Ustawa o krajowym systemie cyberbezpieczeństwa
Ustawa o cyberbezpieczeństwie określa role i obowiązki poszczególnych podmiotów krajowego systemu cyberbezpieczeństwa związanych m.in. z obsługą incydentów w tych podmiotach i działaniami prewencyjnymi. Celem ustawy jest zwiększenie i zagwarantowanie odpowiedniego poziomu bezpieczeństwa sieci (np. systemy teleinformatyczne) poprzez określenie m.in. jaki powinien być skład infrastruktury krytycznej.
W związku z ciągłym i dynamicznym rozwojem gospodarczym, w tym w szczególności obszaru cyber, sprawne działanie ustawy i organów w niej wskazanych wydaje się być bardzo istotne nie tylko dla krajowego cyberbezpieczeństwa, ale również dla bezpieczeństwa państwa.
Co reguluje ustawa o krajowym systemie cyberbezpieczeństwa?
Ustawa zawiera regulacje dotyczące:
- zasady identyfikacji i rejestracji operatorów usług kluczowych;
- obowiązki operatorów usług kluczowych;
- obowiązki dostawców usług cyfrowych;
- obowiązki podmiotów publicznych;
- zadania CSIRT MON, CSIRT NASK i CSIRT GOV;
- zasady udostępniania informacji i przetwarzania danych osobowych;
- organy właściwe ds. cyberbezpieczeństwa.
Ustawa określa:
- organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu
- sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy
- zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.
Wybrane definicje występujące w ustawie oznaczają:
- CSIRT GOV - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego;
- CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej;
- CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy;
- cyberbezpieczeństwo - odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy;
- incydent - zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo;
- incydent krytyczny - incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;
- incydent poważny - incydent, który powoduje lub może spowodować poważne obniżenie jakości, lub przerwanie ciągłości świadczenia usługi;
- obsługa incydentu - czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu;
- podatność - właściwość systemu informacyjnego, która może być wykorzystana przez zagrożenie cyberbezpieczeństwa;
- ryzyko - kombinację prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji;
- szacowanie ryzyka - całościowy proces identyfikacji, analizy i oceny ryzyka;
- usługa kluczowa - usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych;
- zagrożenie cyberbezpieczeństwa - potencjalną przyczynę wystąpienia incydentu;
- zarządzanie incydentem - obsługę incydentu, wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków wynikających z obsługi incydentu;
- zarządzanie ryzykiem - skoordynowane działania w zakresie zarządzania cyberbezpieczeństwem w odniesieniu do oszacowanego ryzyka.
Celem krajowego system cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów.
Krajowy system cyberbezpieczeństwa obejmuje m.in. następujące podmioty:
- operatorów usług kluczowych;
- dostawców usług cyfrowych;
- CSIRT MON;
- CSIRT NASK;
- CSIRT GOV;
- sektorowe zespoły cyberbezpieczeństwa;
- jednostki sektora finansów publicznych;
- instytuty badawcze;
- Narodowy Bank Polski;
- Bank Gospodarstwa Krajowego;
- Urząd Dozoru Technicznego;
- Polską Agencję Żeglugi Powietrznej;
- Polskie Centrum Akredytacji;
- Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;
- spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej;
- podmioty świadczące usługi z zakresu cyberbezpieczeństwa;
- organy właściwe do spraw cyberbezpieczeństwa.
Obowiązki operatorów usług kluczowych
Operator usługi kluczowej jest zobowiązany do wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi, system taki powinien gwarantować m.in.:
- prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
- wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy
- zbieranie informacji o zagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi;
- zarządzanie incydentami;
- stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi.
Kolejnym obowiązkiem operatora usługi kluczowej jest obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz obowiązek zapewnienia użytkownikowi kluczowej usługi dostępu do wiedzy w zakresie zagrożeń cyberbezpieczeństwa.
Do obowiązków operatora należy również obowiązek opracowania, wdrożenia i aktualizacji dokumentacji cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia kluczowej usługi. Jednym z elementów tego obowiązku jest zobowiązanie do ustanowienia nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia kluczowej usługi, zapewniającego:
- dostępność dokumentów wyłącznie dla osób upoważnionych zgodnie z realizowanymi przez nie zadaniami;
- ochronę dokumentów przed niewłaściwym użyciem lub utratą integralności;
- oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach.
Operatorów usług kluczowych w zakresie incydentów zobowiązany jest:
- zapewnić obsługę incydentu;
- zapewnić dostęp do informacji o rejestrowanych incydentach właściwemu właściwym organom w zakresie niezbędnym do realizacji jego zadań;
- klasyfikować incydent jako poważny na podstawie progów uznawania incydentu za poważny;
- zgłaszać incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
- współdziałać podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;
- usuwać podatności oraz informować o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.
