W obliczu rosnących wyzwań związanych z cyberbezpieczeństwem ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r., poz. 913), stanowi kluczowy element legislacyjny mający na celu wzmocnienie ochrony cyfrowej na poziomie narodowym. Jest to odpowiedź na potrzebę systematycznego podejścia do zagrożeń w przestrzeni cyfrowej, obejmująca zarówno prewencję, reakcję na incydenty, jak i długoterminowe planowanie strategiczne. Ustawodawca, bazując m.in. na statystykach sporządzonych przez zespoły CERT, czyli zespoły reagowania na incydenty komputerowe, dostrzegł zagrożenia wynikłe z rozwoju technologii teleinformatycznych i wykorzystywania ich w codziennym życiu. Ponadto również Unia Europejska postanowiła podjąć kroki w celu utworzenia europejskiej strategii bezpieczeństwa cybernetycznego, wydając komunikat „Otwarta, bezpieczna i chroniona cyberprzestrzeń”, a kolejno przyjmując Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.
Wprowadzone rozwiązania
Polska implementowała dyrektywę przyjmując ustawę, która w założeniu tworzy kompleksową strukturę zarządzania cyberbezpieczeństwem, definiując role i obowiązki różnych organów i instytucji, zarówno publicznych, jak i prywatnych. Przy jej pomocy stworzono szczegółowy system nadzoru i kontroli, który ma na celu zapewnienie przestrzegania przepisów oraz efektywną reakcję na zagrożenia i incydenty cyfrowe. System ochrony cyberprzestrzeni w Polsce ma charakter zdecentralizowany, a kompetencje dotyczące cyberbezpieczeństwa mogą być realizowane przez Ministra Obrony Narodowej, Szefa Agencji Bezpieczeństwa Wewnętrznego, Ministra Spraw Wewnętrznych i Administracji, Policję, Rządowe Centrum Bezpieczeństwa, czy też Ministra Cyfryzacji. Cyberbezpieczeństwem zajmują się także zespoły CSIRT utworzone przez operatorów telekomunikacyjnych, banki, przedsiębiorstwa energetyczne oraz środowiska naukowo-badawcze.
Ustawa szczegółowo określa mechanizmy nadzoru i kontroli nad przestrzeganiem jej przepisów. Ponadto wskazuje zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej, która obejmuje m.in. cele i priorytety w zakresie cyberbezpieczeństwa, podmioty zaangażowane we wdrażanie i realizację jej, środki służące realizacji jej celów, podejście do oceny ryzyka. Strategia przyjmowana jest przez Radę Ministrów, w drodze uchwały. Określa cele strategiczne oraz odpowiednie środki polityczne i regulacyjne, mające na celu osiągnięcie i utrzymanie wysokiego poziomu cyberbezpieczeństwa.
Operatorzy usług kluczowych
Ważnym aspektem ustawy są obowiązki nałożone na operatorów usług kluczowych, których wykaz prowadzi minister właściwy do spraw informatyzacji. Wymagają one od nich wdrożenia systemów zarządzania bezpieczeństwem, przeprowadzenia audytów, obsługi incydentów oraz podejmowania działań mających na celu zapewnienie cyberbezpieczeństwa. Ustawa zobowiązuje operatorów do reagowania na incydenty, zarządzania ryzykiem i identyfikacji podatności swoich systemów. Kolejnym istotnym elementem jest obowiązek współpracy między różnymi podmiotami systemu cyberbezpieczeństwa. Jest to kluczowe dla efektywnego zarządzania zagrożeniami i reagowania na incydenty w szybki i skoordynowany sposób.
Kary pieniężne
Ustawa wprowadza system kar pieniężnych za naruszenia jej przepisów. Jest to istotny element dyscyplinujący, mający na celu zapewnienie, że wszelkie podmioty działające w obszarze cyberbezpieczeństwa przestrzegają ustanowionych standardów i procedur. Karze pieniężnej może podlegać operator usługi kluczowej, który m.in. nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, nie wdrożył środków technicznych i organizacyjnych uwzględniających odpowiednie wymagania, nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, nie przeprowadza audytu. Wysokość nakładanych kar jest różna w zależności od konkretnego działania, przedział to od 1 000 zł do 150 000 zł. Karę można nałożyć również na kierownika operatora usługi kluczowej, w przypadku, gdy nie dochował należytej staranności celem spełnienia określonych obowiązku. Ta kara nie może być wyższa niż 200% jego miesięcznego wynagrodzenia. Kary w drodze decyzji nakłada organ właściwy do spraw cyberbezpieczeństwa, a wpływy są przeznaczane na przychód Funduszu Cyberbezpieczeństwa.