W dniu 9 maja 2017 r. rząd przyjął Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej (dalej jako „Krajowe Ramy”)[1], prezentujące główne cele strategii RP w zakresie cyberbezpieczeństwa na lata 2017–2022. Dokument ten określa ramowe działania, które mają doprowadzić do uzyskania wysokiego poziomu odporności na incydenty bezpieczeństwa przez systemy informatyczne zarządzane zarówno przez administrację publiczną, jak i przez operatorów usług kluczowych oraz dostawców usług cyfrowych.

****

Wizja i cele – Polska 2022

Krajowe Ramy stanowią efekt pracy przedstawicieli resortów cyfryzacji, obrony narodowej, spraw wewnętrznych i administracji oraz ABW, Rządowego Centrum Bezpieczeństwa i Biura Bezpieczeństwa Narodowego. Wizja, która została w nich zarysowana, przedstawia główny cel przyjęcia rządowej strategii:

W roku 2022 Polska będzie krajem bardziej odpornym na ataki i zagrożenia płynące z cyberprzestrzeni. Dzięki synergii działań wewnętrznych i międzynarodowych cyberprzestrzeń RP stanowić będzie bezpieczne środowisko umożliwiające realizowanie wszystkich funkcji państwa i pozwalać na pełne wykorzystywanie potencjału gospodarki cyfrowej, przy równoczesnym poszanowaniu praw i wolności obywateli.

Jednocześnie Krajowe Ramy wskazują na cztery cele szczegółowe, które mają zostać wypracowane do roku 2022:

  1. Osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania państwa.
  2. Wzmocnienie zdolności do przeciwdziałania cyberzagrożeniom.
  3. Zwiększanie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni.
  4. Zbudowanie silnej pozycji międzynarodowej RP w obszarze cyberbezpieczeństwa.

Każdy z tych celów ma być realizowany przez działania wskazane w Krajowych Ramach. Ze względu na fakt, że dokument ten jest aktem wewnętrznym przyjętym przez Radę Ministrów i nie obowiązuje powszechnie, jego adresatem są podmioty administracji rządowej i to one zobowiązane są do podejmowania działań, które mają sprzyjać realizacji wymienionych celów. Trzeba jednak podkreślić, że działania te będą miały bezpośredni wpływ na obywateli i przedsiębiorców funkcjonujących w Polsce, dlatego warto przybliżyć najistotniejsze z nich.

Istotne działania w zakresie cyberbezpieczeństwa

Na najbliższe lata planowany jest przegląd przez właściwych ministrów obowiązujących przepisów prawa dotyczących cyberbezpieczeństwa w celu ich harmonizacji i zwiększenia efektywności działania. Trzeba jednocześnie podkreślić, że w chwili obecnej brak jest jednej, kompleksowej regulacji w tym przedmiocie, co może utrudniać bieżące uspójnianie przepisów. Również założenia Krajowych Ram nie przewidują powstania takiej jednolitej regulacji.

Z pewnością wyzwaniem dla polskiego ustawodawcy będzie także implementacja dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium UE (dalej jako „dyrektywa NIS”)[2], która wprowadza wymagania w zakresie bezpieczeństwa wobec zarówno państwowych, jak i prywatnych podmiotów (więcej o regulacjach dyrektywy NIS tutaj). Ponadto istotne dla wdrożenia celów Krajowych Ram będzie przygotowanie się do wdrożenia ogólnego rozporządzenia o ochronie danych osobowych (dalej jako „RODO”)[3], które będzie obowiązywać od 25 maja 2018 r., a które wprowadza szereg wymagań w zakresie bezpieczeństwa przetwarzania danych osobowych, w tym także w kontekście ich ochrony w cyberprzestrzeni.

Z powyższymi działaniami – przeglądem i implementacją przepisów prawa – powiązany jest również plan opracowania i wdrożenia standardów oraz dobrych praktyk bezpieczeństwa sieci i systemów informatycznych. Wpisuje się on w nową tendencję dotyczącą rezygnacji ze sztywnej regulacji obszarów i wymogów technicznych przez przepisy prawa na rzecz zwiększenia roli międzynarodowych i polskich norm oraz certyfikacji i akredytacji przez wyspecjalizowane podmioty. Tendencja ta widoczna jest w szczególności w aktach europejskich, m.in. we wspomnianym RODO oraz dyrektywie NIS.

Rząd planuje także zbudować mechanizmy współpracy pomiędzy sektorem publicznym i prywatnym w zakresie działań związanych z cyberbezpieczeństwem, w szczególności poprzez efektywny system partnerstwa publiczno-prywatnego. Warto zauważyć, że prace w tym zakresie są już realizowane – przedstawiono projekt nowelizacji ustawy o partnerstwie publiczno-prywatnym, o którym piszemy tutaj i tutaj.

Skutki dla obywateli i przedsiębiorców

Jak sama nazwa sugeruje, Krajowe Ramy Polityki Cyberbezpieczeństwa określają jedynie ramowo planowane działania rządu w obszarze zapewnienia bezpieczeństwa w sieci. Dlatego też nie wynikają z nich szczegółowe plany, które już teraz pozwalałyby wskazać konkretne skutki dla przedsiębiorców lub obywateli w najbliższym czasie. Wyjątkiem w tym zakresie mogą być podjęte już działania związane z pracami nad nowelizacją ustawy o partnerstwie publiczno-prywatnym.

Pomimo ogólnego charakteru Krajowych Ram przyjęty przez rząd dokument niewątpliwie ma duże znaczenie, szczególnie z perspektywy określenia kierunków niezbędnych do podjęcia prac. Jest to bowiem pierwszy od roku 2013 (kiedy to przyjęto Politykę Ochrony Cyberprzestrzeni RP) dokument określający plany prac rządu w zakresie cyberbezpieczeństwa. O tym natomiast, że obecnie istnieje szczególna potrzeba zapewnienia odpowiednich działań w tym zakresie, świadczą coraz częstsze incydenty związane z wyciekiem danych lub próbami włamań na strony prowadzone przez państwowe jednostki. Dlatego też pozostaje mieć nadzieję, że Krajowe Ramy staną się podstawą do planowania dalszych, szczegółowych prac rządu i prowadzenia realnych działań w celu zapewnienia bezpieczeństwa w sieci, a w konsekwencji przyczynią się również do wzrostu poziomu cyberbezpieczeństwa w Polsce.

[1] https://mc.gov.pl/files/krajowe_ramy_polityki_cyberbezpieczenstwa_rzeczypospolitej_polskiej_na_lata_2017_-_2022.pdf.

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 194 z 19.07.2016, s. 1).

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1).