Premier, ministrowie i służby ocenią dostawców dla polskich operatorów komórkowych - jest już znana skala ocen

Najważniejsze | Newsy
8 września 2020
autor: Wojciech Piechocki
Opinie: 0
Ministerstwo Cyfryzacji wzmacnia krajowy system cyberbezpieczeństwa

Ministerstwo Cyfryzacji udostępniło projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa. Projekt nie wyklucza żadnego dostawcy, ale precyzuje nowe obowiązki polskich operatorów związane z koniecznością zapewnienia odpowiedniego poziomu cyberbezpieczeństwa.

 

Autorzy projektu przyznają, że wdrożenie nowych zasad wygeneruje po stronie operatorów koszty. Według ministerstwa jednak „podmiot inwestujący we własne cyberbezpieczeństwo zyskuje zaufanie osób trzecich i potencjalnych kontrahentów.
Dostosowanie się do nowych wymogów pozwoli przedsiębiorcom skuteczniej dbać o cyberbezpieczeństwo w swojej działalności, co przełoży się na bezpieczne prowadzenie biznesu i minimalizację ryzyka strat.”

 

Wejście w życie projektowanej regulacji ma stanowić także podstawę do ubiegania się o dodatkowe środki z budżetu państwa.

 

Najważniejszym organem będzie Kolegium do Spraw Cyberbezpieczeństwa.

 

Na czele Kolegium stoi Prezes Rady Ministrów, a w jego skład wchodzą: minister właściwy do spraw wewnętrznych, minister właściwy do spraw informatyzacji, Minister Obrony Narodowej, minister właściwy do spraw zagranicznych, Szef Biura Bezpieczeństwa Narodowego, minister – członek Rady Ministrów właściwy do spraw koordynowania działalności służb specjalnych, a jeżeli nie został wyznaczony – Szef Agencji Bezpieczeństwa Wewnętrznego oraz Sekretarz Kolegium. W posiedzeniach Kolegium będą uczestniczyli także: Dyrektor Rządowego Centrum Bezpieczeństwa, Szef Agencji Bezpieczeństwa Wewnętrznego, Szef Służby Kontrwywiadu Wojskowego i Dyrektor NASK.

 

Kolegium może sporządzić (na wniosek członka Kolegium), ocenę ryzyka dostawcy sprzętu lub oprogramowania.

Ocena będzie zawierała:

 

  • analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania
  • prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, uwzględniającą stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem oraz prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka,
  • prawodawstwo w zakresie ochrony danych osobowych
  • strukturę własnościową dostawcy sprzętu lub oprogramowania,
  • zdolność ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania;
  • liczbę i rodzaje oraz sposób i czas eliminowania wykrytych podatności i incydentów
  • stopień, w jakim dostawca sprzętu lub oprogramowania sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania oraz ryzyka dla procesu wytwarzania i dostarczania sprzętu lub oprogramowania;

 

Finalna ocena ryzyka dostawcy sprzętu lub oprogramowania będzie zawierała ocenę w następującej skali:

 

  • wysokie ryzyko, jeżeli dostawca sprzętu lub oprogramowania stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa i zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe, albo
  • umiarkowane ryzyko, jeżeli dostawca sprzętu lub oprogramowania stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa a zmniejszenie poziomu tego ryzyka możliwe jest przez wdrożenie środków technicznych lub organizacyjnych, albo
  • niskie ryzyko, jeżeli dostawca sprzętu lub oprogramowania stanowi niewielkie zagrożenie dla cyberbezpieczeństwa państwa, albo
  • brak zidentyfikowanego poziomu ryzyka, jeżeli nie stwierdzono zagrożenia dla cyberbezpieczeństwa państwa lub jego poziom jest znikomy.

 

Dostawca sprzętu lub oprogramowania którego dotyczy ocena określająca wysokie ryzyko może odwołać się w terminie 14 dni od publikacji komunikatu o sporządzonej ocenie do Kolegium. Kolegium rozpatruje odwołanie w ciągu 2 miesięcy od otrzymania.

 

W przypadku sporządzenia oceny ryzyka określającej wysokie ryzyko dostawcy sprzętu lub oprogramowania operatorzy:

 

  • nie wprowadzają do użytkowania sprzętu, oprogramowania i usług określonych w ocenie danego dostawcy sprzętu lub oprogramowania;
  • wycofują z użytkowania sprzęt, oprogramowanie i usługi określone w ocenie danego dostawcy sprzętu lub oprogramowania nie później niż 5 lat od dnia ogłoszenia komunikatu o ocenie.

 

W przypadku sporządzenia oceny określającej umiarkowane ryzyko dostawcy sprzętu lub oprogramowania operatorzy:

 

  • nie wprowadzają do użytkowania sprzętu, oprogramowania i usług określonych w ocenie danego dostawcy sprzętu lub oprogramowania;
  • mogą kontynuować użytkowanie dotychczas posiadanych egzemplarzy sprzętu, oprogramowania oraz rodzaju i liczby usług wykorzystywanych przed opublikowaniem komunikatu o ocenie danego dostawcy sprzętu lub oprogramowania.

 

Dodana zostanie administracyjna kara pieniężna nakładana na podmioty krajowego systemu cyberbezpieczeństwa za nie stosowanie się do obowiązków zapisanych powyżej.

W przypadku operatorów nie stosujących się do obowiązków związanych z wysokim ryzykiem dostawcy kara wynosi do 3% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Przy ryzyku umiarkowanym kara wynosi do 1% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Opinie:

Rekomendowane:

Akcje partnerskie: