Tak zdecydowała Rada Ministrów, która przyjęła projekt ustawy o krajowym systemie cyberbezpieczeństwa, przedłożony przez ministra cyfryzacji.

Nowe przepisy mają umożliwić zbudowanie krajowego systemu cyberbezpieczeństwa, który zapewni niezakłócone świadczenie usług:

  • kluczowych z punktu widzenia państwa i gospodarki,
  • cyfrowych — przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do ich świadczenia.

Podjęte działania mają spowodować, że Polska w sposób bardziej skoordynowany będzie przeciwdziałać zagrożeniom płynącym z cyberprzestrzeni.

Krajowy system cyberbezpieczeństwa będzie obejmował:

  • operatorów usług kluczowych (m.in. z sektorów: energetycznego, transportowego, bankowości i infrastruktury rynków finansowych, zaopatrzenia w wodę, zdrowotnego),
  • dostawców usług cyfrowych,
  • zespoły CSIRT poziomu krajowego (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego),
  • sektorowe zespoły cyberbezpieczeństwa,
  • podmioty świadczące usługi z zakresu cyberbezpieczeństwa,
  • organy właściwe do spraw cyberbezpieczeństwa (odpowiedzialne za nadzór nad operatorami usług kluczowych) oraz
  • Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (służący komunikacji w ramach współpracy w Unii Europejskiej w tej dziedzinie).

Projekt ustawy określa:

  • kompletny, transparentny i kompleksowy system reagowania na incydenty i włączenie w ten proces wszystkie zainteresowane podmioty;
  • zadania CSIRT, które będą odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów;
  • kategorie incydentów, które są zróżnicowane w zależności od rodzaju podmiotu, który je zgłasza i stopnia ich oddziaływania (progów);
  • organy właściwe ds. cyberbezpieczeństwa, odpowiedzialne za sprawowanie nadzoru wobec operatorów usług kluczowych w poszczególnych sektorach wymienionych w dyrektywie 2016/1148/UE.

Minister ds. informatyzacji będzie m.in.:

  • monitorował wdrażanie Strategii Cyberbezpieczeństwa,
  • prowadził wykaz operatorów usług kluczowych i politykę informacyjną dotyczącą krajowego systemu cyberbezpieczeństwa,
  • realizował obowiązki sprawozdawcze wobec instytucji unijnych,
  • prowadził Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, który zapewni m.in. odbieranie i przekazywanie zgłoszeń incydentów poważnych oraz istotnych z innych krajów członkowskich UE, a także współpracę z Komisją Europejską.

Założono także powołanie pełnomocnika rządu ds. cyberbezpieczeństwa (będzie powoływany i odwoływany przez premiera, ma podlegać Radzie Ministrów) oraz Kolegium ds. cyberbezpieczeństwa (przewodniczącym ma być premier).

Nowe przepisy mają obowiązywać po 14 dniach od daty ich ogłoszenia w Dzienniku Ustaw (a do 9 listopada 2018 r. powinny zostać wydane decyzje administracyjne o uznaniu za operatora usługi kluczowej).