczekiwania na działania na forum Unii Europejskiej.\nRewolucja informatyczna i rozwój sieci komputerowych spowodowały istotne uzależnienie działania Państwa od sprawnych, bezpiecznych systemów teleinformatycznych i sieci telekomunikacyjnych. Bezpieczne systemy łączności strategicznej, spajającej działania administracji publicznej i zapewniające sprawne działanie ePaństwa są niezwykle ważnym elementem dobrze funkcjonującego państwa. Dlatego istnieje potrzeba utworzenia w Polsce takiej sieci, będącej bezpieczną i niezawodną siecią telekomunikacyjną wykorzystywaną do zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego.\nPierwsze doświadczenia ze stosowania ustawy z dnia 2 grudnia 2021 r. o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa (Dz. U. poz. 2333) wskazują na konieczność doprecyzowania niektórych jej przepisów, jak również poszerzenia katalogu podmiotów uprawnionych do uzyskania wsparcia z Funduszu Cyberbezpieczeństwa.\n\n[1] Cybersecurity of 5G networks. EU Toolbox of risk mitigating measures, https://digital-strategy.ec.europa.eu/en/library/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures.","registerId":20476989,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Istota rozwiązań ujętych w projekcie","value":"Oczekiwany efekt wprowadzenia ww. narzędzi interwencji:\n1. Przebudowany zostanie model współpracy w ramach krajowego systemu cyberbezpieczeństwa. Sektorowe zespoły cyberbezpieczeństwa, wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo, podmioty świadczące usługi z zakresu cyberbezpieczeństwa zostaną zastąpione odpowiednio przez CSIRT sektorowe, SOC wewnętrznymi i SOC zewnętrznymi (operacyjne centra bezpieczeństwa) z tylko nieco zmienionymi zadaniami. \n2. Do krajowego systemu cyberbezpieczeństwa zostaną dodani przedsiębiorcy komunikacji elektronicznej. \n3. Zostanie dodany nowy rodzaj podmiotu – ISAC – który umożliwi nawet niewielkim a wyspecjalizowanym podmiotom na dołączenie się do krajowego systemu cyberbezpieczeństwa. \n4. Zostanie wzmocniona pozycja Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa (Pełnomocnik) poprzez udostępnienie mu konkretnych uprawnień w zakresie wydawania ostrzeżeń o incydentach krytycznych wraz z zaleceniem określonych zachowań. Pełnomocnik będzie mógł również wydawać rekomendacje mające na celu wzmocnienie poziomu cyberbezpieczeństwa systemów informacyjnych podmiotów krajowego systemu cyberbezpieczeństwa. Z kolei te podmioty będą zobowiązane uwzględnić te rekomendacje podczas procesu zarządzania ryzykiem. Decyzja o zastosowaniu się do tych rekomendacji należeć będzie do tych podmiotów.\n5. Minister właściwy do spraw informatyzacji dzięki nowemu uprawnieniu do wydawania poleceń zabezpieczających (w ramach transparentnej procedury administracyjnej) będzie miał skuteczne narzędzie do ograniczenia skutków incydentu krytycznego w podmiotach krajowego systemu cyberbezpieczeństwa. \n6. Dostawcy sprzętu i oprogramowania będą mogli zostać poddani procedurze sprawdzającej pod kątem zagrożenia jakie może wywołać wykorzystywanie oferowanego przez nich konkretnego sprzętu lub oprogramowanie w kluczowych podmiotach polskiej gospodarki. Podmioty obowiązane, których będzie obejmował zakres przedmiotowy oceny, będą musiały wycofać z użytkowania dany sprzęt lub oprogramowanie w ciągu 7 lat od wydania decyzji administracyjnej przez ministra właściwego ds. informatyzacji.\n7. Powstanie Krajowy System Certyfikacji Cyberbezpieczeństwa, w ramach którego wydawane będą certyfikaty w zakresie cyberbezpieczeństwa.