Krajowy System Cyberbezpieczeństwa. Krzysztof Silicki p.o. Dyrektora NASK PIB, Wiceprzewodniczący Rady Zarządzającej ENISA

Podobne dokumenty
Ustawa o Krajowym Systemie Cyberbezbieczeństwa

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Analiza Ustawa o krajowym systemie cyberbezpieczeństwa 27 sierpnia 2018

Ustawa o krajowym systemie cyberbezpieczeństwa

Warszawa, dnia 13 sierpnia 2018 r. Poz. 1560

USTAWA. z dnia. o krajowym systemie cyberbezpieczeństwa. Rozdział 1. Przepisy ogólne

DZIENNIK URZĘDOWY. Warszawa, 17 kwietnia 2019 r. Poz. 20. ZARZĄDZENIE Nr 20 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Funkcjonowanie KSC oraz plany jego rozwoju. Tomasz Wlaź

z dnia. o krajowym systemie cyberbezpieczeństwa

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Dyrektywa NIS i jej znaczenie dla cyberbezpieczeństwa

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

z dnia. o krajowym systemie cyberbezpieczeństwa 1) Rozdział 1 Przepisy ogólne

Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku.

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Polityka Ochrony Cyberprzestrzeni RP

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA

Uzasadnienie I. Potrzeba i cel regulacji

Tytuł prezentacji. Naukowa i Akademicka Sieć Komputerowa Transgraniczny Węzeł eidas Commonsign październik 2016 r. WIEDZA I TECHNOLOGIA

Dr inż. Witold SKOMRA

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

NARODOWA PLATFORMA CYBERBEZPIECZEŃ STWA

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r.

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

INFORMACJA BANKU SPÓŁDZIELCZEGO W BIAŁEJ PODLASKIEJ

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

FORMULARZ OFERTY. ulica, nr domu, kod pocztowy, miejscowość. województwo: telefon/ telefax:.. Internet:

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

INFORMACJA POWIATOWEGO BANKU SPÓŁDZIELCZEGO W OPOLU LUBELSKIM

ZARZĄDZANIE KRYZYSOWE W ŚWIETLE NOWYCH UWARUNKOWAŃ PRAWNYCH

FORMULARZ OFERTY. ulica, nr domu, kod pocztowy, miejscowość. województwo: telefon/ telefax:.. Nr identyfikacyjny NIP:.. REGON:...

Działanie 3.2 Tworzenie i rozwój mikroprzedsiebiorstw

FORMULARZ OFERTY. ... (podpis) 1. Oferujemy wykonanie usługi objętej zamówieniem, zgodnie z wymogami Opisu przedmiotu zamówienia. a)...

Informacja Banku Spółdzielczego w Chojnowie

Budowanie kompetencji cyberbezpieczeństwa w administracji

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

INFORMACJA BANKU SPÓŁDZIELCZEGO W JEDWABNEM

Projekt załącznika do ustawy z dnia. (poz..) SEKTORY I PODSEKTORY DO CELÓW IDENTYFIKACJI OPERATORÓW USŁUG KLUCZOWYCH

z dnia 2017 r. w sprawie funkcjonowania schematu płatniczego

DZIENNIK URZĘDOWY. Warszawa, dnia 15 lutego 2019 r. Poz. 7. ZARZĄDZENIE Nr 7 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

INFORMACJA BANKU SPÓŁDZIELCZEGO GRODKÓW-ŁOSIÓW z siedzibą w Grodkowie

Informacja Banku Spółdzielczego w Nowym Dworze Mazowieckim wynikająca z art. 111a ustawy Prawo bankowe według stanu na 31 grudnia 2017 roku

Od ODO do RODO. Informacje o usłudze. 699,00 zł. Czy usługa może być dofinansowana? pracowników. Dostępność usługi

INFORMACJA BANKU SPÓŁDZIELCZEGO W ŁAŃCUCIE

INFORMACJA BANKU SPÓŁDZIELCZEGO W JEDWABNEM

FORMULARZ OFERTOWY wzór

Cybersecurity Forum 2018 SPOTKANIE MENADŻERÓW CYBERBEZPIECZEŃSTWA

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego

UCHWAŁA NR... R A I) Y M I N I S T R O W. z dnia r. w sprawie wyznaczenia Jednostki Krajowej CEPOL-u

Kodeks Cyfrowy. zakres regulacji / wstępna koncepcja /

Projekt ustawy o krajowym systemie cyberbezpieczeństwa. Stanowisko Instytutu Kościuszki. Listopad 2017 Kraków

Istotne zmiany w przepisach podatkowych w 2017 ebook cz.2

(Akty ustawodawcze) DYREKTYWY

W wykonaniu obowiązków wynikających z właściwych przepisów krajowych oraz unijnych przesyłamy powiadomienie dotyczące:

INFORMACJA BANKU SPÓŁDZIELCZEGO W KOŻUCHOWIE

Biuletyn NASK. Strategia. Policy. Rekomendacje.

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

Warszawa, dnia 4 lutego 2015 r. Poz. 33. DECYZJA Nr 35/MON MINISTRA OBRONY NARODOWEJ. z dnia 4 lutego 2015 r.

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Rozporządzenie Rady Ministrów w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Wdrożenie wymagań ustawy o krajowym systemie cyberbezpieczeństwa jako operator usługi kluczowej - omówienie działań

PL Zjednoczona w różnorodności PL A8-0206/618

USTAWA z dnia 6 grudnia 2008 r. o zmianie ustawy o wspieraniu rozwoju obszarów wiejskich z udziałem środków

INFORMACJA BANKU SPÓŁDZIELCZEGO GRODKÓW-ŁOSIÓW z siedzibą w Grodkowie

Warszawa, dnia 17 marca 2017 r. Poz. 82

Zgłaszanie przypadków nieprawidłowości i nadużyć finansowych do Komisji Europejskiej w Polsce

Ochrona infrastruktury krytycznej

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

System kontroli wewnętrznej w Banku Spółdzielczym w Głogowie Małopolskim

INFORMACJA MAZOWIECKIEGO BANKU SPÓŁDZIELCZEGO W ŁOMIANKACH

z dnia stycznia 2017 r. w sprawie funkcjonowania systemu płatności

SYSTEM WYMIANY INFORMACJI BEZPIECZEŃSTWA ŻEGLUGI (SWIBŻ)

Poz. 237 KOMUNIKAT MINISTRA SPRAWIEDLIWOŚCI. z dnia 1 grudnia 2015 r.

Załącznik do karty usługi WUK-I ,9. załącznik 1. (imię i nazwisko) (adres) (PESEL) (Nr certyfikatu kompetencji zawodowych) OŚWIADCZENIE

Szkolenie otwarte 2016 r.

System kontroli wewnętrznej w Banku Spółdzielczym w Lubaczowie

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Ministerstwo Cyfryzacji

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

Wniosek pracodawcy 1 o dofinansowanie kształcenia ustawicznego z KFS

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Informacje niejawne i ich podział (oprac. Tomasz A. Winiarczyk)

Polityka wynagrodzeń w Banku Spółdzielczym w Bieczu

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

Transkrypt:

Krajowy System Cyberbezpieczeństwa. Krzysztof Silicki p.o. Dyrektora NASK PIB, Wiceprzewodniczący Rady Zarządzającej ENISA

Ustawa o Krajowym Systemie Cyberbezpieczeństwa Ustawa o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. 2018 poz. 1560) obowiązuje od 28 sierpnia 2018 roku zapewnia implementację dyrektywy NIS*, ustanawia ramy prawne funkcjonowania Krajowego Systemu Cyberbezpieczństwa (KSC), - w wielu kluczowych sektorach: energia, bankowość/finanse, transport, zdrowie, rozszerza obszar oddziaływania w stosunku do dyrektywy NIS, np.: - włącza sektor administracji publicznej, - włącza (pośrednio) sektor telekomunikacyjny, - nakłada obowiązek zgłaszania poważnych incydentów które MOGĄ spowodować negatywny skutek (nie tylko te, które coś spowodowały), Implementacja Dyrektywy NIS to istotny krok działań zmierzających do podniesienia poziomu cyberbezpieczeństwa w Europie. * Dyrektywa Parlamentu Europejskiego i Rady UE 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.

Cyberbezpieczeństwo a regulacje Pakiet telekomunikacyjny UE Prawo telekomunikacyjne Dyrektywa NIS Ustawa o Krajowym Systemie Cyberbezpieczeństwa GDPR RODO e-idas Ustawa o usługach zaufania i identyfikacji elektronicznej PSD2 Ustawa o usługach płatniczych

W planach UE: Cybersecurity Act Propozycja UE dotyczy powstania w UE wspólnego systemu certyfikacji cyberbezpieczeństwa produktów, usług i procesów Commission requests ENISA ENISA drafts scheme involving all stakeholders and ECCG Commission adopts scheme by means of implementing acts MS or ECCG propose to Commission the drafting of a scheme

Wracając do Dyrektywy NIS Wybrane obowiązki nałożone na państwa członkowskie: Identyfikacja operatorów usług kluczowych w kilku sektorach oraz określenie wymagań bezpieczeństwa teleinformatycznego. Wyznaczenie organów właściwych dla operatorów usług kluczowych i dostawców usług cyfrowych. Wyznaczenie pojedynczego punktu kontaktowego. Wyznaczenie CSIRT* dla bezpieczeństwa operatorów usług kluczowych i dostawców usług cyfrowych (min. zgłaszanie incydentów). Wymiana informacji i raportowanie na poziomie UE na temat poważnych incydentów u operatorów usług kluczowych oraz istotnych incydentów u dostawców usług cyfrowych. Przyjęcie krajowej strategii bezpieczeństwa sieci i informacji. * zespół reagowania na incydenty bezpieczeństwa komputerowego

Ustawa o Krajowym Systemie Cyberbezpieczeństwa Celem wprowadzenia ustawy o Krajowym Systemie Cyberbezpieczeństwa, było również: - wyraźne rozdzielenie obowiązków pomiędzy poszczególne CSIRT poziomu krajowego, - ustanowienie nadzoru w zakresie cyberbezpieczeństwa, - stworzenie polityczno strategicznych ram zarządzania cyberbezpieczeństwem (strategia cyberbezpieczeństwa RP, powołanie Pełnomocnika i Kolegium ds. Cyberbezpieczeństwa).

Ustawa o KSC: definicje incydentu Pojęcia dotyczące incydentu: Incydent zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo, incydent krytyczny incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV, incydent poważny incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej, incydent istotny incydent, który ma istotny wpływ na świadczenie usługi cyfrowej w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ (Dz. Urz. UE L 26 z 31.01.2018 r., str. 48), zwanego rozporządzeniem wykonawczym 2018/151,

Ustawa o KSC: definicje dot. incydentów incydent w podmiocie publicznym incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny, obsługa incydentu czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych, ograniczenie skutków incydentu, zarządzanie incydentem obsługę incydentu, wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowanie wniosków z obsługi incydentu.

Podstawowe zadania CSIRT CSIRTy: przekazują informacje dotyczące incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa; wydają komunikaty o zidentyfikowanych zagrożeniach cyberbezpieczeństwa. CSIRTy monitorują zagrożenia cyberbezpieczeństwa i incydenty na poziomie krajowym; reagują na zgłoszone incydenty; dokonują szacowania ryzyka związanego z ujawnionym zagrożeniem cyberbezpieczeństwa oraz zaistniałymi incydentami; współpracują z innymi państwami UE w zakresie wymiany informacji o incydentach poważnych i istotnych; CSIRT w uzasadnionych przypadkach, może zapewnić wsparcie w obsłudze incydentów. CSIRT może przekazywać informacje o podatnościach i sposobie ich usunięcia w wykorzystywanych technologiach.

CSIRT-y poziomu krajowego Dyrektywa NIS daje państwom członkowskim swobodę w zakresie liczby powołanych CSIRT, z zastrzeżeniem, że operatorzy usług kluczowych i dostawcy usług cyfrowych muszą mieć wyznaczony CSIRT do którego będą raportować. Ustawa o KSC wyznacza trzy CSIRT poziomu krajowego: - CSIRT NASK w strukturach Państwowego Instytutu Badawczego NASK, - CSIRT GOV w strukturach Agencji Bezpieczeństwa Wewnętrznego, - CSIRT MON w strukturach Ministerstwa Obrony Narodowej (MON). Każdy CSIRT poziomu krajowego ma jasno określone constituency zakres podmiotów, które zobowiązane są raportować i którym świadczy on wsparcie.

