Dnia 2 sierpnia 2019 r. Ministerstwo Cyfryzacji opublikowało projekt Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej na lata 2019-2024. Dokument ten stanowi kontynuację i poszerzenie działań podejmowanych przez administrację rządową w zakresie cyberbezpieczeństwa, których głównym celem jest podniesienie poziomu cyberbezpieczeństwa w Polsce oraz promowanie świadomości i dobrych praktyk w tym obszarze. Projekt obecnie podlega konsultacjom i uzgodnieniom – uwagi można zgłaszać do 16 sierpnia 2019 r.

Istota dokumentu

Projekt Strategii sporządzono w ramach wykonania obowiązków nałożonych ustawą o krajowym systemie cyberbezpieczeństwa[1] i dyrektywą NIS[2]. W uzasadnieniu projektu wskazano przede wszystkim na potrzebę zapewnienia bezpiecznego rozwoju w sferach gospodarczej i społecznej, które, jak zauważono, w dużej mierze oparte są o ciągle ewoluujące systemy informacyjne. Wraz z rozbudową tych systemów, która wywiera szczególny wpływ na kluczowe obszary gospodarki narodowej, takie jak komunikacja, handel, transport czy usługi finansowe, pojawiły się nowe zagrożenia, a liczba nielegalnych incydentów w cyberprzestrzeni stale rośnie.

Cele szczegółowe projektu Strategii

Aby przeciwdziałać negatywnym skutkom rozwoju technologii cyfrowych, opracowano pięć celów szczegółowych, które będą przyświecać rządowym działaniom na rzecz cyberbezpieczeństwa w latach 2019–2024:

  1. Cel nr 1: rozwój Krajowego Systemu Cyberbezpieczeństwa.
  2. Cel nr 2: poprawa odporności systemów informacyjnych sektora publicznego i prywatnego oraz skuteczne zapobieganie incydentom.
  3. Cel nr 3: rozbudowa potencjału narodowego w zakresie technologii wspierających cyberbezpieczeństwo.
  4. Cel nr 4: budowanie świadomości i kompetencji społecznych w zakresie cyberbezpieczeństwa.
  5. Cel nr 5: współpraca w zakresie działających na rzecz cyberbezpieczeństwa organizacji międzynarodowych.

Zaznaczono przy tym, że realizacja tych celów zależy od zaangażowania nie tylko (choć przede wszystkim) podmiotów administracji rządowej, ale także – pośrednio – podmiotów władzy publicznej, inwestorów i obywateli.

Po pierwsze, rozwój KSC

Pierwszy cel szczegółowy jest ściśle związany z planem rozwoju Krajowego Systemu Cyberbezpieczeństwa, którego podstawa znajduje się w ustawie o krajowym systemie cyberbezpieczeństwa. Dokonany ma zostać przede wszystkim przegląd przepisów ustawy pod kątem ich wdrożenia w praktyce, czyli rzeczywistej realizacji przez podmioty zobowiązane. Jeśli okaże się to konieczne, efektem przeglądu może być modyfikacja niektórych przepisów. W Strategii wskazano przy tym zwłaszcza na potrzebę uściślenia obowiązków dostawców usług cyfrowych, w tym usług chmury obliczeniowej.

Poza zmianami legislacyjnymi założenia pierwszego celu odnoszą się też do czynności o charakterze technicznym, przykładowo do wdrożenia w roku 2021 systemu teleinformatycznego wspierającego przekazywanie informacji dotyczących rekomendacji, naruszeń, ryzyk i ostrzeżeń w zakresie cyberbezpieczeństwa. Rząd w Strategii deklaruje także wsparcie dla operatorów usług kluczowych i dostawców usług cyfrowych (w szczególności zajmujących się technologią 5G) poprzez doprecyzowanie minimalnych wymagań bezpieczeństwa oraz poprzez aktywne działania w przypadku wystąpienia u operatorów tych usług incydentów poważnych. Ponadto do roku 2020 ma powstać metodyka szacowania ryzyka na poziomie krajowym, która zapewnić ma porównywalność szacowań w różnych sektorach gospodarki, w tym zwłaszcza na potrzeby raportu o zagrożeniach bezpieczeństwa narodowego.

Po drugie, większa odporność systemów na zagrożenia

Drugi cel wyznaczony w projekcie Strategii dotyczy podniesienia odporności systemów informacyjnych sektora publicznego i prywatnego oraz skutecznego zapobiegania incydentom. W zakresie osiągnięcia tego celu pod uwagę wzięto znaczenie minimalnych wymagań technicznych i organizacyjnych, które muszą zostać określone, oraz możliwość weryfikacji ich przestrzegania. W tym celu zaplanowano opracowanie Narodowych Standardów Cyberbezpieczeństwa – minimalnych wymogów dotyczących w szczególności aplikacji, urządzeń mobilnych, stacji roboczych, serwerów i sieci, modeli chmur obliczeniowych, jak również utworzenie krajowego systemu oceny i certyfikacji, którego zadaniem będzie certyfikacja oprogramowania, urządzeń i usług w zakresie cyberbezpieczeństwa.

Po trzecie, rozbudowa technologii w obszarze cyberbezpieczeństwa

W ramach Strategii dostrzeżono także potrzebę rozbudowy potencjału narodowego w zakresie technologii funkcjonującej na rzecz cyberbezpieczeństwa, przede wszystkim poprzez stwarzanie korzystnych warunków dla rozwoju przedsiębiorstw i start-upów w obszarze projektowania i wytwarzania oprogramowania, z uwzględnieniem zasady security by design, analogicznej do funkcjonującej na gruncie RODO zasady privacy by design.

Istotnym krokiem w kierunku osiągnięcia tego celu będzie także umożliwianie realizacji programów badawczych, między innymi we współpracy z Narodowym Centrum Badań i Rozwoju, zmierzających do zwiększenia bezpieczeństwa korzystania z chmur obliczeniowych, sieci mobilnej łączności szerokopasmowej (5G i kolejnych generacji) czy megadanych (big data). W Strategii podkreślono także znaczenie Sił Zbrojnych RP jako organu wiodącego przewodnią rolę w systemie obronnym państwa, który, w związku z pojawieniem się zagrożeń w sieci, musi zmienić swój status działań oraz kompetencji w celu zapewnienia właściwego poziomu bezpieczeństwa państwa.

Po czwarte, budowa świadomości i kompetencji

Cel czwarty dotyczy budowania świadomości i kompetencji społecznych w zakresie cyberbezpieczeństwa. W kontekście jego realizacji zwrócono w szczególności uwagę na potrzebę wprowadzania możliwości edukacji na poziomie akademickim oraz podnoszenia kompetencji zawodowych poprzez systemy doskonalenia zawodowego. Grupą odbiorców działań podnoszących świadomość i kompetencje społeczne w zakresie cyberbezpieczeństwa mają jednak być wszyscy obywatele, gdyż działania te będą prowadzone w formie kampanii społecznych mających na celu zwrócenie uwagi społeczeństwa na zagrożenia związane z cyberbezpieczeństwem.

Po piąte, budowa międzynarodowej pozycji w obszarze cyberbezpieczeństwa

Piąty cel odnosi się do budowania pozycji międzynarodowej Polski w obszarze cyberbezpieczeństwa i oparty jest na współpracy w ramach organizacji międzynarodowych działających na rzecz cyberbezpieczeństwa, w tym przede wszystkim Organizacji Traktatu Północnoatlantyckiego, ONZ i Grupy Wyszehradzkiej.

Jednocześnie planowana jest współpraca na poziomie operacyjno-technicznym w ramach sieci CSIRT – mechanizmu stworzonego na podstawie dyrektywy NIS, w skład którego wchodzą przedstawiciele CSIRT wszystkich państw członkowskich oraz organy UE. W projekcie Strategii podkreślono także konieczność intensyfikacji działań na rzecz zapewnienia bezpieczeństwa Jednolitego Rynku Cyfrowego, czyli realizowanego na poziomie UE projektu, którego zadaniem jest usunięcie ograniczeń krajowych w zakresie transakcji dokonywanych za pośrednictwem Internetu.

Wdrożenie założeń Strategii

Projekt Strategii zakłada wdrożenie określonych w nim celów w ciągu pięciu lat, za co odpowiadać ma Minister Cyfryzacji, którego zobowiązano przy tym do uściślenia scharakteryzowanych na razie dość ogólnie założeń. W ciągu sześciu miesięcy od przyjęcia Strategii Minister ma przedstawić Radzie Ministrów do akceptacji Plan działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa, który będzie obejmował konkretne działania, ich harmonogram i koszty, a także określenie podmiotów odpowiedzialnych za ich realizację. Projekt Strategii zakłada także możliwość opracowania niezależnego od wymienionego wyżej planu Ministra Cyfryzacji Planu działań przez Ministra Obrony Narodowej.

Ministra Cyfryzacji zobowiązano także do corocznego składania sprawozdania z postępów wdrażania Strategii w celu oceny, czy jest ona należycie realizowana.

Znaczenie Strategii dla przedsiębiorców

Projekt Strategii, chociaż porządkuje cele państwa w obszarze cyberbezpieczeństwa na najbliższe pięć lat, ma charakter bardzo ogólny i nie zawiera szczegółowego opisu działań mających prowadzić do ich osiągnięcia. Wydaje się jednak, iż taki właśnie był zamysł dokumentu, zwłaszcza że wkrótce opracowany ma zostać Plan działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa, który będzie konkretyzować nakreślone w nim koncepcje.

Tym niemniej analiza projektu Strategii dostarcza pewnych istotnych dla rynku informacji. Dotyczy to zwłaszcza planowanego przeglądu ustawy o krajowym systemie cyberbezpieczeństwa, który może doprowadzić do zmian legislacyjnych, w tym dostosowania (zmniejszenia, zwiększenia bądź reformy) obowiązków nałożonych na podmioty zobowiązane do jej stosowania. Z uwagi na ciągle jeszcze niski stopień świadomości tych obowiązków wśród przedsiębiorców świadczących usługi cyfrowe, takie jak platformy handlowe, wyszukiwanie czy chmury obliczeniowe, zmiany legislacyjne mogą ich zmobilizować do wdrożenia wymogów ustawy.

[1] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560).

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 194 z 19.07.2016, s. 1).