\n8. Minister właściwy do spraw informatyzacji będzie przygotowywać programy na podstawie, których będzie można przeprowadzać certyfikacje. Programy te będą ostatecznie przyjmowane w drodze rozporządzenia Rady Ministrów.\n9. Organ nadzorczy będzie przeprowadzał kontrolę w podmiotach należących do krajowego systemu certyfikacji cyberbezpieczeństwa. W zakresie certyfikatów odwołujących się do poziomu zaufania „wysoki” będzie również zatwierdzał każdy wydany certyfikat. Rozwiązanie to jest gwarantem, że ocena zgodności na najwyższy poziom bezpieczeństwa będzie przeprowadzana zgodnie z najlepszymi standardami w tej dziedzinie.\n10. Określone zostały procedury akredytacji jednostek oceniających zgodność oraz procedury wydawania certyfikatów\n11. Określone zostały obowiązki spoczywające na podmiotach krajowego systemu certyfikacji cyberbezpieczeństwa \nUstawa zagwarantuje, że zostanie uruchomiona bezpieczna sieć telekomunikacyjna wykorzystywana na potrzeby realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego przez kluczowe urzędy i podmioty działające w Rzeczypospolitej Polskiej. W tym celu zostanie powołany Operator strategicznej sieci bezpieczeństwa (OSSB), który będzie wyznaczany, w drodze zarządzenia, przez Prezesa Rady Ministrów spośród podmiotów spełniających łącznie następujące warunki:\n1) będących jednoosobową spółką Skarbu Państwa; \n2) będących przedsiębiorcą telekomunikacyjnym;\n3) posiadających infrastrukturę telekomunikacyjną niezbędną do realizacji zadań, o których mowa w ust. 1;\n4) posiadających środki techniczne i organizacyjne zapewniające bezpieczne przetwarzanie danych w sieci telekomunikacyjnej;\n5) posiadających świadectwo bezpieczeństwa przemysłowego.\nOperator ten będzie świadczył usługi telekomunikacyjne, jak również inne usługi dla wskazanych w ustawie podmiotów.\nDo ustawy wprowadzono możliwość pierwokupu przez wykonawcę sieci telekomunikacyjnych pozostających we własności Skarbu Państwa lub samorządu terytorialnego.\nOSSB zostanie zobowiązany do utworzenia spółki kapitałowej, która będzie pełnić funkcje operatora ogólnopolskiej hurtowej sieci, na częstotliwościach z zakresu 703 – 733 MHz oraz 758 – 788 MHz o nazwie Polskie 5G („Spółka Polskie 5G”). \nSpółka Polskie 5G będzie obowiązana do:\n1) oferowania odpłatnych usług telekomunikacyjnych na warunkach hurtowych; \n2) udostępniania odpłatnie usług telekomunikacyjnych na rzecz OSSB w celu świadczenia przez niego usług telekomunikacyjnych i innych usług służących zapewnieniu realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, oraz\n3) zapewnienia pokrycia całego terytorium kraju zasięgiem sieci hurtowej oraz zapewnienia szczególnego poziomu bezpieczeństwa w interesie publicznym w zakresie sieci oraz usług.\nPrezes UKE będzie, w drodze decyzji administracyjnej, przydzielał OSSB określony zakres częstotliwości, przeznaczony do użytkowania rządowego. Do decyzji Prezesa UKE odpowiednio będzie należało stosowanie przepisów ustawy Prawo telekomunikacyjne, dotyczących rezerwacji częstotliwości, regulujących między innymi okres, na który jest ona wydawana oraz jej treść. Jednocześnie w decyzji tej Prezes UKE obligatoryjnie określi zobowiązania pokryciowe, czyli nałożone na OSSB wymogi w zakresie pokrycia zasięgiem ruchomych sieci telekomunikacyjnych opartych o te częstotliwości.