Dnia 2 sierpnia 2019 r. Ministerstwo Cyfryzacji opublikowało projekt Strategii Cyberbezpieczeństwa RP na lata 2019-2024 (link) Dokument ten stanowi kontynuację i poszerzenie działań podejmowanych przez administrację rządową w zakresie cyberbezpieczeństwa, których głównym celem jest podniesienie poziomu cyberbezpieczeństwa w Polsce oraz promowanie świadomości i dobrych praktyk w tym zakresie. Projekt obecnie podlega konsultacjom i uzgodnieniom – uwagi można zgłaszać do dnia 16 sierpnia 2019 r.

Istota dokumentu

Przygotowanie projektu Strategii stanowi jednocześnie wykonanie obowiązków nałożonych ustawą o krajowym systemie cyberbezpieczeństwa i dyrektywą NIS. Jako uzasadnienie wydania Projektu Strategii wyszczególniono przede wszystkim zapewnienie bezpiecznego rozwoju w sferze gospodarczej i społecznej, która, jak zauważono, w dużej mierze oparta jest o ciągle rozwijające się systemy informacyjne. Wraz z ich rozwojem, który szczególny wpływ wywiera na kluczowe obszary gospodarki narodowej takie jak komunikacja, handel, transport czy usługi finansowe, pojawiły się także i zagrożenia przejawiające się zwiększającą się liczbą nielegalnych incydentów w cyberprzestrzeni.

Cele szczegółowe projektu Strategii

Aby przeciwdziałać negatywnym skutkom rozwoju technologii cyfrowych opracowano pięć celów szczegółowych, które przeświecać będą rządowym działaniom na rzecz cyberbezpieczeństwa na lata 2019-2024:

  1. Cel nr 1 – rozwój Krajowego Systemu Cyberbezpieczeństwa;
  2. Cel nr 2 – poprawienie odporności systemów informacyjnych sektora publicznego i prywatnego oraz skutecznego zapobiegania incydentom;
  3. Cel nr 3 – rozbudowa potencjału narodowego w zakresie technologii funkcjonującej na rzecz cyberbezpieczeństwa;
  4. Cel nr 4 – budowanie świadomości i kompetencji społecznych w zakresie cyberbezpieczeństwa.
  5. Cel nr 5 – współpraca w zakresie działających na rzecz cyberbezpieczeństwa organizacji międzynarodowych

Zaznaczono przy tym, że realizacja tych celów zależy od zaangażowania przede wszystkim podmiotów administracji rządowej, ale także pośrednio – podmiotów władzy publicznej, inwestorów i obywateli.

Po pierwsze, rozwój KSC

Pierwszy cel opiera się na planie rozwoju Krajowego Systemu Cyberbezpieczeństwa, który swoją podstawę znajduje w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Planowane jest dokonanie zwłaszcza przeglądu przepisów ustawy pod względem ich wdrożenia w praktyce – rzeczywistej realizacji przez podmioty zobowiązane. Nie jest wykluczone, że jeśli okaże się to konieczne, efektem tego przeglądu będzie modyfikacja niektórych przepisów. Strategia wskazuje przy tym w szczególności na potrzebę uściślenia obowiązków dostawców usług cyfrowych, w tym usług chmur obliczeniowych.

Poza zmianami legislacyjnymi, założenia pierwszego celu dotyczą także czynności o charakterze technicznym tj. np. wdrożenia w 2021 r. systemu teleinformatycznego wspierającego przekazywanie informacji dotyczących rekomendacji, naruszeń, ryzyk i ostrzeżeń w zakresie cyberbezpieczeństwa. Rząd w Strategii deklaruje także wparcie operatorów usług kluczowych i dostawców usług cyfrowych poprzez doprecyzowanie minimalnych wymagań bezpieczeństwa (w szczególności zajmujących się technologią 5G) oraz podjęcie aktywnych działań w związku z wystąpieniem incydentów poważnych u operatorów tych usług. Jednocześnie do 2020 r. powstać ma metodyka szacowania ryzyka na poziomie krajowym, która zapewnić ma porównywalność szacowań w różnych sektorach gospodarki, w szczególności na potrzeby raportu o zagrożeniach bezpieczeństwa narodowego.

Po drugie, większa odporność systemów na zagrożenia

Drugi cel wyznaczony w projekcie Strategii dotyczy poprawienia odporności systemów informacyjnych sektora publicznego i prywatnego oraz skutecznego zapobiegania incydentom. W zakresie osiągnięcia tego celu pod uwagę wzięto znaczenie minimalnych wymagań technicznych i organizacyjnych, które muszą zostać opracowane oraz możliwość weryfikacji ich przestrzegania. W tym celu zaplanowano opracowanie Narodowych Standardów Cyberbezpieczeństwa w zakresie minimalnych standardów dot. w szczególności aplikacji, urządzeń mobilnych, stacji roboczych, serwerów i sieci, modeli chmur obliczeniowych, a także utworzenie krajowego systemu oceny i certyfikacji, którego zadaniem będzie certyfikacja oprogramowania, urządzeń i usług w zakresie cyberbezpieczeństwa.

Po trzecie, rozbudowa technologii w obszarze cyberbezpieczeństwa

W ramach Strategii zauważono również potrzebę rozbudowy potencjału narodowego w zakresie technologii funkcjonującej na rzecz cyberbezpieczeństwa, przede wszystkim poprzez stwarzanie warunków rozwoju dla przedsiębiorstw i start-upów w obszarze projektowania i wytwarzania oprogramowania, z uwzględnieniem zasady Security by Design, analogicznej do funkcjonującej na gruncie RODO zasady Privacy by Design.

Istotnym elementem realizacji tego celu jest także umożliwianie realizacji programów badawczych m.in. we współpracy z Narodowym Centrum Badań i Rozwoju, tak aby zwiększyć bezpieczeństwo korzystania z chmury obliczeniowych, sieci mobilnej łączności szerokopasmowej (5G i kolejnych generacji), czy megadanych (Big Data). W Strategii podkreślono także znaczenie Sił Zbrojnych RP, jako organu wiodącego przewodnią rolę w systemie obronnym państwa, który w związku z pojawieniem się zagrożeń w sieci, musi zmienić swój status działań oraz kompetencji w celu zapewnienia właściwego poziomu bezpieczeństwa państwa.

Po czwarte, budowa świadomości i kompetencji

Cel czwarty dotyczy budowania świadomości i kompetencji społecznych w zakresie cyberbezpieczeństwa. W ramach jego realizacji zwrócono w szczególności uwagę na potrzebę wprowadzania możliwości edukacji na poziomie akademickim oraz podnoszenia kompetencji zawodowych poprzez systemy doskonalenia zawodowego. Grupą odbiorców w zakresie realizacji tego celu mają być jednak wszyscy obywatele, co odbywać się będzie poprzez prowadzenie kampanii społecznych mających na celu zwrócenie uwagi społeczeństwa na zagrożenia wynikające z cyberbezpieczeństwa.

Po piąte, budowa międzynarodowej pozycji w obszarze cyberbezpieczeństwa

Piąty cel odnosi się do budowania pozycji międzynarodowej Polski w obszarze cyberbezpieczeństwa i oparty jest na współpracy w zakresie organizacji międzynarodowych działających na rzecz cyberbezpieczeństwa, w tym przede wszystkim Organizacji Traktatu Północnoatlantyckiego, ONZ i Grupy Wyszehradzkiej.

Jednocześnie planowana jest współpraca na poziomie operacyjno-technicznym w ramach Sieci CSIRT, czyli mechanizmu stworzonego na podstawie Dyrektywy NIS, w skład, którego wchodzą przedstawiciele CSIRT wszystkich państw członkowskich oraz organy UE. W projekcie Strategii podkreślono także konieczność intensyfikacji działań na rzecz zapewnienia bezpieczeństwa Jednolitego Rynku Cyfrowego, czyli projektu na poziomie UE, którego zadaniem jest usunięcie ograniczeń krajowych w zakresie transakcji dokonywanych za pośrednictwem Internetu.

Wdrożenie założeń Strategii

Projekt Strategii zakłada wdrożenie określonych w nim celów w przeciągu pięciu lat, za co odpowiedzialny jest Minister Cyfryzacji. W celu uściślenia założeń Strategii, które zostały zaprezentowane w sposób ogólny, Minister został zobowiązany do przedstawienia do akceptacji Rady Ministrów w ciągu sześciu miesięcy od przyjęcia Strategii, „Planu działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa”, który będzie obejmował konkretne działania, ich harmonogram i koszty, a także określenie podmiotów odpowiedzialnych za ich realizację. Projekt Strategii zakłada także możliwość opracowania niezależnego od wymienionego wyżej planu Ministra Cyfryzacji, Planu działań Ministra Obrony Narodowej.

Każdego roku oraz po upływie sześciu miesięcy od wdrożenia Strategii, Minister Cyfryzacji zobowiązany został do składania sprawozdania z postępów wdrażania Strategii, w celu oceny, czy jest ona należycie realizowana.

Znaczenie Strategii dla przedsiębiorców

Projekt Strategii, chociaż porządkuje cele państwa na najbliższe pięć lat w zakresie cyberbezpieczeństwa, ma jednak charakter ogólny nie przedstawia konkretnych działań w tym zakresie. Wydaje się jednak, że takie było jego założenie, zwłaszcza że planowane jest opracowanie „Planu działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa”, który będzie w pewien sposób konkretyzował ogólne założenia Strategii.

Niemniej jednak, analiza projektu Strategii dostarcza pewnych istotnych dla rynku informacji. Dotyczy to zwłaszcza planowanego przeglądu ustawy o krajowym systemie cyberbezpieczeństwa, który może doprowadzić do zmian legislacyjnych – w tym dostosowania (zmniejszenia bądź zwiększenia, albo też zmiany) obowiązków nałożonych na podmioty zobowiązane do stosowania ustawy. Mając na uwadze niski stopień świadomości co do tych obowiązków wśród przedsiębiorców świadczących usługi cyfrowe, takie jak platformy handlowe, wyszukiwanie czy chmura, zmiany legislacyjne mogą ich zmobilizować do wdrożenia wymogów ustawy o KSC.