CSIRT-y POZIOMU KRAJOWEGO CSIRT MON koordynuje obsługę incydentów zgłaszanych przez podmioty podległe Ministrowi Obrony Narodowej i przedsiębiorstwa o szczególnym znaczeniu gospodarczo obronnym. CSIRT GOV koordynuje incydenty zgłaszane przez administrację rządową, Narodowy Bank Polski, Bank Gospodarstwa Krajowego oraz operatorów infrastruktury krytycznej. CSIRT NASK koordynuje natomiast incydenty zgłaszane przez pozostałe podmioty, w tym m. in. operatorów usług kluczowych*, dostawców usług cyfrowych, samorząd terytorialny, osoby fizyczne. W przypadku incydentów o charakterze terrorystycznym właściwe są CSIRT GOV i CSIRT MON**. * nie będących operatorami infrastruktury krytycznej ** zgodnie z zapisami ustawy o działaniach antyterrorystycznych i ustawy o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego.

Architektura KSC ARCHITEKTURA KRAJOWEGO SYSTEMU CYBERBEPZIECZEŃSTWA Współpraca Międzynarodowa PPK innych krajów Grupa Współpracy Prezes Rady Ministrów Kolegium ds. cyberbezpieczeńst wa Pełnomocnik ds. cyberbezpieczeńst wa Pojedynczy Punkt Kontaktowy/MC Sektor /Podsektor Bankowy, infrastruktura rynków finansowych Energia Organy właściwe ds. cyberbezpieczeńst wa KNF ME Zespoły CSIRT poziomu krajowego Infrastruktura cyfrowa i dostawcy usług cyfrowych MC SIEĆ CSIRT CSIRT MON CSIRT GOV CSIRT NASK Transport i transport wodny Ochrona Zdrowia MliR + MGMiŻŚ MZ Współpraca Krajowa Zaopatrzenia w wodę pitną i jej dystrybucję MŚ Organy ścigania Organy właściwe ds. ochrony danych osobowych Sektorowe Zespoły Cyberbezpieczeńst wa Podmioty świadczące usługi cyberbezpieczeńst wa Obywatele UKE Administracja Publiczna Sektor telekomunikacyjn y

Architektura KSC warstwa operacyjna i strategiczna Prezes Rady Ministrów Kolegium ds. cyberbezpieczeństwa Pełnomocnik ds. cyberbezpieczeństwa Pojedynczy Punkt Kontaktowy/MC Poszczególne CSIRT poziomu krajowego CSIRT MON CSIRT GOV CSIRT NASK Sektorowe Zespoły Cyberbezpieczeństwa Podmioty świadczące usługi cyberbezpieczeństwa

Architektura KSC organizacja w sektorach SEKTOR /PODSEKTOR Bankowy, infrastruktura rynków finansowych ORGANY WŁAŚCIWE DS. CYBERBEZPIECZEŃSTWA KNF Energia ME Infrastruktura cyfrowa i dostawcy usług cyfrowych MC Transport i transport wodny MliR + MGMiŻŚ Ochrona Zdrowia Zaopatrzenia w wodę pitną i jej dystrybucję MZ MŚ Administracja Publiczna Obywatele Sektor telekomunikacyjny UKE

Architektura KSC współpraca Współpraca Międzynarodowa PPK innych krajów Pojedynczy Punkt Kontaktowy / Minister ds. Informatyzacji Grupa Współpracy SIEĆ CSIRT Współpraca Krajowa CSIRT poziomu krajowego Organy ścigania Organy właściwe ds. ochrony danych osobowych

OPERATORZY USŁUG KLUCZOWYCH Operatorzy Usług Kluczowych to firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Usługa kluczowa jest zależna od systemów informatycznych*. Ustawa wskazuje sektory, w których dokonana zostanie identyfikacja operatorów usług kluczowych. Są to sektor energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej**. * Operatorzy usług kluczowych (OUK) nie są więc tożsami z operatorami infrastruktury krytycznej (IK). Kwestie ochrony infrastruktury krytycznej regulowane są na mocy ustawy z 27 kwietnia 2007 roku o zarządzaniu kryzysowym. Zawarta tam definicja określa Infrastrukturę Krytyczną (IK), jako systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. ** W ramach infrastruktury cyfrowej wymieniono Punkty Wymiany Ruchu Internetowego, rejestry nazw domen najwyższego poziomu i usługi DNS.

