Operatorzy będą mieli 4 lata na usunięcie sprzętu dostawcy wysokiego ryzyka

Ministerstwo Cyfryzacji zaprezentowało projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Ten projekt uwzględnia już przepisy unijnej dyrektywy NIS2, do implementacji, której Polska jest zobowiązana.

Ministerstwo Cyfryzacji chce, aby nowe regulacje zostały przyjęte jeszcze w tym roku.

Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązuje do 1 sierpnia 2018 r.

Projektowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej.

Celem Krajowego Systemu Cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa -  niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług. 

System obejmuje operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.

Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego.

Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. 

W projekcie KSC jest zapis, że minister właściwy do spraw informatyzacji, w celu ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, może wszcząć postępowanie w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka.

Minister właściwy do spraw informatyzacji, w drodze decyzji, uznaje dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi.

Przedsiębiorcy telekomunikacyjni będą wówczas zobowiązani do wycofania sprzętu takiego dostawcy w ciągu 4 lat.

Do czasu wycofania sprzętu lub oprogramowania dostarczanych przez dostawcę wysokiego ryzyka dopuszcza się naprawy, modernizacje, wymiany elementów, aktualizacje, jeżeli jest to niezbędne dla zapewnienia odpowiedniej jakości i ciągłości świadczonych usług.

Z projektem można zapoznać się tutaj