Krajowy system bezpieczeństwa, który ma powstać dzięki ustawie, ma zapobiegać, wykrywać oraz minimalizować skutki incydentów naruszających bezpieczeństwo informatyczne kraju. W piątek sejmowa podkomisja przyjęła do projektu poprawki i skierowała go do komisji.

Jak wskazują autorzy projektu celem ustawy jest organizacja oraz określenie sposobu funkcjonowania krajowego systemu cyberbezpieczeństwa (KSC). W projekcie wskazano sektory gospodarki narodowej, których będą dotyczyły przepisy oraz określono kim są dostawcy usług cyfrowych i operatorzy usług kluczowych.

To, jakie przedsiębiorstwa i w jakich branżach zostaną operatorami usług kluczowych czy usług cyfrowych określi rozporządzenie Ministra Cyfryzacji, które obecnie jest w konsultacjach publicznych. Według szacunków MC, decyzją administracyjną zostanie wyznaczonych ok. 335 operatorów.

Będą oni musieli systematycznie szacować ryzyka wystąpienie incydentu, który może mieć wpływ na cyberbezpieczeństwo. Ich zadaniem będzie też zbieranie informacji o zagrożeniach cyberbezpieczeństwa oraz stosowanie środków im zapobiegających. I tak - jak zakłada ustawa - operator w ciągu 24 godzin od momentu wykrycia i skwalifikowania incydentu musi je zgłosić do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, czyli do specjalnych zespołów reagowania działających na poziomie krajowym.

CSIRT MON prowadzony ma być przez ministra obrony narodowej, CSIRT NASK - jak zakłada projekt - poprowadzi Naukowa i Akademicka Sieć Komputerowa, a CSIRT GOV będzie podlegać szefowi Agencji Bezpieczeństwa Wewnętrznego. CSIRT-y wraz z Rządowym Centrum Bezpieczeństwa stworzą Zespół ds. Incydentów Krytycznych.

Operatorzy usług kluczowych będą zobowiązani m.in. raz na dwa lata ponieść koszty audytu. Szacuje się, że koszt jednostkowy takiej kontroli wyniesie 50 tys. zł. Projekt zakłada, że audyt po raz pierwszy ma być przeprowadzony w 2019 r., a następnie, co 2 lata.Za niedopełnienie swoich obowiązków zarówno operatorzy usług kluczowych jak i dostawcy usług cyfrowych poniosą kary finansowe.

Projektowana ustawa przewiduje, że premier powoła pełnomocnika ds. cyberbezpieczeństwa. Do jego zadań będzie należało koordynowanie i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa kraju.

Przewiduje się, że proponowane przepisy wejdą w życie 14 dni po ogłoszeniu w Dzienniku Ustaw.