OPERATORZY USŁUG KLUCZOWYCH Identyfikacji operatorów usług kluczowych dokonają organy właściwe*, które wydadzą w tym zakresie decyzję administracyjną**. Podstawą do wydania decyzji są następujące kryteria: - podmiot świadczy usługę kluczową w jednym z sektorów, - świadczenie usługi zależy od systemów informacyjnych, - wystąpienie incydentu miałoby istotny skutek zakłócający dla świadczenia usługi kluczowej. Dz. U. 2018 poz. 1806 Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. * art. 5 Ustawy o Krajowym Systemie Cyberbezpieczeństwa. ** przy czym jeśli dany operator został już wcześniej zidentyfikowany jako operator infrastruktury krytycznej, realizowane przez niego obowiązki wynikające z Ustawy o zarządzaniu kryzysowym, takie jak przygotowanie dokumentacji bezpieczeństwa zostaną uznane za zrealizowane.

PODSTAWOWE OBOWIĄZKI OPERATORÓW USŁUG KLUCZOWYCH Operatorzy usług kluczowych zobowiązani są: 1. Wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym, wykorzystywanym do świadczenia usługi kluczowej zapewniający: prowadzenie systematycznego szacowania i zarządzania ryzykiem wdrożenie proporcjonalnych do oszacowanego ryzyka środków bezpieczeństwa (technicznych i organizacyjnych - bezpieczna eksploatacja systemu, - bezpieczeństwo fizyczne systemu (w tym kontrola dostępu), - bezpieczeństwo i ciągłość dostaw usług wpływajacyh na świadczenie usługi - utrzymanie planów działania umożliwiających ciągłość świadczenia usługi, - ciągłe monitorowanie systemu zapewniającego świadczenie usługi, - zarządzanie incydentami. 2. Stosować środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz zarządzać incydentami 3. Zgłaszać incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;

OBOWIĄZKI OPERATORÓW USŁUG KLUCZOWYCH Obsługa i zgłaszanie incydentów: Klasyfikuje incydent na podstawie kryteriów określonych przez Radę Ministrów w drodze rozporządzenia * Współdziałanie w przypadku zakwalifikowania incydentu jako poważny - zgłoszenie do właściwego CSIRT nie później niż w ciągu 24 godzin od momentu wykrycia, współdziałanie z CSIRT w ramach obsługi incydentu wraz z zapewnieniem odpowiedniego dostępu do informacji, usunięcie podatności systemu. W przypadku powołania sektorowego zespołu cyberbezpieczeństwa operator dodatkowo przekazuje zgłoszenie do zespołu. Współdziała z zespołem wysyłając niezbędne dane i zapewnia zespołowi dostęp do informacji o rejestrowanych incydentach. * (Dz. U. 2018 poz. 1806) Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych.

OBOWIĄZKI OPERATORÓW USŁUG KLUCZOWYCH Operator ma obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej raz na 2 lata*, przy czym pierwszy audyt powinien zostać przeprowadzony w ciągu roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Pisemne sprawozdanie z audytu wraz z dokumentacją jest przechowywane przez operatora i może być udostępnione na uzasadniony wniosek organu właściwego do spraw cyberbezpieczeństwa, Dyrektora RCB i Szefa ABW. Organy właściwe do spraw cyberbezpieczeństwa są upoważnione do nadzoru operatorów usług kluczowych w zakresie wynikających z ustawy obowiązków, dotyczących przeciwdziałania zagrożeniom cyberbezpieczeństwa i zgłaszania incydentów poważnych. W ramach nadzoru organy właściwe mogą przeprowadzać kontrolę, a także nakładać kary pieniężne. *wytyczne do audytu zostały określone w Ustawie.

OBOWIĄZKI DOSTAWCÓW USŁUG CYFROWYCH Do usług cyfrowych zaliczane są: internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Zgodnie z art. 17 ustawy Dostawcą usługi cyfrowej (DSP) jest osoba prawna albo jednostka organizacyjna świadcząca usługę cyfrową, która: - nie posiada osobowości prawnej, - ma siedzibę lub zarząd na terytorium Polski lub, - ma przedstawiciela, który prowadzi jednostkę organizacyjną na terytorium RP. Z zakresu ustawy zostały wyjęte małe i mikroprzedsiębiorstwa*. *Art. 104 ustawy o swobodzie gospodarczej z dnia 2 lipca 2004 r. określa mikroprzedsiębiorcę jako przedsiębiorcę, który w co najmniej jednym z dwóch ostatnich lat obrotowych zatrudniał średniorocznie mniej niż 10 pracowników oraz osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz operacji finansowych nieprzekraczający równowartości w złotych 2 milionów Euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów Euro. Art. 105 ustawy o swobodzie gospodarczej z dnia 2 lipca 2004 r. określa małego przedsiębiorcę jako przedsiębiorcę, który zatrudniał średniorocznie mniej niż 250 pracowników oraz osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz operacji finansowych nieprzekraczający równowartości w złotych 50 milionów Euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 43 milionów Euro.

DOSTAWCY USŁUG CYFROWYCH (DUC) Do usług cyfrowych zaliczane są: internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Ze względu na transgraniczny charakter usług cyfrowych i międzynarodową specyfikę podmiotów świadczących tego rodzaju usługi, DUC zostały objęte lżejszą regulacją, niż operatorzy usług kluczowych a ich obowiązki są zharmonizowane w UE Jednak podstawowe wymogi obejmują: wdrażanie systemów bezpieczeństwa proporcjonalnych do ryzyka, raportowanie o istotnych incydentach do właściwego CSIRT DUC zostały objęte nadzorem przez organ właściwy (MC), który ma w stosunku do nich uprawnienia kontroli ex post.

PRZEPISY, REGULACJE W ZWIĄZKU Z KSC Zgodnie z art. 64 uoksc przy Radzie Ministrów będzie działało Kolegium do Spraw Cyberbezpieczeństwa będące organem opiniodawczo-doradczym w sprawach cyberbezpieczeństwa oraz działalności w tym zakresie CSIRT MON, CSIRT NASK, CSIRT GOV, sektorowych zespołów cyberbezpieczeństwa i organów właściwych.

PRZEPISY, REGULACJE W ZWIĄZKU Z KSC Wprowadzono w systemie prawa rozporządzenia: Dz. U. 2018 poz. 1806 Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Dz. U. 2018 poz. 1780 Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.

Przykład - obsługa incydentów krytycznych PROCES OBSŁUGI INCYDENTÓW KRYTYCZNYCH Współpraca Międzynarodowa PPK innych krajów Grupa Współpracy Prezes Rady Ministrów Kolegium ds.cyberbezpieczeństwa Pełnomocnik ds. cyberbezpieczeństwa Pojedynczy Punkt Kontaktowy/MC Rządowy zespół zarządzani a kryzysoweg o RCB Sektory/podsektory Organy właściwy ds. cyberbezpieczeństwa Bankowy, infrastruktura rynków finansowych Energia KNF ME SIEĆ CSIRT Współpraca krajowa Zespoły CSIRT poziomu krajowego CSIRT MON CSIRT GOV CSIRT NASK INCYDENT KRYTYCZ NY Zespół incydentó w krytycznyc h INF. CYFRFOWA + DUC Transport Zdrowie Zaopatrzenie w wodę pitną i jej dystrybucja MC MliR + MGMiŻ Ś MZ MŚ Obywatele Organy ścigania Organy właściwe ds. ochrony danych osobowych Sektorowe zespoły cyberbezpieczeństw a Podmioty świadczące usługi cyberbezpieczeństw a UKE Administracja Publiczna Sektor telekomunikacyjn y

Dziękuję za uwagę Krzysztof.Silicki@nask.pl