Ustawa o Krajowym Systemie Cyberbezbieczeństwa

Podobne dokumenty
Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Krajowy System Cyberbezpieczeństwa. Krzysztof Silicki p.o. Dyrektora NASK PIB, Wiceprzewodniczący Rady Zarządzającej ENISA

Warszawa, dnia 13 sierpnia 2018 r. Poz. 1560

USTAWA. z dnia. o krajowym systemie cyberbezpieczeństwa. Rozdział 1. Przepisy ogólne

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

z dnia. o krajowym systemie cyberbezpieczeństwa

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

DZIENNIK URZĘDOWY. Warszawa, 17 kwietnia 2019 r. Poz. 20. ZARZĄDZENIE Nr 20 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Analiza Ustawa o krajowym systemie cyberbezpieczeństwa 27 sierpnia 2018

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Ustawa o krajowym systemie cyberbezpieczeństwa

NARODOWA PLATFORMA CYBERBEZPIECZEŃ STWA

Funkcjonowanie KSC oraz plany jego rozwoju. Tomasz Wlaź

z dnia. o krajowym systemie cyberbezpieczeństwa 1) Rozdział 1 Przepisy ogólne

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Dyrektywa NIS i jej znaczenie dla cyberbezpieczeństwa

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku.

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

Budowanie kompetencji cyberbezpieczeństwa w administracji

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r.

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

Uzasadnienie I. Potrzeba i cel regulacji

Uchwała wchodzi w życie z dniem uchwalenia.

Polityka Ochrony Cyberprzestrzeni RP

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA

z dnia 2017 r. w sprawie funkcjonowania schematu płatniczego

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Zarządzanie incydentami jako probierz dojrzałości organizacyjnej. MAREK DAMASZEK

Zarządzanie bezpieczeństwem informacji w urzędach pracy

z dnia stycznia 2017 r. w sprawie funkcjonowania systemu płatności

CYBERBEZPIECZEŃSTWO krytycznej infrastruktury elektroenergetycznej

PRZETWARZANIE DANYCH PRZEZ ADMINISTRATORA

Dr inż. Witold SKOMRA

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Krasnymstawie

Wykaz skrótów... Wykaz literatury... Wprowadzenie...

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Standardy kontroli zarządczej

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

Projekt ustawy o krajowym systemie cyberbezpieczeństwa. Stanowisko Instytutu Kościuszki. Listopad 2017 Kraków

Asseco dla Zdrowia r.

Biuletyn NASK. Strategia. Policy. Rekomendacje.

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

Regulamin zarządzania ryzykiem. Założenia ogólne

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Monitoring stanu zagrożeń dla bezpieczeństwa teleinformatycznego Polski

Tytuł prezentacji. Naukowa i Akademicka Sieć Komputerowa Transgraniczny Węzeł eidas Commonsign październik 2016 r. WIEDZA I TECHNOLOGIA

ZARZĄDZENIE Nr 33/14 PROKURATORA GENERALNEGO

Tabor Dębica Sp. z o.o. PROCEDURA PE_020 POSTĘPOWANIE PO ZDARZENIU

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

(Tekst mający znaczenie dla EOG)

ZAŁĄCZNIK ROZPORZĄDZENIA DELEGOWANEGO KOMISJI (UE) /..

Dostosowanie niektórych aktów prawnych przewidujących stosowanie procedury regulacyjnej połączonej z kontrolą do art. 290 i 291

SKZ System Kontroli Zarządczej

INFORMACJA O OCHRONIE DANYCH OSOBOWYCH

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

Cybersecurity Forum 2018 SPOTKANIE MENADŻERÓW CYBERBEZPIECZEŃSTWA

Informacja o ochronie danych osobowych

Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP

DYREKTYWA WYKONAWCZA KOMISJI 2012/25/UE

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Warszawa, dnia 17 marca 2017 r. Poz. 82

Polityka bezpieczeństwa

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

POLITYKA PRYWATNOŚCI

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

Informacja o zmianach w przepisach o ochronie danych osobowych W jakim celu przesyłamy Państwu Informację?

Procedura przeciwdziałania zagrożeniom korupcyjnym i nadużyciom. Spis treści

Projekt wymagań w zakresie kompetencji zakładów utrzymania taboru. Jan Raczyński

Cyberbezpieczeństwo modny slogan czy realny problem dla energetyki?

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE)

I. Postanowienia ogólne

ZARZĄDZENIE Nr 0050/20/15 PREZYDENTA MIASTA TYCHY z dnia 16 stycznia 2015 roku

KARTA AUDYTU WEWNĘTRZNEGO

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W MAŁOPOLSKIM BANKU SPÓŁDZIELCZYM. I. Cele i organizacja systemu kontroli wewnętrznej

Poz. 237 KOMUNIKAT MINISTRA SPRAWIEDLIWOŚCI. z dnia 1 grudnia 2015 r.

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Otoczenie prawne inwestycji szerokopasmowych

Karta audytu Uniwersytetu Śląskiego w Katowicach

Kodeks Cyfrowy. zakres regulacji / wstępna koncepcja /

ROZPORZĄDZENIE KOMISJI (UE) NR

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Rozdział 1 Postanowienia ogólne

Informacja o ochronie danych osobowych dla partnerów biznesowych

Materiał porównawczy do ustawy z dnia 14 czerwca 2013 r. o zmianie ustawy Prawo lotnicze. (druk nr 387)

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

KARTA AUDYTU WEWNĘTRZNEGO

Transkrypt:

22 konferencja Miasta w Internecie Ustawa o Krajowym Systemie Cyberbezbieczeństwa Krzysztof Silicki Zastępca Dyrektora NASK PIB, Dyrektor ds. Cyberbezpieczeństwa i Innowacji Wiceprzewodniczący Rady Zarządzającej ENISA

Projekt ustawy o KSC co to jest? - Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) zapewnia implementację dyrektywy NIS* - Ustanawia ramy prawne funkcjonowania KSC - Rozszerza obszar oddziaływania w stosunku do dyrektywy NIS, np.: - włącza sektor administracji publicznej, - nakłada obowiązek zgłaszania incydentów które MOGĄ spowodować negatywny skutek (nie tylko te, które coś spowodowały) - Projekt ustawy jest przed drugim czytaniem w Sejmie Ważne: uoksc w obszarze administracji publicznej jest dodatkowym komponentem bezpieczeństwa teleinformatycznego ustanowionym przez ustawę o informatyzacji ( ) i Krajowe Ramy Interoperacyjności * Dyrektywa Parlamentu Europejskiego i Rady 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii

Dyrektywa NIS Wybrane obowiązki nałożone na państwa członkowskie: Identyfikacja operatorów usług kluczowych w kilku sektorach oraz określenie wymagań bezpieczeństwa teleinformatycznego. Wyznaczenie organów właściwych dla operatorów usług kluczowych i dostawców usług cyfrowych. Wyznaczenie pojedynczego punktu kontaktowego. Wyznaczenie CSIRT* dla operatorów usług kluczowych i dostawców usług cyfrowych. Wymiana informacji i raportowanie na poziomie UE na temat poważnych incydentów u operatorów usług kluczowych oraz istotnych incydentów u dostawców usług cyfrowych. Przyjęcie w unijnej procedurze komitetowej wymagań dla dostawców usług cyfrowych. Przyjęcie krajowej strategii bezpieczeństwa sieci i informacji. *zespół reagowania na incydenty bezpieczeństwa komputerowego 3

Ustawa o KSC: definicje Pojęcia podstawowe dotyczące incydentu: incydent w podmiocie publicznym incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny incydent krytyczny incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, obsługa incydentu czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych, ograniczenie skutków incydentu zarządzanie incydentem obsługę incydentu, wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowanie wniosków z obsługi incydentu;