Ustawa określa, jak powinno wyglądać zgłoszenie incydentu poważnego, zgłoszenie to powinno zawierać:
- dane podmiotu zgłaszającego, w tym firmę przedsiębiorcy, numer we właściwym rejestrze, siedzibę i adres;
- imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby dokonującej zgłoszenia;
- imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji;
- opis wpływu incydentu poważnego na świadczenie usługi kluczowej, w tym:
- usługi kluczowe zgłaszającego, na które incydent poważny miał wpływ,
- liczbę użytkowników usługi kluczowej, na których incydent poważny miał wpływ,
- moment wystąpienia i wykrycia incydentu poważnego oraz czas jego trwania,
- zasięg geograficzny obszaru, którego dotyczy incydent poważny,
- wpływ incydentu poważnego na świadczenie usługi kluczowej przez innych operatorów usług kluczowych i dostawcy usług cyfrowych,
- przyczynę zaistnienia incydentu poważnego i sposób jego przebiegu oraz skutki jego oddziaływania na systemy informacyjne lub świadczone usługi kluczowe;
- informacje umożliwiające właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV określenie, czy incydent dotyczy dwóch lub większej liczby państw członkowskich Unii Europejskiej;
- w przypadku incydentu, który mógł mieć wpływ na świadczenie usługi kluczowej, opis przyczyn tego incydentu, sposób jego przebiegu oraz prawdopodobne skutki oddziaływania na systemy informacyjne;
- informacje o podjętych działaniach zapobiegawczych;
- informacje o podjętych działaniach naprawczych;
- inne istotne informacje.
Operator nie musi, ale może przekazywać do właściwego CSIRT informacje:
- o innych incydentach;
- o zagrożeniach cyberbezpieczeństwa;
- dotyczące szacowania ryzyka;
- o podatnościach;
- o wykorzystywanych technologiach.
Powyższe informacje przekazywane są w postaci elektronicznej, a w przypadku braku możliwości przekazania w postaci elektronicznej, przy użyciu innych dostępnych środków komunikacji.
Operator usługi kluczowej w celu realizacji powyższych zadań zobowiązany jest powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.
Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa są obowiązane:
- spełniać warunki organizacyjne i techniczne pozwalające na zapewnienie cyberbezpieczeństwa obsługiwanemu operatorowi usługi kluczowej;
- dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi;
- stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów.
Operator zgodnie z ustawą jest zobowiązany co najmniej raz na 2 lata do przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
Obowiązki dostawców usług cyfrowych według ustawy o krajowym systemie cyberbezpieczeństwa
Zgodnie z ustawą dostawcą usługi cyfrowej jest osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej mająca siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej, albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadcząca usługę cyfrową, z wyjątkiem mikroprzedsiębiorców i małych przedsiębiorców.
Za usługę cyfrową, zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, uznawana jest:
- internetowa platforma handlowa - usługa, która umożliwia konsumentom lub przedsiębiorcom zawieranie umów drogą elektroniczną z przedsiębiorcami na stronie internetowej platformy handlowej albo na stronie internetowej przedsiębiorcy, który korzysta z usług świadczonych przez internetową platformę handlową.
- usługa przetwarzania w chmurze - usługa umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników.
- wyszukiwarka internetowa - usługa, która umożliwia użytkownikom wyszukiwanie wszystkich stron internetowych lub stron internetowych w danym języku za pomocą zapytania przez podanie słowa kluczowego, wyrażenia lub innego elementu, przedstawiającą w wyniku odnośniki, odnoszące się do informacji związanych z zapytaniem.
Dostawca usługi cyfrowej zobowiązany jest podjąć właściwe i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej. Zgodnie z ustawą wspomniane środki zapewniają cyberbezpieczeństwo odpowiednie do istniejącego ryzyka oraz uwzględniają:
- bezpieczeństwo systemów informacyjnych i obiektów;
- postępowanie w przypadku obsługi incydentu;
- zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej;
- monitorowanie, audyt i testowanie;
- najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi.
Do obowiązków dostawcy usług cyfrowych należą również obowiązki w zakresie wykrywania, rejestrowania, analizowania oraz klasyfikowania incydentów. Zgodnie z przepisami ustawy o krajowym systemie cyberbezpieczeństwa dostawca usługi cyfrowej:
- przeprowadza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie oraz klasyfikacja incydentów;
- zapewnia w niezbędnym zakresie dostęp do informacji dla właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV o incydentach zakwalifikowanych jako krytyczne przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;
- klasyfikuje incydent jako istotny;
- zgłasza incydent istotny niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
- zapewnia obsługę incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;
- usuwa podatności;
- przekazuje operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora.
Zasady klasyfikacji incydentu reguluje rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny.
Przy klasyfikowaniu incydentu jako istotnego dostawca usługi cyfrowej uwzględnia w szczególności:
- liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług;
- czas trwania incydentu;
- zasięg geograficzny obszaru, którego dotyczy incydent;
- zakres zakłócenia funkcjonowania usługi i systemów informatycznych;
- zakres wpływu incydentu na działalność gospodarczą i społeczną.
Zgłoszenie incydentu poważnego zawiera:
- dane podmiotu zgłaszającego, w tym firmę przedsiębiorcy, numer we właściwym rejestrze, siedzibę i adres;
- imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby składającej zgłoszenie;
- imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji;
- opis wpływu incydentu istotnego na świadczenie usługi cyfrowej, w tym:
- liczbę użytkowników, na których incydent istotny miał wpływ,
- moment wystąpienia i wykrycia incydentu istotnego oraz czas jego trwania,
- zasięg geograficzny obszaru, którego dotyczy incydent istotny,
- zakres zakłócenia funkcjonowania usługi cyfrowej,
- zakres wpływu incydentu istotnego na działalność gospodarczą i społeczną;
- informacje umożliwiające właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV określenie, czy incydent istotny dotyczy dwóch lub większej liczby państw członkowskich Unii Europejskiej;
- informacje o przyczynie i źródle incydentu istotnego;
- informacje o podjętych działaniach zapobiegawczych;
- informacje o podjętych działaniach naprawczych;
- inne istotne informacje.
Obowiązki podmiotów publicznych
Do obowiązków podmiotów publicznych, zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, należą:
- obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa;
- obowiązki w zakresie zgłaszania i obsługi incydentu w podmiocie publicznym, które obejmują:
- zapewnienie zarządzania incydentem w podmiocie publicznym;
- zgłaszanie incydentu w podmiocie publicznym niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
- zapewnienie obsługi incydentu w podmiocie publicznym i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;
- zapewnienie osobom, na rzecz których zadanie publiczne jest realizowane, dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami, w szczególności przez publikowanie informacji w tym zakresie na swojej stronie internetowej.
Zadania CSIRT
Do zadań CSIRT MON, CSIRT NASK i CSIRT GOV należy:
- monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na krajowym poziomie;
- szacowanie ryzyka związanego z ujawnionym zagrożeniem cyberbezpieczeństwa oraz zaistniałymi incydentami, w tym prowadzenie dynamicznej analizy ryzyka;
- przekazywanie informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa;
- wydawanie komunikatów o zidentyfikowanych zagrożeniach cyberbezpieczeństwa;
- reagowanie na zgłoszone incydenty;
- klasyfikowanie incydentów, w tym incydentów poważnych oraz incydentów istotnych, jako incydenty krytyczne oraz koordynowanie obsługi incydentów krytycznych;
- zmiana klasyfikacji incydentów poważnych i incydentów istotnych;
- przekazywanie do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacji technicznych dotyczących incydentu, którego koordynacja obsługi wymaga współpracy CSIRT;
- przeprowadzanie w uzasadnionych przypadkach badania urządzenia informatycznego lub oprogramowania w celu identyfikacji podatności, której wykorzystanie może zagrozić w szczególności integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa, oraz składanie wniosków w sprawie rekomendacji dla podmiotów krajowego systemu cyberbezpieczeństwa dotyczących stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa, zwanych dalej "rekomendacjami dotyczącymi stosowania urządzeń informatycznych lub oprogramowania";
- współpraca z sektorowymi zespołami cyberbezpieczeństwa w zakresie koordynowania obsługi incydentów poważnych, w tym dotyczących dwóch lub większej liczby państw członkowskich Unii Europejskiej, i incydentów krytycznych oraz w zakresie wymiany informacji pozwalających przeciwdziałać zagrożeniom cyberbezpieczeństwa;
- przekazywanie do innych państw, w tym państw członkowskich Unii Europejskiej, i przyjmowanie z tych państw informacji o incydentach poważnych i incydentach istotnych dotyczących dwóch lub większej liczby państw członkowskich, a także przekazywanie do Pojedynczego Punktu Kontaktowego zgłoszenia incydentu poważnego i istotnego dotyczącego dwóch lub większej liczby państw członkowskich Unii Europejskiej;
- wspólne opracowywanie i przekazywanie ministrowi właściwemu do spraw informatyzacji części Raportu o zagrożeniach bezpieczeństwa narodowego;
- zapewnienie zaplecza analitycznego oraz badawczo-rozwojowego, które w szczególności:
- prowadzi zaawansowane analizy złośliwego oprogramowania oraz analizy podatności,
- monitoruje wskaźniki zagrożeń cyberbezpieczeństwa,
- rozwija narzędzia i metody do wykrywania i zwalczania zagrożeń cyberbezpieczeństwa,
- prowadzi analizy i opracowuje standardy, rekomendacje i dobre praktyki w zakresie cyberbezpieczeństwa,
- wspiera podmioty krajowego systemu cyberbezpieczeństwa w budowaniu potencjału i zdolności w obszarze cyberbezpieczeństwa,
- prowadzi działania z zakresu budowania świadomości w obszarze cyberbezpieczeństwa,
- współpracuje w zakresie rozwiązań edukacyjnych w obszarze cyberbezpieczeństwa;
- zapewnienie możliwości dokonywania zgłoszeń i przekazywania informacji oraz udostępnienie i obsługa środków komunikacji pozwalających na dokonywanie tych zgłoszeń;
- udział w Sieci CSIRT składającej się z przedstawicieli CSIRT państw członkowskich Unii Europejskiej, CSIRT właściwego dla instytucji Unii Europejskiej, Komisji Europejskiej oraz Agencji Unii Europejskiej do spraw Bezpieczeństwa Sieci i Informacji (ENISA).
Zasady udostępniania informacji i przetwarzania danych osobowych
W celu realizacji zadań CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowe zespoły cyberbezpieczeństwa przetwarzają dane pozyskane w związku z incydentami i zagrożeniami cyberbezpieczeństwa, w tym dane osobowe, obejmujące także dane wrażliwe, w zakresie i w celu niezbędnym do realizacji tych zadań.
CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa, przetwarzając dane wrażliwe, prowadzą analizę ryzyka, stosują środki ochrony przed złośliwym oprogramowaniem oraz mechanizmy kontroli dostępu, a także opracowują procedury bezpiecznej wymiany informacji. CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowe zespoły cyberbezpieczeństwa przetwarzają dane osobowe pozyskane w związku z incydentami i zagrożeniami cyberbezpieczeństwa:
- dotyczące użytkowników systemów informatycznych wykorzystywanych oraz użytkowników telekomunikacyjnych urządzeń końcowych;
- dotyczące telekomunikacyjnych urządzeń końcowych;
- gromadzone przez operatorów usług kluczowych i dostawców usług cyfrowych w związku ze świadczeniem usług;
- gromadzone przez podmioty publiczne w związku z realizacją zadań publicznych, dotyczące podmiotów zgłaszających incydent.
W celu realizacji zadań określonych w ustawie minister właściwy do spraw informatyzacji, dyrektor Rządowego Centrum Bezpieczeństwa, Pełnomocnik oraz organy właściwe do spraw cyberbezpieczeństwa przetwarzają dane osobowe pozyskane w związku z incydentami i zagrożeniami cyberbezpieczeństwa:
- gromadzone przez: operatorzy usług kluczowych i dostawcy usług cyfrowych w związku ze świadczeniem usług;
- gromadzone przez podmioty publiczne w związku z realizacją zadań publicznych;
- dotyczące podmiotów zgłaszających incydent.
Podsumowanie
Ustawa o krajowym systemie cyberbezpieczeństwa określa, do jakich czynności zobowiązani są operatorzy usług kluczowych, podmioty publicznych czy CSIRT. Minister cyfryzacji jako jeden z organów również posiada szereg obowiązków związanych z omawianym systemem.
Zgodnie z krajowym systemie cyberbezpieczeństwa podmioty zaangażowane w system, w tym m.in. minister cyfryzacji czy operatorzy usług kluczowych zobowiązane są w swoich działaniach dążyć do zapewnienia ciągłości działania oraz bezpieczeństwa państwa.
Dla systemu bezpieczeństwa istotne jest również rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług odpowiedzialnych za cyberbezpieczeństwo (Dz. U. poz. 2479).
Omawiana ustawa jest istotna nie tylko dla cyberbezpieczeństwa, porządku publicznego czy infrastruktury rynków finansowych, ale równie istotna jest dla takich przedsiębiorców, jak: przedsiębiorcy telekomunikacyjni, internetowe platformy handlowe oraz podmioty o szczególnym znaczeniu gospodarczo obronnym.