Narodowe Centrum Badań i Rozwoju

Aktualności

Artykuł Cyberbezpieczeństwo – najnowsze regulacje i główne funkcje

Cyberbezpieczeństwo – najnowsze regulacje i główne funkcje

W związku z tym, że właściwie w każdej dziedzinie życia obecnie spotykamy się z cyfrowym gromadzeniem i przetwarzaniem danych, cyfrowym sterowaniem urządzeniami i jednolitymi systemami informatycznymi oraz dostępem do niektórych systemów za pośrednictwem sieci Internet mamy do czynienia z całkiem nową kategorią bezpieczeństwa. Jest to bezpieczeństwo cyfrowe, zwane cyberbezpieczeństwem. O jego rosnącym znaczeniu świadczy najlepiej fakt, iż na szczycie NATO w Warszawie w lipcu 2016 roku cyberprzestrzeń stała się jednym z obszarów traktatowej odpowiedzialności, w tym także zobowiązań obrony kolektywnej na podstawie art. 5 Traktatu Północnoatlantyckiego z dnia 4 kwietnia 1949 roku.

W tym samym czasie przyjęta została m. in. tzw. Dyrektywa NIS, czyli Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej. Dyrektywa NIS wiąże każde państwo członkowskie w odniesieniu do rezultatu, jaki powinien zostać osiągnięty w zakresie cyberbezpieczeństwa. Kraje członkowskie mają przy tym swobodę wyboru formy i środków realizacji wynegocjowanych postanowień.

Dyrektywa NIS swoim zakresem regulacji obejmuje dwie grupy podmiotów: tzw. operatorów usług kluczowych (przedsiębiorców z sektorów energetyki, transportu, bankowości i infrastruktury rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną, infrastruktury cyfrowej) oraz dostawców usług cyfrowych (internetowych platform handlowych, wyszukiwarek internetowych, usług przetwarzania w chmurze). Dyrektywa nie mówi bezpośrednio nic o bezpieczeństwie obywateli Unii Europejskiej. Z jej zakresu wyłączono natomiast serwisy społecznościowe oraz bezpieczeństwo cybernetyczne administracji publicznych poszczególnych państw członkowskich.

W trend kierunku rozwoju cyberbezpieczeństwa w Unii Europejskiej wpisuje się również Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.U. UE L 119/1), wprowadzające szereg kluczowych zmian w zakresie ochrony danych osobowych (Więcej na ten temat w artykule pod adresem: http://bridge.gov.pl/aktualnosc/pokaz/nowe-regulacje-w-ochronie-biometrycznych-danych-osobowych/ ). Obecnie powstaje projekt nowej ustawy o ochronie danych osobowych, odpowiadający na ww. Rozporządzenie.

Dyrektywa NIS zobowiązuje państwa członkowskie do przyjęcia strategii bezpieczeństwa sieci i systemów teleinformatycznych. Również w Polsce powstał projekt dokumentu zwanego Strategią Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022. Celem głównym strategii jest Zapewnienie wysokiego poziomu bezpieczeństwa sektora publicznego, sektora prywatnego oraz obywateli w zakresie świadczenia lub korzystania z usług kluczowych oraz usług cyfrowych. Wśród celów szczegółowych natomiast można wyróżnić:

1. Osiągnięcie zdolności do skoordynowanych w skali kraju działań służących  zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania państwa.

2. Wzmocnienie zdolności do przeciwdziałania cyberzagrożeniom.

3. Zwiększanie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni.

4. Zbudowanie silnej pozycji międzynarodowej RP w obszarze cyberbezpieczeństwa.

Strategia została nazwana Krajowymi Ramami Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 i przyjęta 9 maja 2017 r. uchwałą nr 52/2017 Rady Ministrów z dnia 27 kwietnia 2017 r. Jak czytamy na stronie Ministerstwa Cyfryzacji: Uchwała jest dokumentem, który prezentuje strategiczne podejście administracji rządowej do kwestii szeroko rozumianego cyberbezpieczeństwa. Obecnie pod kierunkiem Ministra Cyfryzacji trwają prace grupy roboczej, składającej się z przedstawicieli różnych organów administracji rządowej, nad opracowaniem Planu działań na rzecz wdrożenia Krajowych Ram Polityki Cyberbezpieczeństwa. Efektem tych prac będzie przedłożenie do akceptacji Radzie Ministrów wykazu przedsięwzięć, których realizacja umożliwi osiągnięcie celów założonych w uchwalonym dokumencie.

W odpowiedzi na powyższe regulacje prawa unijnego powstaje Projekt ustawy o krajowym systemie cyberbezpieczeństwa (nr projektu: UD31). Na stronie Kancelarii Prezesa Rady Ministrów możemy przeczytać, że celem ustawy jest w szczególności:

1. ustanowienie na szczeblu krajowym architektury ochrony systemów teleinformatycznych z uwzględnieniem regulacji międzynarodowych, oraz wskazanie organów władzy publicznej odpowiedzialnych za zarządzanie bezpieczeństwem informacji;

2. ustanowienie krajowego systemu reagowania na zagrożenia dla bezpieczeństwa informacji przetwarzanych w systemach teleinformatycznych, pochodzące z cyberprzestrzeni;

3. ustalenie zasad współpracy podmiotów zobowiązanych do wykrywania incydentów spowodowanych zagrożeniami cyberprzestrzeni i sposobów postępowania w okresie trwania tych incydentów;

4. prawne umocowanie dokumentu ustanawiającego krajową strategię bezpieczeństwa sieci i informacji mającą na celu osiągnięcie akceptowalnego poziomu cyberbezpieczeństwa Rzeczpospolitej Polskiej;

5. wskazanie sektorów gospodarki narodowej, dla których zastosowanie będą miały przepisy ustawy oraz określenie kryteriów kwalifikacji podmiotów objętych regulacją;

6. ustalenie poziomu istotności incydentu z zakresu bezpieczeństwa oraz wprowadzenie obowiązku notyfikowania incydentów wskazanemu organowi władzy publicznej;

7. ustalenie ustawowych wymagań i powinności z zakresu cyberbezpieczeństwa dla jednostek organizacyjnych z zakresu podmiotowego w obszarze organizacyjnym i technologicznym oraz delegowanie do aktów wykonawczych ustalenia szczegółów tych wymagań.

Efektem wprowadzonych regulacji będzie podniesienie odporności kluczowych usług świadczonych z wykorzystaniem technologii informatycznych na ataki pochodzące z cyberprzestrzeni. Tym samym projektowana regulacja przyczyni się do lepszego zapewnienia ciągłości działania tych usług, tak aby zarówno obywatele jak i przedsiębiorstwa mieli do nich stały dostęp.

Mówiąc o cyberbezpieczeństwie warto również wspomnieć o pracach zespołu działającego w ramach Biura Bezpieczeństwa Narodowego. W ramach BBN przyjęto bardzo użyteczną typologię dotyczącą cyberbezpieczeństwa, które dotyka 3 różnych sfer tj.:

·  sfera ochronna (tj. m.in. ochrona infrastruktury krytycznej, działania tzw. CERT-ów, reagowanie na incydenty, przyjęcie określonego poziomu zabezpieczenia),

·  tradycyjnie pojmowane bezpieczeństwo związane z łamaniem prawa i np. nieuprawnionym dostępem do informacji, przestępstwem, aktami terroryzmu czy szpiegostwem,

·  sfery typowo obronnej związanej z typowo wojskową cyberprzestrzenią i działaniem sił zbrojnych czy budowaniem narodowego kompleksu naukowo-przemysłowego.

Można powiedzieć, że takie działania jak prace badawczo-rozwojowe, edukacja czy współpraca międzynarodowa wykraczają poza te ramy i przenikają się wzajemnie. Ostatnie dyskusje nt. cyberbezpieczeństwa – toczone m.in. na takim forum jak Polskie Forum Cyberbezpieczeństwa – CYBERSEC PL wskazują, że niezbędna jest efektywna koordynacja działań we wszystkich tych obszarach i jak najszybsze przyjęcie ustawy służącej implementacji Dyrektywy NIS oraz nowych rozwiązań w niej uregulowanych – w szczególności w obliczu cyberataku który miał miejsce w maju 2017 roku i objął blisko 150 państw.

Na pewno duże znaczenie dla wzrostu poziomu cyberbezpieczeństwa ma fakt tworzenia nowych kierunków studiów poświęconych tej tematyce. Zaczynają również funkcjonować dedykowane komórki organizacyjne w administracji i służbach mundurowych poświęcone przeciwdziałaniu, wykrywaniu i zwalczaniu cyberzagrożeń. Tworzenie procedur i systemów związanych z cyberbezpieczeństwem to również szansa dla bardzo wielu  polskich przedsiębiorców, w tym szansa na tworzenie nowych rozwiązań i ich komercjalizację.

Warto na koniec wspomnieć również o programie CyberSecIdent NCBR, poświęconemu podniesieniu bezpieczeństwa cyberprzestrzeni RP poprzez zwiększenie dostępności rozwiązań sprzętowych i programistycznych. Obecnie ogłoszono II konkurs w ramach programu CyberSecIdent – o tematyce Cyberbezpieczeństwo i e-Tożsamość. Nabór wniosków będzie trwał od 1 sierpnia do 15 września 2017 roku.

Niniejsze opracowanie ma jedynie charakter informacyjny i niewiążący - nie stanowi ono porady, opinii ani wyjaśnienia z zakresu doradztwa prawnego czy biznesowego. Przed podjęciem jakichkolwiek decyzji lub działań, konieczna jest każdorazowa indywidualna analiza stanu faktycznego i niezbędna analiza wszystkich uwarunkowań. Autorzy nie ponoszą jakiejkolwiek odpowiedzialności za działania podmiotów podjęte na

Jakub Horn – prawnik, absolwent Wydziału Prawa i Administracji Uniwersytetu im. Adama Mickiewicza w Poznaniu, stały ekspert CoWinners, konsultant ds. prawnych Polskiej Platformy Bezpieczeństwa Wewnętrznego, uczestnik wielu projektów badawczo-rozwojowych w obszarze bezpieczeństwa i obronności państwa oraz innych przedsięwzięć, specjalizujący się w szczególności w zakresie prawa własności intelektualnej i szeroko rozumianych procedur komercjalizacji efektów prac B+R – w tym również prawa zamówień publicznych oraz ochrony danych osobowych

Zbigniew Krzewiński – doktor nauk ekonomicznych, główny konsultant firmy CoWinners Sp. z o.o., ekspert Ministerstwa Nauki i Szkolnictwa Wyższego, Fundacji na rzecz Nauki Polskiej oraz Narodowego Centrum Badań i Rozwoju, doradca w szeregu projektach z zakresu komercjalizacji i wdrożeń nowych technologii, specjalista w zakresie projektowania regulacji i rozwiązań związanych z zarządzaniem własnością intelektualną na uczelniach.

CoWinners Sp. z o.o. specjalistyczna firma doradcza zajmująca się konsultingiem komercjalizacji wyników badań oraz procedur i procesów z tym związanych.     

Przeczytaj również

Tagi:

Treść jest dostępna dla zalogowanych użytkowników.
 
 
 
Nie posiadasz jeszcze konta?
Kliknij tu, aby się zarejestrować
 
Nie pamiętasz hasła?
Kliknij, aby ustanowić nowe hasło

Ważne wydarzenia i terminy

 

Aktualności

Zasady bankowania tkanek w świetle znowelizowanej ustawy transplantacyjnej

W porównaniu do starej wersji ustawy transplatacyjnej, została wyraźnie rozróżniona kwestia przeszczepiania tkanek i komórek od...

więcej
Modele opłat licencyjnych

Bardzo dużym problemem w praktyce komercjalizacji może być jednak właściwy dobór opłat licencyjnych tak, aby zaproponowany model...

więcej

Publikacje dla praktyków

thumbImage
Polityka rachunkowości w ramach komercjalizacji B+R
Egzemplarz bezpłatny