\nPrzepis ustawy wprowadza możliwość zadecydowania przez niezależnego regulatora rynku telekomunikacyjnego o szczególnym przeznaczeniu częstotliwości z zakresu 713-733 MHz oraz 768-788 MHz. Prezes UKE może przyznać ten zakres widma przedsiębiorcy telekomunikacyjnemu lub konsorcjum przedsiębiorców telekomunikacyjnych w celu świadczenia wyłącznie usług hurtowych. Propozycja ma na celu zapewnienie Prezesowi UKE odpowiednich mechanizmów, które mogą w przyszłości doprowadzić do zintensyfikowania działań mających na celu realizację przez Rzeczpospolitą Polską celów w zakresie zapewnienia dostępu do usług szerokopasmowych każdemu obywatelowi Unii Europejskiej.\nW ustawie tworzony jest państwowy fundusz celowy – Fundusz Strategicznej Sieci Bezpieczeństwa, którego dysponentem będzie minister właściwy do spraw aktywów państwowych. \nWprowadza się także zmiany w ustawie z dnia 2 grudnia 2021 r. o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa w zakresie:\n1) umożliwienia przekazywania środków Funduszu Cyberbezpieczeństwa na pokrycie kosztów działań związanych ze zwiększeniem poziomu bezpieczeństwa systemów informacyjnych, jak i systemów infrastruktury krytycznej. Jednoznacznie przesądza się, że przychody Funduszu z budżetu państwa, jak i dofinansowanie udzielone ze środków Funduszu nie są dotacjami w rozumieniu art. 126 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych. Umożliwia się przekazanie środków z Funduszu Cyberbezpieczeństwa na sfinansowanie świadczenia teleinformatycznego w transzach. Wprowadza się obowiązek sporządzenia wniosku o wsparcie z Funduszu na sfinansowanie świadczenia teleinformatycznego w postaci elektronicznej. Reguła ta nie będzie dotyczyła wniosków zawierających informacje niejawne;\n2) doprecyzowania przepisów przez wskazanie, że - zgodnie z intencjami prawodawcy - świadczenie teleinformatyczne przyznawane na podstawie art. 5 pkt 1 może dotyczyć wyłącznie osób realizujących zadania w CSIRT GOV, CSIRT MON, CSIRT NASK, organach właściwych do spraw cyberbezpieczeństwa, CSIRT sektorowych, CSIRT Telco, CSIRT INT, urzędzie obsługującym Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, o których mowa odpowiednio w art. 26, art. 36b, art. 41, art. 44, art. 44a lub art. 60 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;\n3) uzupełnienia katalogu podmiotów, zgodnie z którym osoby realizujące zadania z zakresu cyberbezpieczeństwa mogą otrzymać świadczenie teleinformatyczne;\n4) wskazania, że świadczenia teleinformatycznego nie wlicza się do podstawy wymiaru składki zdrowotnej;\n5) doprecyzowania, że zadaniami z zakresu cyberbezpieczeństwa, są również zadania związane ze zwalczaniem cyberprzestrzępczości.","registerId":20476989,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Organ odpowiedzialny za opracowanie projektu","registerId":20476989,"dictionaryValues":[{"id":"MC","value":"MC"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Osoba odpowiedzialna za opracowanie projektu","value":"Janusz Cieszyński Sekretarz Stanu w Kancelarii Prezesa Rady Ministrów","registerId":20476989,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Organ odpowiedzialny za przedłożenie projektu RM","registerId":20476989,"dictionaryValues":[{"id":"MC","value":"MC"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Planowany termin przyjęcia projektu przez RM","value":"I/II kwartał 2023 r. ZREALIZOWANY Rada Ministrów przyjęła 6 czerwca 2023 r. z autopoprawkami","registerId":20476989,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Informacja o rezygnacji z prac nad projektem","value":"","registerId":20476989,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Status realizacji","registerId":20476989,"dictionaryValues":[{"id":"Zrealizowany","value":"Zrealizowany"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"}]}}
Numer projektu:
UD68
Rodzaj dokumentu:
Projekty ustaw
Typ dokumentu:
D – pozostałe projekty
Informacje o przyczynach i potrzebie wprowadzenia rozwiązań planowanych w projekcie:
Doświadczenia z funkcjonowania krajowego systemu cyberbezpieczeństwa na poziomie krajowym (od 2018 r. – wejście w życie ustawy o KSC) pozwoliły ocenić skuteczność wdrożonych rozwiązań prawno-organizacyjnych oraz zidentyfikować obszary wymagające zmian ustawowych, które usprawniają funkcjonowanie systemu cyberbezpieczeństwa m.in. konieczność ujednolicenia na poziomie krajowym procedur zgłaszania incydentów, przyspieszenie tworzenia sektorowych zespołów cyberbezpieczeństwa, czy umożliwienia tworzenia centrów analizy i wymiany informacji (ISAC). Mimo ustawowej możliwości, sektorowe zespoły cyberbezpieczeństwa nie były dotychczas powoływane. Dotychczas powstał tylko jeden sektorowy CSIRT w sektorze finansowym – CSIRT-KNF. Ponadto, wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo (a także podmioty świadczące usługi z zakresu cyberbezpieczeństwa) nie współpracują ze sobą, co skutkuje brakiem przepływu istotnych informacji między podmiotami systemu. Operatorzy usług kluczowych mają trudności ze spełnieniem wyśrubowanych wymogów technicznych dla wewnętrznych struktur cyberbezpieczeństwa. Do tej pory powstało w Polsce tylko 1 centrum wymiany informacji między podmiotami krajowego systemu cyberbezpieczeństwa – ISAC-Kolej, które rozpoczęło działalność w październiku 2020 r. ISAC (Information Sharing and Analysis Center, centrum wymiany informacji i analiz) gromadzi informacje o podatnościach i cyberzagrożeniach. Taka formuła znacząco wpływa na poprawę cyberbezpieczeństwa. Wskazane jest, aby więcej takich organizacji powstało w Polsce. Zauważono również, że uprawnienia Pełnomocnika Rządu do spraw Cyberbezpieczeństwa są niewystarczające dla zadań, które musi wypełniać. Brakuje mu skutecznych środków oddziaływania na podmioty krajowego systemu cyberbezpieczeństwa, w tym przede wszystkim wydawania ostrzeżeń w sytuacji prawdopodobieństwa wystąpienia incydentu krytycznego. Chodzi o podobny instrument jaki jest m.in. w Czechach, czyli ostrzeżenie szefa agencji NUKIB. Brakuje również środka prawnego, który umożliwiałby wydawanie rekomendacji o charakterze technicznym (w tym np. Narodowych Standardów Cyberbezpieczeństwa, o których mowa w Strategii Cyberbezpieczeństwa RP na lata 2019-2024) i jednocześnie obowiązku uwzględnienia tych rekomendacji przez podmioty krajowego systemu cyberbezpieczeństwa w trakcie procesu zarządzania ryzykiem. Zmiany na poziomie UE: Ponadto, w tym samym okresie doszło do istotnych zmian w prawie europejskim. Jednym z priorytetów Komisji Europejskiej stało się zapewnienie cyberbezpieczeństwa sieciom telekomunikacyjnym. Weszła w życie nowa regulacja – dyrektywa Europejski Kodeks Łączności Elektronicznej (EKŁE), który umożliwia (w odróżnieniu od poprzedniej regulacji tzw. dyrektywy ramowej) uspójnienie procedury zgłaszania i reagowania na incydenty i incydenty telekomunikacyjne na poziomie krajowym. Obecnie przedsiębiorcy telekomunikacyjni nie są obowiązani zgłaszać incydenty do jednego z zespołów CSIRT poziomu krajowego. EKŁE nie jest jedynym symbolem zmian w postrzeganiu przez Komisję Europejską bezpieczeństwa w sektorze telekomunikacyjnym. Komisja wielokrotnie m.in. w opublikowanych w marcu 2019 r. zaleceniach dot. cyberbezpieczeństwa sieci 5G, podkreślała, że kwestia zapewnienia bezpieczeństwa wdrażanej technologii 5G jest priorytetem. Potwierdzenie tego znajduje swój wymiar w opublikowanym w styczniu 2020 r. zestawie środków dot. minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanego jako 5G Toolbox [1]. Zestaw obejmuje zarówno narzędzia o charakterze strategicznym i technicznym, jak również te o charakterze wspierającym. Cele są dwa: po pierwsze, bezpieczeństwo sieci 5G, a po drugie: uspójnienie polityk państw członkowskich w obszarze bezpieczeństwa technologii 5G. 5G Toolbox zawiera też m.in. definicje zestawu środków zabezpieczających na poziomie strategicznym i technicznym oraz wskazuje działania wspierające stosowanie tych środków dla ograniczenia ryzyk cyberbezpieczeństwa w sieciach 5G, które będą kręgosłupem Jednolitego Rynku Cyfrowego UE. Są środki o charakterze: 1) Strategicznym - m.in. większe uprawnienia dla organów właściwych, w tym ocena bezpieczeństwa łańcucha dostaw, większe wymagania dla przedsiębiorców telekomunikacyjnych oraz ocena ryzyka dostawców sprzętu lub oprogramowania; 2) Technicznym – m.in. badanie bezpieczeństwa oprogramowania i urządzeń – uprawnienia Pełnomocnika Rządu ds. Cyberbezpieczeństwa oraz zespołów CSIRT poziomu krajowego: CSIRT GOV, CSIRT MON, CSIRT NASK – wynikające z art. 33 ustawy o KSC; 3) Wspierającym – m.in. dotyczące prac nad europejskim programem standaryzacji i certyfikacji cyberbezpieczeństwa. Krajowy System Certyfikacji Cyberbezpieczeństwa Projektowana ustawa pozwala dostosować polski porządek prawny do obowiązków wynikających z wejścia w życie (w czerwcu 2019 r.) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013, zwanego dalej Aktem o Cyberbezpieczeństwie. Stanowi również realizację celu 2. Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024 - Podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty. Szczególnie istotną kwestią jest tu dostosowanie definicji zawartych w ustawie o KSC do zmian, jakie zaszły w tej dziedzinie na poziomie europejskim. Prawo europejskie wprowadziło cały szereg nowych pojęć oraz dokonało aktualizacji już istniejących. Dostosowanie do tych zmian jest więc konieczne zarówno ze względu na konieczność zachowania spójności porządku prawnego jak również ze względu na korzyści wynikające z posiadania jednolitej terminologii z partnerami z Unii Europejskiej. Rola sieci i systemów teleinformatycznych wzrosła niepomiernie w ostatnich latach sprawiając, że stały się one niezbędnym elementem współczesnej gospodarki. W związku z pandemią koronawirusa proces ten zapewne będzie postępował coraz szybciej. Jako, że społeczeństwa coraz bardziej będą polegały na produktach i usługach funkcjonujących w cyberprzestrzeni, tym istotniejsze staje się zapewnienie bezpieczeństwa działań podejmowanych w tej płaszczyźnie. Wprowadzenie jednolitych zasad przyznawania certyfikatów cyberbezpieczeństwa i ich wzajemne uznanie w państwach Unii Europejskiej zapewnią, że przedsiębiorstwa będą w stanie lepiej zabezpieczyć swoje interesy w cyberprzestrzeni. Ponadto wzajemne uznawanie certyfikatów zapewni im lepszą pozycję do konkurencji na rynku europejskim. Działania te przyczynią się do ogólnego wzrostu bezpieczeństwa w cyberprzestrzeni. Posłużą też uporządkowaniu rynku w tym zakresie oraz objęciu procesów certyfikacji nadzorem. Wyraźne wsparcie państwa w zakresie certyfikacji powinno również przyczynić się do zwiększenia świadomości społecznej w kwestii cyberbezpieczeństwa. Szybkie przyjęcie proponowanych przepisów może dać polskim przedsiębiorcom dużą szansę do pozyskania klientów z sąsiednich krajów zainteresowanych certyfikacją ich produktów. Będzie to więc szansą dla znacznego poszerzenia bazy potencjalnych klientów. Sama certyfikacja w zakresie cyberbezpieczeństwa jest procesem czasochłonnym i kosztownym, co ogranicza dostępność do certyfikatów. Wprowadzenie krajowego systemu certyfikacji powinno przyczynić się do zmiany tego stanu rzeczy. Przyjęte w ustawie rozwiązania umożliwiają również tworzenie krajowych programów certyfikacyjnych. Dzięki temu możliwe będzie zwiększenie cyberbezpieczeństwa w obszarach uznanych za kluczowe. Dzięki przepisom umożliwiającym tworzenie krajowych programów certyfikacji cyberbezpieczeństwa administracja publiczna uzyska skuteczne narzędzie pozwalające reagować na cyberzagrożenia dotyczące konkretnych produktów, usług czy procesów. Możliwe będzie opracowanie programu certyfikacji, które weźmie te zagrożenia pod uwagę bez konieczności oczekiwania na działania na forum Unii Europejskiej. Rewolucja informatyczna i rozwój sieci komputerowych spowodowały istotne uzależnienie działania Państwa od sprawnych, bezpiecznych systemów teleinformatycznych i sieci telekomunikacyjnych. Bezpieczne systemy łączności strategicznej, spajającej działania administracji publicznej i zapewniające sprawne działanie ePaństwa są niezwykle ważnym elementem dobrze funkcjonującego państwa. Dlatego istnieje potrzeba utworzenia w Polsce takiej sieci, będącej bezpieczną i niezawodną siecią telekomunikacyjną wykorzystywaną do zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Pierwsze doświadczenia ze stosowania ustawy z dnia 2 grudnia 2021 r. o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa (Dz. U. poz. 2333) wskazują na konieczność doprecyzowania niektórych jej przepisów, jak również poszerzenia katalogu podmiotów uprawnionych do uzyskania wsparcia z Funduszu Cyberbezpieczeństwa.
[1] Cybersecurity of 5G networks. EU Toolbox of risk mitigating measures, https://digital-strategy.ec.europa.eu/en/library/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures.
Istota rozwiązań ujętych w projekcie:
Oczekiwany efekt wprowadzenia ww. narzędzi interwencji: 1. Przebudowany zostanie model współpracy w ramach krajowego systemu cyberbezpieczeństwa. Sektorowe zespoły cyberbezpieczeństwa, wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo, podmioty świadczące usługi z zakresu cyberbezpieczeństwa zostaną zastąpione odpowiednio przez CSIRT sektorowe, SOC wewnętrznymi i SOC zewnętrznymi (operacyjne centra bezpieczeństwa) z tylko nieco zmienionymi zadaniami. 2. Do krajowego systemu cyberbezpieczeństwa zostaną dodani przedsiębiorcy komunikacji elektronicznej. 3. Zostanie dodany nowy rodzaj podmiotu – ISAC – który umożliwi nawet niewielkim a wyspecjalizowanym podmiotom na dołączenie się do krajowego systemu cyberbezpieczeństwa. 4. Zostanie wzmocniona pozycja Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa (Pełnomocnik) poprzez udostępnienie mu konkretnych uprawnień w zakresie wydawania ostrzeżeń o incydentach krytycznych wraz z zaleceniem określonych zachowań. Pełnomocnik będzie mógł również wydawać rekomendacje mające na celu wzmocnienie poziomu cyberbezpieczeństwa systemów informacyjnych podmiotów krajowego systemu cyberbezpieczeństwa. Z kolei te podmioty będą zobowiązane uwzględnić te rekomendacje podczas procesu zarządzania ryzykiem. Decyzja o zastosowaniu się do tych rekomendacji należeć będzie do tych podmiotów. 5. Minister właściwy do spraw informatyzacji dzięki nowemu uprawnieniu do wydawania poleceń zabezpieczających (w ramach transparentnej procedury administracyjnej) będzie miał skuteczne narzędzie do ograniczenia skutków incydentu krytycznego w podmiotach krajowego systemu cyberbezpieczeństwa. 6. Dostawcy sprzętu i oprogramowania będą mogli zostać poddani procedurze sprawdzającej pod kątem zagrożenia jakie może wywołać wykorzystywanie oferowanego przez nich konkretnego sprzętu lub oprogramowanie w kluczowych podmiotach polskiej gospodarki. Podmioty obowiązane, których będzie obejmował zakres przedmiotowy oceny, będą musiały wycofać z użytkowania dany sprzęt lub oprogramowanie w ciągu 7 lat od wydania decyzji administracyjnej przez ministra właściwego ds. informatyzacji. 7. Powstanie Krajowy System Certyfikacji Cyberbezpieczeństwa, w ramach którego wydawane będą certyfikaty w zakresie cyberbezpieczeństwa. 8. Minister właściwy do spraw informatyzacji będzie przygotowywać programy na podstawie, których będzie można przeprowadzać certyfikacje. Programy te będą ostatecznie przyjmowane w drodze rozporządzenia Rady Ministrów. 9. Organ nadzorczy będzie przeprowadzał kontrolę w podmiotach należących do krajowego systemu certyfikacji cyberbezpieczeństwa. W zakresie certyfikatów odwołujących się do poziomu zaufania „wysoki” będzie również zatwierdzał każdy wydany certyfikat. Rozwiązanie to jest gwarantem, że ocena zgodności na najwyższy poziom bezpieczeństwa będzie przeprowadzana zgodnie z najlepszymi standardami w tej dziedzinie. 10. Określone zostały procedury akredytacji jednostek oceniających zgodność oraz procedury wydawania certyfikatów 11. Określone zostały obowiązki spoczywające na podmiotach krajowego systemu certyfikacji cyberbezpieczeństwa Ustawa zagwarantuje, że zostanie uruchomiona bezpieczna sieć telekomunikacyjna wykorzystywana na potrzeby realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego przez kluczowe urzędy i podmioty działające w Rzeczypospolitej Polskiej. W tym celu zostanie powołany Operator strategicznej sieci bezpieczeństwa (OSSB), który będzie wyznaczany, w drodze zarządzenia, przez Prezesa Rady Ministrów spośród podmiotów spełniających łącznie następujące warunki: 1) będących jednoosobową spółką Skarbu Państwa; 2) będących przedsiębiorcą telekomunikacyjnym; 3) posiadających infrastrukturę telekomunikacyjną niezbędną do realizacji zadań, o których mowa w ust. 1; 4) posiadających środki techniczne i organizacyjne zapewniające bezpieczne przetwarzanie danych w sieci telekomunikacyjnej; 5) posiadających świadectwo bezpieczeństwa przemysłowego. Operator ten będzie świadczył usługi telekomunikacyjne, jak również inne usługi dla wskazanych w ustawie podmiotów. Do ustawy wprowadzono możliwość pierwokupu przez wykonawcę sieci telekomunikacyjnych pozostających we własności Skarbu Państwa lub samorządu terytorialnego. OSSB zostanie zobowiązany do utworzenia spółki kapitałowej, która będzie pełnić funkcje operatora ogólnopolskiej hurtowej sieci, na częstotliwościach z zakresu 703 – 733 MHz oraz 758 – 788 MHz o nazwie Polskie 5G („Spółka Polskie 5G”). Spółka Polskie 5G będzie obowiązana do: 1) oferowania odpłatnych usług telekomunikacyjnych na warunkach hurtowych; 2) udostępniania odpłatnie usług telekomunikacyjnych na rzecz OSSB w celu świadczenia przez niego usług telekomunikacyjnych i innych usług służących zapewnieniu realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, oraz 3) zapewnienia pokrycia całego terytorium kraju zasięgiem sieci hurtowej oraz zapewnienia szczególnego poziomu bezpieczeństwa w interesie publicznym w zakresie sieci oraz usług. Prezes UKE będzie, w drodze decyzji administracyjnej, przydzielał OSSB określony zakres częstotliwości, przeznaczony do użytkowania rządowego. Do decyzji Prezesa UKE odpowiednio będzie należało stosowanie przepisów ustawy Prawo telekomunikacyjne, dotyczących rezerwacji częstotliwości, regulujących między innymi okres, na który jest ona wydawana oraz jej treść. Jednocześnie w decyzji tej Prezes UKE obligatoryjnie określi zobowiązania pokryciowe, czyli nałożone na OSSB wymogi w zakresie pokrycia zasięgiem ruchomych sieci telekomunikacyjnych opartych o te częstotliwości. Przepis ustawy wprowadza możliwość zadecydowania przez niezależnego regulatora rynku telekomunikacyjnego o szczególnym przeznaczeniu częstotliwości z zakresu 713-733 MHz oraz 768-788 MHz. Prezes UKE może przyznać ten zakres widma przedsiębiorcy telekomunikacyjnemu lub konsorcjum przedsiębiorców telekomunikacyjnych w celu świadczenia wyłącznie usług hurtowych. Propozycja ma na celu zapewnienie Prezesowi UKE odpowiednich mechanizmów, które mogą w przyszłości doprowadzić do zintensyfikowania działań mających na celu realizację przez Rzeczpospolitą Polską celów w zakresie zapewnienia dostępu do usług szerokopasmowych każdemu obywatelowi Unii Europejskiej. W ustawie tworzony jest państwowy fundusz celowy – Fundusz Strategicznej Sieci Bezpieczeństwa, którego dysponentem będzie minister właściwy do spraw aktywów państwowych. Wprowadza się także zmiany w ustawie z dnia 2 grudnia 2021 r. o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa w zakresie: 1) umożliwienia przekazywania środków Funduszu Cyberbezpieczeństwa na pokrycie kosztów działań związanych ze zwiększeniem poziomu bezpieczeństwa systemów informacyjnych, jak i systemów infrastruktury krytycznej. Jednoznacznie przesądza się, że przychody Funduszu z budżetu państwa, jak i dofinansowanie udzielone ze środków Funduszu nie są dotacjami w rozumieniu art. 126 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych. Umożliwia się przekazanie środków z Funduszu Cyberbezpieczeństwa na sfinansowanie świadczenia teleinformatycznego w transzach. Wprowadza się obowiązek sporządzenia wniosku o wsparcie z Funduszu na sfinansowanie świadczenia teleinformatycznego w postaci elektronicznej. Reguła ta nie będzie dotyczyła wniosków zawierających informacje niejawne; 2) doprecyzowania przepisów przez wskazanie, że - zgodnie z intencjami prawodawcy - świadczenie teleinformatyczne przyznawane na podstawie art. 5 pkt 1 może dotyczyć wyłącznie osób realizujących zadania w CSIRT GOV, CSIRT MON, CSIRT NASK, organach właściwych do spraw cyberbezpieczeństwa, CSIRT sektorowych, CSIRT Telco, CSIRT INT, urzędzie obsługującym Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, o których mowa odpowiednio w art. 26, art. 36b, art. 41, art. 44, art. 44a lub art. 60 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa; 3) uzupełnienia katalogu podmiotów, zgodnie z którym osoby realizujące zadania z zakresu cyberbezpieczeństwa mogą otrzymać świadczenie teleinformatyczne; 4) wskazania, że świadczenia teleinformatycznego nie wlicza się do podstawy wymiaru składki zdrowotnej; 5) doprecyzowania, że zadaniami z zakresu cyberbezpieczeństwa, są również zadania związane ze zwalczaniem cyberprzestrzępczości.
Organ odpowiedzialny za opracowanie projektu:
MC
Osoba odpowiedzialna za opracowanie projektu:
Janusz Cieszyński Sekretarz Stanu w Kancelarii Prezesa Rady Ministrów
Organ odpowiedzialny za przedłożenie projektu RM:
MC
Planowany termin przyjęcia projektu przez RM:
I/II kwartał 2023 r. ZREALIZOWANY Rada Ministrów przyjęła 6 czerwca 2023 r. z autopoprawkami