Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz niektórych innych ustaw, który trafił właśnie do uzgodnień międzyresortowych, zakłada m.in. rozszerzenie katalogu podmiotów KSC o nowe sektory gospodarki oraz utworzenie dla nich 10 zespołów CSIRT (Computer Security Incident Response Team).
„Zmiany wprowadzone przez dyrektywę NIS 2 oraz pojawiające się nowe cyberzagrożenia powodują konieczność wprowadzenia stosownych zmian w KSC. Jest to podstawowy akt dotyczący cyberbezpieczeństwa w Polsce, który poprzednio wdrożył dyrektywę NIS 1. Istotne jest uspójnienie krajowego systemu cyberbezpieczeństwa z rozwiązaniami europejskimi. Poprzez zmianę KSC wdrożone zostaną także postanowienia Toolboxa 5G” – czytamy w ocenie skutków regulacji (OSR) do projektu.
Nowelizacja ustawy o KSC polega m.in. na rozszerzeniu katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki (ścieki, zarządzanie ICT, przestrzeń kosmiczna, poczta, produkcja, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności).
Planuje się, że zostaną utworzone następujące zespoły CSIRT sektorowe:
Gospodarka – CSIRT produkcja i przestrzeń kosmiczna
Gospodarka wodna – CSIRT woda pitna i ścieki
Informatyzacja – CSIRT infrastruktura cyfrowa/usługi cyfrowe/zarządzanie ICT
Szkolnictwo wyższe i nauka – CSIRT badania naukowe
Rolnictwo – CSIRT produkcja żywności
Transport – CSIRT transport
Zdrowie – CSIRT zdrowie, produkcja chemikaliów i urządzeń medycznych
Energia – CSIRT energia
Klimat – CSIRT gospodarowanie odpadami
Urząd Komunikacji Elektronicznej – CSIRT komunikacja elektroniczna i poczta, wymieniono.
CSIRT KNF będący obecnie sektorowym zespołem cyberbezpieczeństwa stanie się CSIRT sektorowym z dniem wejścia w życie ustawy, podobnie jak Centrum e-Zdrowie będący obecnie sektorowym zespołem cyberbezpieczeństwa. CSIRT NASK oraz CSIRT GOV będą pełnić funkcję CSIRT sektorowych dla podmiotów publicznych w zakresie dotychczasowego constituency. Pozwoli to na zachowanie ciągłości działań w tym obszarze oraz ułatwi podmiotom publicznym dostosowanie się do nowej sytuacji prawnej, wskazano także.
„Dyrektywa NIS 2 wprowadziła nowe rozwiązania w zakresie zgłaszania incydentów poważnych. Zmiany te polegają na m.in. dwuetapowym zgłaszaniu incydentu, tj. w pierwszej kolejności podmiot kluczowy albo podmiot ważny będzie zgłaszał do CSIRT sektorowego wczesne ostrzeżenie o incydencie poważnym (24 godziny od momentu wykrycia), następnie następuje zgłoszenie incydentu poważnego (72 godziny od momentu wykrycia). Natomiast przedsiębiorca telekomunikacyjny zgłasza wczesne ostrzeżenie w nie później niż w ciągu 12 godzin od momentu wykrycia incydentu poważnego. Zgłoszenie wczesnego ostrzeżenia może zawierać wniosek o wskazanie wytycznych dotyczących możliwych do wdrożenia środków ograniczających skutki incydentu poważnego lub o wsparcie techniczne przy obsłudze incydentu. CSIRT sektorowy zobowiązany będzie w terminie 24 godzin udzielić wsparcia zgodnie z treścią wniosku” – wyjaśniono w OSR.
Źródło: ISBnews
