Ustawa o krajowym systemie cyberbezpieczeństwa Perspektywa administracji rządowej Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Plan wystąpienia Ustawa o krajowym systemie cyberbezpieczeństwa Kluczowe pojęcia Obowiązki organów właściwych Obowiązki operatorów usług kluczowych Zadania podmiotów publicznych Zgłaszanie incydentów oraz właściwe CSIRTy Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ustawa o krajowym systemie cyberbezpieczeństwa Przyjęta przez Sejm 5 lipca 2018 r. (Dz. U. z 2018 r. poz. 1560) Weszła w życie 28 sierpnia 2018 r. Cele ustawy: implementacja dyrektywy 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dyrektywa NIS) utworzenie funkcjonującego i spójnego systemu cyberbezpieczeństwa w Polsce Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Rozporządzenia wykonawcze Rozporządzenie RM w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych Rozporządzenie RM w sprawie progów uznania incydentu za poważny Rozporządzenie RM w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej Rozporządzenie MC w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu Rozporządzenie MC w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo Rozporządzenie RM w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa Rozporządzenie MC . w sprawie wzoru formularza do przekazywania informacji o naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych, które miało istotny wpływ na funkcjonowanie sieci lub usług Rozporządzenie MC w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Podmioty krajowego systemu cyberbezpieczeństwa Organy właściwe do spraw cyberbezpieczeństwa – siedem organów CSIRT poziomu krajowego – CSIRT GOV, CSIRT NASK, CSIRT MON; Operatorzy usług kluczowych i dostawcy usług cyfrowych; Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa Podmioty świadczące usługi z zakresu cyberbezpieczeństwa (CSIRT komercyjne) Rządowe Centrum Bezpieczeństwa (w zakresie zarządzania kryzysowego i ochrony infrastruktury krytycznej) Przedsiębiorcy telekomunikacyjni Podmioty publiczne Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Pojęcia ustawowe Usługa kluczowa Organ właściwy Operator usługi kluczowej Dostawca usługi cyfrowej Klasyfikacja incydentów CSIRT (zespół reagowania na incydenty) Pełnomocnik do spraw Cyberbezpieczeństwa Kolegium do spraw Cyberbezpieczeństwa Pojedynczy Punkt Kontaktowy Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Pojęcia ustawowe Usługa kluczowa – mająca kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymieniona w wykazie usług kluczowych. Dostawca usługi cyfrowej – osoba prawna albo jednostka organizacyjna z siedzibą na terytorium Rzeczypospolitej Polskiej, świadcząca usługę cyfrową (z wyjątkiem małych i mikroprzedsiębiorców), czyli wyszukiwarka internetowa, internetowa platforma handlowa i usługa przetwarzanai w chmurze. Klasyfikacja incydentów – nadanie incydentom odpowiedniej kategorii (odpowiednio incydent poważny, krytyczny, istotny, w podmiocie publicznym), przez właściwy zespół CSIRT, operatora usługi kluczowej lub dostawcę usługi cyfrowej. CSIRT – zespół reagowania na incydenty. Wyróżniamy trzy zespoły: CSIRT MON, CSIRT GOV oraz CSIRT NASK. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Pełnomocnik oraz Kolegium – zadania Pełnomocnik ds. Cyberbezpieczeństwa Kolegium ds. Cyberbezpieczeństwa analiza i ocena funkcjonowania krajowego systemu cyberbezpieczeństwa; nadzór nad procesem zarządzania ryzykiem krajowego systemu cyberbezpieczeństwa; opiniowanie dokumentów rządowych mających wpływ na realizację zadań z zakresu cyberbezpieczeństwa; inicjowanie krajowych ćwiczeń w zakresie cyberbezpieczeństwa; wydawanie rekomendacji dot. stosowania urządzeń lub oprogramowania (na wniosek CSIRTów). Wyrażanie opinii w sprawach: kierunków i planów na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa; wykonywania przez odpowiednie organy powierzonych im zadań na rzecz przeciwdziałania zagrożeniom; współdziałania zespołów CSIRT; organizacji wymiany informacji istotnych dla cyberbezpieczeństwa między organami administracji rządowej. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Minister właściwy ds. informatyzacji - zadania Minister Cyfryzacji - Pojedynczy Punkt Kontaktowy Współpraca Międzynarodowa – Grupa Współpracy CSIRT poziomu krajowego Organy właściwe Tworzenie ram prawnych funkcjonowania obszaru cyberbezpieczeństwa RP, w tym czuwanie nad ich spójnością. Realizacja zadań edukacyjno-informacyjnych. Rekomendowanie obszarów współpracy z sektorem prywatnym w celu zwiększenia cyberbezpieczeństwa Rzeczypospolitej Polskiej. Gromadzenie informacji o incydentach poważnych, które dotyczą lub zostały przekazane przez inne państwo członkowskie Unii Europejskiej. Udostępnianie informacji i dobrych praktyk związanych ze zgłaszaniem incydentów przez OUK oraz DUC. Kontrola spełniania przez podmioty świadczące usług z zakresu cyberbezpieczństwa wymagań organizacyjnych i technicznych. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji Pojedynczy Punkt Kontaktowy - broker informacyjny działań wszystkich interesariuszy KSC Gromadzenie i przetwarzanie informacji z organów właściwych m.in. prowadzenie wykazu operatorów usług kluczowych. Odbieranie zgłoszeń incydentu poważnego lub incydentu istotnego dotyczącego dwóch lub większej liczby państw UE z PPK w innych państwach UE, a także przekazywanie tych zgłoszeń do CSIRT MON, CSIRT NASK, CSIRT GOV lub sektorowych zespołów cyberbezpieczeństwa; Przekazywanie, na wniosek właściwego zespołu CSIRT zgłoszenia incydentu poważnego lub incydentu istotnego dotyczącego dwóch lub większej liczby państw UE do PPK w innych państwach UE; Koordynacja współpracy między organami właściwymi i organami władzy publicznej w RP z odpowiednimi organami w państwach UE; Zapewnienie wymiany informacji na potrzeby Grupy Współpracy oraz Sieci CSIRT PPK przekazuje organom właściwym, zespołom CSIRT sektorowym zespołom cyberbezpieczeństwa oraz innym organom władzy publicznej informacje pochodzące z Grupy Współpracy m.in. dobre praktyki dot. identyfikowania OUK, szacowania ryzyka, zgłaszania i obsługi incydentów poważnych i istotnych itd. Ministerstwo Cyfryzacji
Organy właściwe Organy właściwe KNF MZ/MON KNF ME MC/MON MI + MGMiŻŚ MGMiŻŚ Banki + infrastruktura rynków finansowych Energia Infrastruktura cyfrowa Transport Wodno-kanalizacyjny Dostawcy usług cyfrowych Służba zdrowia Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Organy właściwe ds. cyberbezpieczeństwa - zadania 1) analizują sektor i wydają decyzje administracyjne o uznaniu za OUK, 2) przygotowują (we współpracy z CSIRTami) rekomendacje, w tym wytyczne sektorowe dot. zgłaszania incydentów, 3) monitorują stosowanie przepisów ustawy przez OUK i DUC, 4) wzywają (na wniosek CSIRTów) do usunięcia w wyznaczonym czasie podatności, 5) prowadzą kontrole OUK i DUC, 6) na wniosek CSIRT wzywają OUK lub DUC do usunięcia podatności 7) mogą ustanowić sektorowy zespół cyberbezpieczeństwa Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Rozporządzenie RM w sprawie wykazu usług kluczowych Weszło w życie 22 września br. Rozporządzenie ma kluczowe znaczenie dla przeprowadzenia przez organy właściwe identyfikacji operatorów usług kluczowych, a następnie w toku postepowania administracyjnego, wydania decyzji o uznaniu/nie uznaniu podmiotu za operatora. Wymieniono nazwy sektorów i podsektorów. Określono nazwy usług kluczowych w poszczególnych sektorach i podsektorach. Opisany jest rodzaj podmiotu. Wskazano także progi istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Istotny skutek zakłócający dotyczy: liczby użytkowników zależnych od świadczonej usługi; zależności innych sektorów od usługi świadczonej przez ten podmiot; wpływu, jaki incydent mógłby mieć na działalność gospodarczą i społeczną lub bezpieczeństwo publiczne; udziału podmiotu świadczącego usługę kluczową w rynku; zasięgu geograficznego związanego z obszarem, którego mógłby dotyczyć incydent; znaczenie podmiotu dla utrzymywania wystarczającego poziomu świadczenia usługi przy uwzględnieniu dostępności alternatywnych sposobów jej świadczenia.
Operator usługi kluczowej Jest to podmiot, który: należący do jednego z sektorów, podsektorów oraz rodzajów podmiotów wymienionych w załączniku do ustawy, świadczy usługę wymienioną w wykazie usług kluczowych; świadczenie tej usługi kluczowej zależy od systemów informacyjnych; incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Wyznaczanie operatora usługi kluczowej OW bada rynek, szukając potencjalnych OUK OW wszczyna post. adm. i zbiera inf. o podmiocie OW sprawdza, czy podmiot spełnia wymogi z rozporządzenia OUK realizuje obowiązki wynikające z ustawy OUK ma 3-12 m-cy na dostosowanie się do wymogów OW wskazuje OUK (decyzją administracyjną) Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Obowiązki dla operatora usługi kluczowej W terminie 3 miesięcy od dostarczenia decyzji W terminie 6 miesięcy W terminie 12 miesięcy od dostarczenia decyzji dokonuje szacowania ryzyka dla swoich usług kluczowych wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne przygotowuje pierwszy audyt w rozumieniu ustawy zarządza incydentami i obsługuje incydenty zbiera informacje o zagrożeniach i podatnościach wyznacza osobę kontaktową z właściwym CSIRT, Organem Właściwym stosuje środki zapobiegające i ograniczające wpływ incydentów prowadzi działania edukacyjne wobec użytkowników stosuje wymaganą dokumentację przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom zgłasza incydenty poważne usuwa wskazywane podatności Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Szacowanie ryzyka OUK dokonuje szacowania ryzyka wystąpienia incydentu i wdraża odpowiednie do tego środki techniczne i organizacyjne Jaka metodologia?: PN-ISO/IEC 27001 Rekomendacje z serii 800 wydawane przez NIST Np. ENISA - Guidelines on assessing DSP and OES compliance to the NISD security requirements Information Security Audit and Self – Assessment/ Management Frameworks (listopad 2018) – mapowanie najczęściej używanych metodologii szacowania ryzyka Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Obowiązki podmiotów publicznych Podmiot publiczny: realizujący zadania publiczne zależne od systemu informacyjnego (art. 4 pkt 7-15) m.in. jednostki sektora finansów publicznych (art. 9 UoFP), instytuty badawcze BGK, NBP, NFOŚIGW, spółki prawa handlowego realizujące zadania o charakterze użyteczności publicznej . Zadania m.in: Wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami z KSC. Zapewnia zarządzanie incydentem w podmiocie publicznym. Zgłasza incydent nie później niż w ciągu 24 h do właściwego CSIRT. Zapewnia obsługę incydentu w podmiocie publicznym i incydentu krytycznego.
Wyłączenie w Prawie zamówień publicznych Ustawa o KSC zmienia także art. 89 ust. 1 pkt 7d Rozszerzono prawo odrzucenia oferty ze względów bezpieczeństwa Jest to zgodne z linią orzeczniczą KIO Podstawa do wyłączeń niebezpiecznych technologii
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Definicje incydentów incydent – każde zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo – dobrowolność zgłaszania! incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej – OUK mają obowiązek zgłaszania! Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Definicje incydentów incydent w podmiocie publicznym – incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny, o których mowa w art. 4 pkt 7-15; incydent istotny – incydent, który ma istotny wpływ na świadczenie usługi cyfrowej –dotyczy DUC. incydent krytyczny – incydent, skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi – klasyfikowane przez CSIRTy Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa CSIRT Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Rozporządzenie RM w sprawie progów uznania incydentu za poważny Weszło w życie 22 listopada br. Wskazane są progi, które określają warunki, kiedy należy uznać dany incydent za poważny – czyli taki, który OUK mają obowiązek zgłaszać. Uwaga! To OUK dokonują na podstawie tego rozporządzenia klasyfikacji incydentu jako poważnego i następnie niezwłocznie zgłaszają go do właściwego CSIRTu. Przykładowe progi: dla poboru wody uznano, że poważnym jest incydent, który doprowadził do braku dostępności usługi dla co najmniej 100 000 użytkowników przez czas dłuższy niż 8 godzin; Dla prowadzenia punktu wymiany ruchu internetowego (IXP) nieplanowany brak dostępności usługi przez co najmniej 8 godzin; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Rozporządzenie MC w sprawie warunków organizacyjnych i technicznych (art.14 UKSC) OUK mogą wykonywać część swoich obowiązków nałożonych przez ustawę poprzez wewnętrzne struktury albo poprzez podmioty zewnętrzne, kontraktowane na zasadach komercyjnych – tzw. CSIRTy komercyjne. Do wymogów organizacyjnych zalicza się: posiadanie wdrożonego systemu zarządzania bezpieczeństwem informacji, zapewnianie ciągłości działania usłudze reagowania na incydenty, zapewnienie wsparcia operatorowi w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej, dysponowanie personelem posiadającym odpowiednie umiejętności i doświadczenie. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Zadania CSIRTów monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym; klasyfikowanie incydentów, w tym incydentów poważnych oraz istotnych, jako incydenty krytyczne oraz koordynowanie ich obsługi; szacowanie ryzyka związanego z ujawnionym zagrożeniem; współpraca z sektorowymi zespołami cyberbezpieczeństwa; przekazywanie informacji dot. incydentów i ryzyka podmiotom KSC; udział w sieci CSIRT państw UE; przekazywanie do innych państw oraz PPK informacji o incydentach poważnych i istotnych dot. dwóch lub większej liczby państw członkowskich wydawanie komunikatów o zidentyfikowanych zagrożeniach; reagowanie na zgłoszone incydenty; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Etapy obsługi incydentów oraz przekazywanie informacji o incydencie wg UKSC OBSŁUGA INCYDENTU PRZEKAZYWANIE INFORMACJI O INCYDENCIE PRZEZ OPERATORA USŁUGI KLUCZOWEJ Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Objęcie przedsiębiorstw telekomunikacyjnych obowiązkiem zgłaszania incydentów do jednego systemu Przedsiębiorcy telekomunikacyjni będą włączeni do systemu raportowania incydentów, za pośrednictwem Prezesa UKE, na podstawie obowiązku nałożonego na UKE przy wykorzystaniu obecnie obowiązujących przepisów. Prezes UKE (który jest użytkownikiem systemu służącego m.in. do zgłaszania i obsługi incydentów) zgodnie z zapisami projektu przekazuje informacje do CSIRT właściwego dla zgłaszającego przedsiębiorcy telekomunikacyjnego. Rozporządzenie MC w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług
Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa Dziękuję za uwagę Tomasz Wlaź (tomasz.wlaz@mc.gov.pl) ppk_ksc@mc.gov.pl Departament Cyberbezpieczeństwa Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa