We wcześniejszych wersjach projektu organ Produkcja przemysłowa we Francji wzrosła w sierpniu-Forex właściwy do spraw cyberbezpieczeństwa nie miał takich samodzielnych uprawnień. Na początku 2023 roku weszła w życie dyrektywa NIS 2, która ma na nowo uregulować kwestie cyberbezpieczeństwa w Unii Europejskiej. Zastąpi ona obecnie obowiązującą dyrektywę NIS, zaimplementowaną w Polsce przede wszystkim w ustawie o krajowym systemie cyberbezpieczeństwa. Mimo że termin implementacji dyrektywy NIS 2 upływa dopiero 17 października 2024 roku, a precyzyjny zakres regulacji w istotnym zakresie będzie zależał od decyzji polskiego ustawodawcy, to na wiele pytań związanych z przyszłymi obowiązkami możemy odpowiedzieć już teraz. Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego.
W związku z tym, rozszerza on krąg podmiotów objętych przepisami ustawy oraz katalog obowiązków, które powinny one spełniać. W nowelizacji przewidziano również utworzenie nowych struktur realizujących zadania z zakresu cyberbezpieczeństwa oraz wdrożenie nowych kanałów komunikacyjnych. Nowe przepisy uszczegóławiają także zasady w zakresie nadzoru i egzekwowania przepisów.
Zmiany w środkach nadzoru (Art. 53 ust. 9 i Art. 53e)
Nowelizacja przewiduje również odrębny harmonogram rejestracji w wykazie podmiotów kluczowych i podmiotów ważnych. ACM Forex Broker-przegląd ACM i informacje W ślad za Dyrektywą NIS, w Nowelizacji postuluje się rozszerzenie katalogu sektorów i podmiotów objętych systemem cyberbezpieczeństwa. Do działań w ramach ostatniego punktu można zaliczyć m.in. Wykonywanie oceny bezpieczeństwa oraz identyfikowanie podatności systemów dostępnych w otwartych sieciach teleinformatycznych i powiadamianie ich właścicieli o wykrytych podatnościach oraz cyberzagrożeniach. Dostosowanie polskiego systemu cyberbezpieczeństwa do NIS2 to krok w stronę lepszej ochrony infrastruktury i usług kluczowych.
ROZPORZĄDZENIE MINISTRA CYFRYZACJI
- Natomiast była minister cyfryzacji Anna Streżyńska oceniła kolejną wersję nowelizacji, stwierdzając, że „Ministerstwo Rozwoju i Technologii odrobiło pracę domową i przeczytało NIS2 ze zrozumieniem, a Ministerstwo Cyfryzacji (…) delikatnie mówiąc, mija się z prawdą”.
- Ma ona obejmować sektory kluczowe i ważne.
- Nowelizacja uKSC wprowadza także przepisy dotyczące odpowiedzialności osobistej kierowników podmiotów kluczowych i ważnych.
W Ministerstwie Cyfryzacji trwają konsultacje z ekspertami i przedstawicielami rynku, aby zapewnić sprawiedliwe i skuteczne rozwiązania. Jak podkreśla ekspert, mechanizmy obrony przed cyberatakami, np. Polecenie zabezpieczające, są stosowane od lat w praktyce IT i nie mają nic wspólnego z cenzurą. To narzędzie pozwalające operatorom blokować ruch pochodzący z podejrzanych źródeł w celu ochrony systemów przed atakami DDoS. To jeden z najczęściej podnoszonych zarzutów. Jak tłumaczy Marcin Wysocki, proces legislacyjny jest złożony – ustawa obejmuje sto kilkadziesiąt stron przepisów i wymaga uzgodnień między ministerstwami, instytucjami unijnymi i przedstawicielami biznesu.
Chiński sprzęt do wymiany? Minister mówi jasno, kto za to zapłaci
Nie będą zobligowane do przekazywania wczesnych ostrzeżeń, sprawozdania okresowego i sprawozdania końcowego. 2 Wersję projektu przedstawioną w październiku ubiegłego roku opisywaliśmy TUTAJ. 2) czasowego ograniczenia ruchu sieciowego z adresów IP lub adresów URL, zidentyfikowanego jako przyczyna incydentu, wchodzącego do infrastruktury tego podmiotu. Minister cyfryzacji Krzysztof Gawkowski wypowiedział się w kwestii wymiany chińskiego sprzętu wykorzystywanego przez operatorów sieci komórkowych.
Dostawcy wysokiego ryzyka
2 pkt 6, i jednostkę oceniającą zgodność. Produkt ICT, usługa ICT, proces ICT lub usługa zarządzana w zakresie bezpieczeństwa w ramach oceny zgodności, o której mowa w ust. 1, podlegają ocenie zgodności ze szczegółowymi wymogami określonymi w danym krajowym schemacie certyfikacji cyberbezpieczeństwa na podstawie umowy zawartej przez dostawcę i jednostkę oceniającą zgodność. Dyrektywa NIS 2 przekształca dotychczasowe ramy systemu cyberbezpieczeństwa w Unii Europejskiej.
Wprowadzone zmiany w praktyce mogą oznaczać, że mniejsze podmioty będą zobowiązane do raportowania jedynie tych naruszeń, Najlepszy wskaźnik strzałki dla Forex które realnie wpływają na ich funkcjonowanie” – twierdzi Aleksander Kostuch. Nowelizacja przewiduje, że podmioty ważne-publiczne będą miały uproszczone obowiązki w zakresie zgłaszania incydentów. Natomiast była minister cyfryzacji Anna Streżyńska oceniła kolejną wersję nowelizacji, stwierdzając, że „Ministerstwo Rozwoju i Technologii odrobiło pracę domową i przeczytało NIS2 ze zrozumieniem, a Ministerstwo Cyfryzacji (…) delikatnie mówiąc, mija się z prawdą”. „Ostatnio Polska dostała wysokie kary za niewdrożenie EKŁE (Europejskiego Kodeksu Łączności Elektronicznej) poprzez nieuchwalenie Prawa komunikacji elektronicznej.
Samorządowe jednostki budżetowe, zakłady budżetowe oraz instytucje kultury, co oznacza, że będą objęte mniej restrykcyjnymi wymaganiami niż podmioty publiczne zaklasyfikowane do podmiotów kluczowych. W przypadku wydania decyzji o uznaniu za dostawcę wysokiego ryzyka, podmioty KSC oraz przedsiębiorcy telekomunikacyjni, będący dużymi przedsiębiorcami, będą zobowiązani do wycofania z użycia sprzętu lub oprogramowania tego dostawcy. Co do zasady będą mieli na to siedem lat. Jeżeli jednak produkt, usługa lub proces ICT znajdzie się w zakresie objętym wykazem kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług (planowany załącznik nr 3 do ustawy), okres ten skróci się do pięciu lat. Po przyjęciu aktualnej wersji projektu, istotna zmiana czeka jednostki funkcjonujące jako CSIRT poziomu krajowego 6. Część ich kompetencji przekazana zostanie CSIRT sektorowym (lub podsektorowym).
Dyrektywa NIS2 stanowi natomiast ogólnie, o bezpośrednich dostawcach lub usługodawcach podmiotów kluczowych i ważnych, którzy niekoniecznie muszą być dostawcami rozwiązań ICT. Co więcej, w kilku przypadkach projekt uKSC rozszerza w stosunku do dyrektywy NIS2 rozumienie sektorów objętych regulacjami – poszerzając poza niezbędne minimum wynikające z dyrektywy NIS2 kategorie podmiotów, które składają się na krajowym system cyberbezpieczeństwa. W odniesieniu do sektora farmaceutycznego, gdzie projekt uKSC włącza w ten sektor również apteki – nie ujęte w dyrektywie NIS2. Wprowadzając rozróżnienie większy nacisk położono na jednostki faktycznie mające strategiczne znaczenie dla bezpieczeństwa państwa, co wydaje się słusznym kierunkiem” – uważa Aleksander Kostuch, inżynier Stormshield.
