Bezpieczna przyszłość cyfrowa – regulacje i systemy ochrony w Polsce

Cyberbezpieczeństwo koncentruje się wokół ochrony systemów informatycznych wobec działań niepożądanych, które naruszają poufność, spójność i autentyczność danych oraz powiązanych usług. Stosowanie skutecznych sposobów zabezpieczenia pozwala na uniknięcie zagrożeń dotyczących m.in. identyfikacji elektronicznej, zarządzania tożsamością, danych osobowych, urządzeń mobilnych, stron internetowych, transakcji elektronicznych czy też architektury serwerowej. Głównym celem jest zapewnienie cyberbezpieczeństwa systemu informacyjnego, szczególnie w sektorach świadczących usługi o znaczeniu krytycznym. W Polsce cyberbezpieczeństwo regulowane jest przez Krajowy system cyberbezpieczeństwa w celu ochrony usług oferowanych przez podmioty publiczne oraz przedsiębiorstwa świadczące usługi najważniejsze i cyfrowe.


Przepisy prawne cyberbezpieczeństwo


Przepisy prawne dotyczące cyberbezpieczeństwa zawarte są w ustawie z dnia 5 lipca 2018 roku, stanowiącej wdrożenie Europejskiej Dyrektywy NIS z 6 lipca 2016 roku, mającej na celu ustanowienie wymagań dla państw UE na rzecz ochrony systemów informatycznych na działania naruszające poufność, integralność i autentyczność przetwarzanych danych. Regulacje te dotyczą dostawców usług cyfrowych, operatorów usług kluczowych, podmiotów publicznych, organów adekwatnych działających w obszarze energetyki, transportu, ochrony zdrowia, ekonomii oraz infrastruktury cyfrowej. Przepisom prawnym podlegają również zespoły reagowania na incydenty bezpieczeństwa komputerowego, Pełnomocnik rządu i Kolegium do spraw cyberbezpieczeństwa.


W kontekście kompleksowego podejścia do bezpieczeństwa cyfrowego istotne są również akty prawne w sprawie identyfikacji elektronicznej, sprawie zwalczania niegodziwego traktowania, a także w sprawie progów uznania incydentu, które definiują kryteria klasyfikacji i reagowania na zdarzenia naruszające bezpieczeństwo systemów informacyjnych.


Dostawcy usług kluczowych w krajowym systemie cyberbezpieczeństwa


Cyberbezpieczeństwo dotyczy m.in. dostawców usług kluczowych dla państwa, które w przypadku zakłócenia odporności systemów informatycznych mogłyby ulec pogorszeniu. Szacuje się, iż takich operatorów jest ok. 400. Są oni wyznaczani przez organy adekwatne na podstawie listy usług kluczowych oraz progów skutków zakłóceń, określonych w rozporządzeniu ustawy z zakresu cyberbezpieczeństwa, jak również w sprawie wykazu usług kluczowych. Duże znaczenie ma tu również podejście w zakresie zarządzania istniejącymi ryzykami, które pozwala na identyfikację, ocenę i redukcję zagrożeń mogących wpłynąć na ciągłość działania usług.


KSC dostawców usług cyfrowych


Krajowy system cyberbezpieczeństwa ma na celu zapewnienie ochrony systemów informacyjnych dostawcom usług cyfrowych, np. wyszukiwarki internetowej lub przechowywania danych w tzw. chmurze. Każde z tych przedsiębiorstw zobowiązane jest do zgłaszania niepożądanych incydentów bezpieczeństwa komputerowego do CSIRT.


Przepisy prawne cyberbezpieczeństwo mają na celu ustanowienie wymagań dla podmiotów publicznych, dostawców usług kluczowych, organów adekwatnych i operatorów usług kluczowych na rzecz wdrożenia systemu koordynacji bezpieczeństwem systemów informacyjnych. Warto pamiętać, iż regulacje te ulegają ciągłym aktualizacjom, gdyż cały rynek technologiczny jest bardzo dynamiczny. W tym celu stworzono specjalne szkolenie o cyberbezpieczeństwie infrastruktury krytycznej w świetle regulacji NIS2 i KSC: od strategii do wdrożenia.


Źródło: artykuł partnera, fot. Pixabay/ CC0