Architektura KSC ARCHITEKTURA Krajowego SYSTEMU CYBERBEZPIECZEŃSTWA WSPÓŁPRACA MIĘDZYNARODOWA PPK innych krajów GRUPA WSPÓŁPRACY PREZES RADY MINISTRÓW POJEDYNCZY PUNKT KONTAKTOWY/MC KOLEGIUM DS. CYBERBEZPIECZEŃ STWA PEŁNOMOCNIK DS. CYBERBEZPIECZEŃ STWA SEKTORY BANKI / Finanse ORGANY WŁAŚCIWE MF POLICJA PROKURATURA WSPÓŁPRACA MIĘDZYNARODOWA Zespoły CSIRT POZIOMU KRAJOWEGO CSIRT MON CSIRT GOV CSIRT NASK ENERGIA INF. CYFRFOWA + DUC TRANSPORT ZDROWIE WODNO- KANALIZACYJNY ME MC MliB + MGMiŻ Ś MZ MŚ OBYWATELE SIEĆ CSIRT SEKTOROWE ZESPOŁY CYBERBEZPIECZEŃST WA PODMIOTY ŚWIADCZĄCE USŁUGI CYBERBEZPIECZEŃST WA UKE SEKTOR TELKO ADMINISTRACJA PUBLICZNA

Obsługa incydentów krytycznych PROCES OBSŁUGI INCYDENTÓW KRYTYCZNYCH WSPÓŁPRACA MIĘDZYNAROD OWA PPK innych krajów GRUPA WSPÓŁPRACY POLICJA PROKURAT URA WSPÓŁPRACA MIĘDZYNAROD OWA SIEĆ CSIRT GRUPY WSPÓŁPRACY PREZES RADY MINISTRÓW Zespoły CSIRT POZIOMU KRAJOWEGO CSIRT MON SEKTOROWE ZESPOŁY cyberbezpieczeństw a POJEDYŃCZY PUNKT KONTAKTOWY/MC CSIRT GOV KOLEGIUM DS. CYBERBEZPIECZ PEŁNOMOCNIK EŃSTWA DS. CYBERBEZPIECZ EŃSTWA CSIRT NASK PODMIOTY ŚWIADCZĄCE USŁUGI CYBERBEZPIECZE ŃSTWA INCYDENT KRYTYCZ NY RZĄDOWY ZESPÓŁ ZARZĄDZANI A KRYZYSOWE GO RCB ZESPÓŁ INCYDENTÓ W KRYTYCZNY CH SEKTO RY BANKI / Finanse ENERGIA INF. CYFRFOWA + DUC TRANSPORT ZDROWIE WODNO- KANALIZACYJNY OBYWATELE SEKTO UKE R TELKO ADMINISTRACJA PUBLICZNA ORGANY WŁAŚCIWE MF ME MC MliB + MGMiŻ Ś MZ MŚ

Constituency CSIRT NASK W obszarze odpowiedzialności CSIRT NASK są między innymi: jednostki samorządu terytorialnego oraz ich związki; związki metropolitalne; jednostki budżetowe; samorządowe zakłady budżetowe; agencje wykonawcze; instytucje gospodarki budżetowej; spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej,

Obowiązki administracji publicznej Osoba do kontaktów: Podmiot publiczny realizujący zadanie publiczne zależne od systemu informacyjnego jest obowiązany do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Organ administracji publicznej może wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jednostki jemu podległe lub przez niego nadzorowane. Jednostka samorządu terytorialnego może wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jej jednostki organizacyjne.

Obowiązki administracji publicznej Obsługa i zgłaszanie incydentów: Podmiot publiczny realizujący zadanie publiczne zależne od systemu informacyjnego: zapewnia zarządzanie incydentem w podmiocie publicznym; zgłasza incydent niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT; zgłoszenie przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania w postaci elektronicznej, przy użyciu innych dostępnych środków komunikacji. zapewnia obsługę incydentu w podmiocie publicznym i incydentu krytycznego we współpracy z właściwym CSIRT, przekazując niezbędne dane, w tym dane osobowe;

Obowiązki administracji publicznej Co zawiera zgłoszenie incydentu: dane podmiotu zgłaszającego, dane osoby składającej zgłoszenie; dane osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji; opis wpływu incydentu w podmiocie publicznym na realizowane zadanie publiczne, w tym: wskazanie zadania publicznego, na które incydent miał wpływ, liczbę osób, na które incydent miał wpływ, moment wystąpienia i wykrycia incydentu oraz czas jego trwania, zasięg geograficzny, którego dotyczy incydent, przyczynę zaistnienia incydentu i sposób jego przebiegu oraz skutki jego oddziaływania na systemy informacyjne podmiotu publicznego; informacje o podjętych działaniach zapobiegawczych; informacje o podjętych działaniach naprawczych; inne istotne informacje.