- Temat z powrócił w projekcie ustawy o ochronie ludności, ale obecnie nie jest na tym etapie co np.
- Propozycja przepisów wprowadzających System Bezpiecznej Łączności Państwowej znalazła się natomiast w projekcie ustawy o ochronie ludności i obronie cywilnej (UD70), przedstawionej przez Ministra Spraw Wewnętrznych i Administracji.
- Według Gawkowskiego wycofanie sprzętu sieciowego od dostawców wysokiego ryzyka zajęłoby od 4 do nawet 7 lat.
Względem podmiotu ważnego czynności nadzorcze można prowadzić jedynie nadzór następczy (w razie podejrzenia nieprawidłowości), a względem podmiotu kluczowego również prewencyjny (również w braku podejrzenia nieprawidłowości). Nowelizacja wprowadza obowiązek samorejestracji podmiotów kluczowych i ważnych, która będzie dokonywana w wykazie podmiotów kluczowych i ważnych, prowadzonym przez ministra właściwego ds. Informacje uzyskane w wyniku oceny stanowić będą tajemnicę prawnie chronioną, a CSIRT nie będzie mógł wykorzystać ich do realizacji innych ustawowych zadań. Wprowadza się jednak zasadę informowania ministra właściwego do spraw informatyzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa o ujawnionych podczas oceny bezpieczeństwa podatnościach, które mogą występować w systemach informacyjnych innych podmiotów. Zespołowi CSIRT nadano dwa ważne uprawnienia, które są niezbędne do skutecznego przeprowadzenia oceny bezpieczeństwa. Po drugie, CSIRT będzie mógł zyskać dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, a także uzyskać dostęp do całości lub części systemu informacyjnego.
w sprawie wymagań technicznych i eksploatacyjnych dla
Wynikają wprost z tego, czy oszacowania dokonywano na gruncie dyrektywy NIS2, czy już z uwzględnieniem rozszerzonego zakresu podmiotowego wskazanego w projekcie uKSC. Warto podkreślić ten fakt, ponieważ, obecnie samych zarejestrowanych przedsiębiorców telekomunikacyjnych jest według rejestru UKE 3748. Podmiotami kluczowymi na gruncie dyrektywy NIS2 są podmioty duże (zatrudniające co najmniej 250 pracowników lub których roczny obrót przekracza 50 mln EUR / roczna suma bilansowa przekracza 43 mln EUR), działające w sektorach kluczowych. Podział podmiotów publicznych na kluczowe i ważne (wcześniej wszystkie podmioty publiczne były traktowane jako kluczowe) to znacząca zmiana, szczególnie w odniesieniu do JST. Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz niektórych innych ustaw ma implementować do polskiego porządku prawnego dyrektywę NIS2.
W trakcie trwania incydentu, na wniosek odpowiedniego CSIRT podmioty kluczowe lub ważne mogą zostać zobowiązane również do złożenia sprawozdania okresowego z obsługi incydentu poważnego. Zgłoszenie (właściwe) incydentu musi zostać przesłane w ciągu 72 godzin od jego wykrycia. Jednak w przypadku dostawców usług zaufania czas ten na gruncie nowelizacji został skrócony do 24 godzin. Polski ustawodawca, oprócz zmian w definicji incydentu oraz incydentu poważnego, które rozszerzają pojęcie incydentu w stosunku do tego proponowanego przez dyrektywę NIS2, nie wprowadził wielu zmian w zakresie zgłaszania incydentów. Projekt nowelizacji uKSC zakłada natomiast, że również przedsiębiorstwa duże działające w sektorach ważnych będą podmiotami kluczowymi. „To również zmiana na dobre, gdyż JST odciążane są z nadmiernych formalnych wymagań, co pozwala im skupić się na najistotniejszych zagrożeniach.