Funkcjonowanie KSC oraz plany jego rozwoju Tomasz Wlaź
Plan wystąpienia 1. Funkcjonowanie Krajowego Systemu Cyberbezpieczeństwa 2. Wyzwania związane z KSC 3. Plany rozwoju Krajowego Systemu Cyberbezpieczeństwa
Krajowy System Cyberbezpieczeństwa Cele: implementacja Dyrektywy NIS; utworzenie funkcjonującego i spójnego systemu cyberbezpieczeństwa w Polsce; Ustawa o krajowym systemie cyberbezpieczeństwa - weszła w życie 28 sierpnia 2018 r. 8 rozporządzeń wykonawczych do ustawy, w tym dwa kluczowe dla pełnej implementacji NIS wykaz usług kluczowych progi uznania incydentu za poważny
Podmioty krajowego systemu cyberbezpieczeństwa Minister właściwy ds. informatyzacji (Minister Cyfryzacji) Pełnomocnik Rządu ds. Cyberbezpieczeństwa Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (w MC) Organy Właściwe do spraw cyberbezpieczeństwa (6 ministerstw + KNF) Rządowe Centrum Bezpieczeństwa Zespoły CSIRT poziomu krajowego Operatorzy Usług Kluczowych i Dostawcy Usług Cyfrowych Podmioty publiczne Podmioty świadczące usługi z zakresu cyberbezpieczeństwa Przedsiębiorcy telekomunikacyjni (w zakresie jaki nie jest regulowany Prawem Telekomunikacyjnym)
Architektura KSC Minister właściwy ds. informatyzacji (Minister Cyfryzacji) Pełnomocnik Rządu ds. Cyberbezpieczeństwa Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa (w MC) Organy Właściwe do spraw cyberbezpieczeństwa (6 ministerstw + KNF) Rządowe Centrum Bezpieczeństwa Zespoły CSIRT poziomu krajowego Operatorzy Usług Kluczowych i Dostawcy Usług Cyfrowych Podmioty publiczne Podmioty świadczące usługi z zakresu cyberbezpieczeństwa Przedsiębiorcy telekomunikacyjni (w zakresie jaki nie jest regulowany Prawem Telekomunikacyjnym)
Wyznaczeni Operatorzy Usług Kluczowych Podstawowym obowiązkiem nałożonym na Organy Właściwe jest nadzór nad powierzonym im sektorem, jego analiza oraz wyznaczanie operatorów usług kluczowych. Do dnia 1 sierpnia br. zostało wyznaczonych 132 OUK we wszystkich sektorach objętych ustawą o ksc. Sektory: Zdrowie 28 Transport - 24 Energia 48 Bankowy 20 Zaopatrzenie w wodę 4 Infrastruktura cyfrowa - 8
Aktywność Ministerstwa Cyfryzacji Spotkania robocze z podmiotami będącymi częścią KSC dzielenie się wiedzą, dobrymi praktykami oraz wyjaśnianie zasad funkcjonowania KSC; Spotkania w ramach Grupy Roboczej ds. Cyberbezpieczeństwa 4 zespoły robocze: edukacja w cyberbezpieczeństwie, certyfikacja bezpieczeństwa produktów i usług ICT, bezpieczeństwo Przemysłu 4.0 oraz bezpieczeństwo łańcucha dostaw; Szkolenia i warsztaty dla organów właściwych oraz operatorów; Zmiana rozporządzenia MC ws. warunków technicznych i organizacyjnych Ministerstwo idzie za głosem biznesu; Wymiana informacji pomiędzy państwami UE w obszarze realizacji obowiązków z Dyrektywy NIS (poprzez Pojedynczy Punkt Kontaktowy).
KSC zidentyfikowane najważniejsze wyzwania brak synergii (zgłaszania incydentów) pomiędzy różnymi systemami powstałymi na bazie aktów unijnych m.in. eidas, PSD 2, dyrektywa ramowa (telekomy); różna dojrzałość poszczególnych sektorów w zakresie cyberbezpieczeństwa (dojrzały sektor bankowy vs. sektor zdrowia) stąd też różny stan zaawansowania wyznaczania operatorów; niedookreślone przepisy w dyrektywie NIS m.in. w kwestii transgranicznego charakteru niektórych usług kluczowych, jurysdykcji państw oraz braku wystarczających uregulowań prawnych w stosunku do dostawców usług cyfrowych;
JST największym wyzwaniem KSC? Diagnoza: Wyniki kontroli NIK w zakresie zarządzania bezpieczeństwem informacji w jednostkach samorządu terytorialnego opublikowane w roku 2018 oraz 2019 wykazały brak systemowego podejścia do zapewnienia bezpieczeństwa informacji w JST. JST najliczniejsza liczba podmiotów wchodzących w skład KSC: 16 województw 380 powiatów 2477 gmin
Diagnoza przyczyn Brak dostatecznej świadomości wśród osób sprawujących funkcję organu tego, jak ważnym jest problematyka bezpieczeństwa informacji Nawet tam gdzie jest świadomość potrzeby ochrony informacji, występują obiektywne trudności w realizacji niezbędnych przedsięwzięć, powodowane głównie brakami środków finansowych, a co za tym idzie brakami w dostępie do fachowców z zakresu bezpieczeństwa informacji
Plany rozwoju KSC projekty legislacyjne Przyjęcie Strategii Cyberbezpieczeństwa RP (do końca października 2019 r.) oraz opracowanie szczegółowego Planu działań wdrażającego Strategię, w tym harmonogram realizacji oraz wskazane zostaną podmioty odpowiedzialne za konkretne działania (w ciągu 6 miesięcy od przyjęcia Strategii); Zmiana rozporządzenia MC ws. warunków technicznych i organizacyjnych w trakcie prac legislacyjnych; Przegląd ustawy o KSC oraz rozporządzeń wykonawczych, szczególnie dwóch: progi incydentu poważnego oraz wykaz usług kluczowych (jesień 2019 r.);
Plany rozwoju KSC projekty legislacyjne Dostosowanie polskiego prawodawstwa do przepisów Aktu o Cyberbezpieczeństwie (Cybersecurity Act), w tym utworzenie urzędu nadzoru nad certyfikacją, wyznaczenie jednostki oceniającej zgodność;
Plany rozwoju KSC - działania Dalsze działania informacyjne, szkoleniowe i edukacyjne w zakresie cyberbezpieczeństwa skierowane do podmiotów KSC; Projekt szkoleniowy skierowany do JST, w tym uruchomienie platformy e-learningowej oraz rozpoczęcie cyklu szkoleń podnoszących świadomość o cyberzagrożeniach adresowanych do kadr administracji publicznej (szkolenia stacjonarne), m.in. zadania i obowiązki JST wynikające z ustawy, obsługa incydentów cyberbezpieczeństwa w jednostkach administracji publicznej oraz wytyczne i standardy architektury bezpieczeństwa urzędu;
Plany rozwoju KSC - działania Opracowanie Narodowych Standardów Cyberbezpieczeństwa, czyli zbioru wymagań organizacyjnych i technicznych dotyczących bezpieczeństwa m.in. Chmur obliczeniowych, urządzeń mobilnych; Rozwój oraz wprowadzenie do użytkowania tzw. systemu S46, czyli zintegrowanego systemu zarządzania bezpieczeństwem cyberprzestrzeni RP; Budowa Narodowej Platformy Cyberbezpieczeństwa - realizacja NASK-PIB, PW, NCBJ, IŁ finansowanie NCBiR; Utworzenie Krajowego Systemu Certyfikacji Cyberbezpieczeństwa (KSCCyber);
Plany rozwoju KSC - działania Aktywność na forum europejskim, w tym w ramach Grupy Współpracy NIS (przewodnictwo w jednym z zespołów roboczych - Work Stream 10 - dotyczącym lex specialis (wyłączeń), telekomów oraz konsultacji między krajami i jurysdykcji;
Tomasz Wlaź Naczelnik Wydziału Krajowego Systemu Cyberbezpieczeństwa Departament Cyberbezpieczezństwa Ministerstwo Cyfryzacji tomasz.wlaz@mc.gov.pl Dziękuję za uwagę