Obowiązki administracji publicznej Przekazywanie i uzupełnianie danych incydentu: Podmiot publiczny, przekazuje informacje znane w chwili zgłoszenia, które uzupełnia w trakcie obsługi incydentu Mogą być przekazywane informacje stanowiące tajemnice prawnie chronione gdy jest to konieczne dla realizacji zadań, właściwego CSIRT W zgłoszeniu podmiot publiczny oznacza informacje stanowiące tajemnice prawnie chronione CSIRT może zwrócić się do podmiotu publicznego o uzupełnienie zgłoszenia o informacje, w tym informacje stanowiące tajemnice prawnie chronione, w zakresie niezbędnym do realizacji zadań związanych z incydentem

Obowiązki administracji publicznej Dobrowolne zgłoszenia: Oprócz zgłoszeń obowiązkowych, o których mowa wcześniej, można do właściwego CSIRT przekazywać informacje: o innych incydentach; o zagrożeniach cyberbezpieczeństwa; dotyczące szacowania ryzyka; o podatnościach; o wykorzystywanych technologiach.

Obowiązki administracji publicznej Informowanie: Podmiot publiczny realizujący zadanie publiczne zależne od systemu informacyjnego: zapewnia osobom, na rzecz których zadanie publiczne jest realizowane, dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami, w szczególności przez publikowanie informacji w tym zakresie na swojej stronie internetowej; przekazuje do właściwego CSIRT dane osoby do kontaktów, zawierające imię i nazwisko, numer telefonu, adres poczty elektronicznej, w terminie 14 dni od dnia jej wyznaczenia, a także informacje o zmianie tych danych w terminie 14 dni od dnia ich zmiany.

Wsparcie i korzyści dla administracji publicznej CSIRTy monitorują zagrożenia Podstawowe zadania CSIRT cyberbezpieczeństwa i incydenty na poziomie krajowym; Reagują na zgłoszone incydenty Wsparcie dla podmiotów Dokonują szacowania ryzyka związanego z ujawnionym zagrożeniem cyberbezpieczeństwa oraz zaistniałymi incydentami; CSIRTy: przekazują informacje dotyczące incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa; wydają komunikaty o zidentyfikowanych zagrożeniach cyberbezpieczeństwa CSIRT w uzasadnionych przypadkach może zapewnić wsparcie w obsłudze incydentów CSIRT może przekazywać informacje o podatnościach i sposobie ich usunięcia w wykorzystywanych technologiach

Obowiązki administracji publicznej Podmiot publiczny może być jednocześnie operatorem usługi kluczowej: Do podmiotu publicznego wobec którego wydana została decyzja o uznaniu za operatora usługi kluczowej, stosuje się przepisy w zakresie świadczenia usługi kluczowej, w związku ze świadczeniem której został uznany za operatora usługi kluczowej. Podmiot staje się operatorem usługi kluczowej i podlega regułom narzuconym przez dyrektywę NIS i uoksc: wdrażanie środków bezpieczeństwa proporcjonalnych do analizy ryzyka, przeprowadzania cyklicznych audytów, Prowadzenia dokumentacji bezpieczeństwa, zgłaszania do CSIRT poważnych incydentów (wg. określonych kryteriów i progów) poddawania się kontroli ze strony właściwego organu ds. cyberbezpieczeństwa

Samorządy a kluczowe sektory Decyzja o uznaniu za operatora usługi kluczowej Może to dotyczyć takich sektorów jak: wodno-kanalizacyjny zdrowia transportu (np. kolejowego) energetyczny Wpisanie do wykazu operatorów kluczowych jest uzależnione od: kryteriów (określonych w ustawie w ślad za dyrektywą NIS) progów istotności skutku zakłócającego usługę (określonych w rozporządzeniu)

Dziękuję za uwagę Krzysztof.Silicki@nask.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres