3. Ramy prawne CSIRT/CERT

3.3. PODSUMOWANIE

ℹ️

o   Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. dotycząca środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w całej Unii (Dyrektywa NIS) została przyjęta przez Parlament Europejski.

o   W dyrektywie w sprawie bezpieczeństwa sieci i informacji przewidziano środki prawne mające na celu podniesienie ogólnego poziomu bezpieczeństwa cybernetycznego w UE poprzez zapewnienie:

    • gotowości państw członkowskich poprzez wymaganie od nich odpowiedniego wyposażenia. Na przykład powołania zespołem reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRT) i właściwego krajowym organu ds. bezpieczeństwa sieci i informacji,
    • współpracy między wszystkimi państwami członkowskimi poprzez utworzenie Grupy Współpracy, która będzie wspierać i ułatwiać współpracę strategiczną i wymianę informacji między państwami członkowskimi.
    • kultury bezpieczeństwa w sektorach, które mają kluczowe znaczenie dla naszej gospodarki i społeczeństwa, a ponadto w znacznym stopniu opierają się na TIK, takich jak energetyka, transport, gospodarka wodna, bankowość, infrastruktura rynków finansowych, opieka zdrowotna i infrastruktura cyfrowa.

o   Państwa członkowskie przyjęły różne podejścia do wdrażania NIS.

o   Ramy prawne dla zespołów CSIRT/CERT w Republice Czeskiej są częściowo określone w ustawie o cyberbezpieczeństwie. Ustawa określa warunki istnienia krajowych i rządowych zespołów CSIRT/CERT, ale z drugiej strony nie ogranicza możliwości tworzenia i istnienia innych zespołów CSIRT/CERT.

Na podstawie ustawy o cyberbezpieczeństwie w Republice Czeskiej obowiązkowo powoływane są dwa zespoły CERT/CSIRT: krajowy i rządowy. Każdy z tych zespołów ma ściśle określone prawa i obowiązki (§ 17 i nast. ustawy o zespołach CERT).

Ramy prawne dla zespołów CSIRT/CERT w Polsce

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa wyróżnia 3 krajowe CSIRT-y:

-       CSIRT GOV - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, kierowany przez Szefa Agencji Bezpieczeństwa Wewnętrznego

-       CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, kierowany przez Ministra Obrony Narodowej

-       CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, kierowany przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy

Ponadto w ustawie wymieniono następujące podmioty wchodzące w skład krajowego systemu bezpieczeństwa cybernetycznego:

-       operatorzy podstawowych usług;

-       dostawców usług cyfrowych;

-       sektorowe zespoły ds. bezpieczeństwa cybernetycznego;

-       jednostki sektora finansów publicznych, o których mowa w art. 1. 9 pkt 1-6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia

-       2009 r. o finansach publicznych (Dz.U. z 2017 r. poz. 2077 oraz z 2018 r. poz. 62, 1000 i 1366);

-       instytuty badawcze;

-       Narodowy Bank Polski;

-       Bank Gospodarstwa Krajowego;

-       Urząd Dozoru Technicznego;

-       Polska Agencja Żeglugi Powietrznej;

-       Polskie Centrum Akredytacji;

-       Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;

-       spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2017 r. poz. 827 oraz z 2018 r. poz. 1496);

-       podmioty świadczące usługi w zakresie bezpieczeństwa cybernetycznego;

-       właściwe organy ds. bezpieczeństwa cybernetycznego;

-       Pojedynczy punkt kontaktowy ds. bezpieczeństwa cybernetycznego;

-       pełnomocnik rządu ds. bezpieczeństwa cybernetycznego;

-       Kolegium Bezpieczeństwa Cybernetycznego.

Role, sposoby działania i inne regulacje dotyczące podmiotów polskiego systemu cyberbezpieczeństwa określa ustawa.

 

🗝️

SŁOWA KLUCZOWE, KTÓRE WARTO ZAPAMIĘTAĆ                                                              

  • bezpieczeństwo cybernetyczne
  • CSIRT/CERT
  • dyrektywa NIS
  • ENISA
  • okręg wyborczy
  • krajowe i rządowe CSIRT/CERT
  • współpraca zespołów

 ❓

PYTANIA KONTROLNE

  • Czy istnieje hierarchia pomiędzy zespołami CSIRT/CERT?
  • Jak definiowany jest zakres działania zespołu CSIRT/CERT?
  • Co jest rządowym zespołem CSIRT/CERT?
  • Co jest krajowym zespołem CSIRT/CERT?
  • Jakie są role i zadania innych zespołów CSIRT/CERT?
  • Jak wygląda struktura zespołów CSIRT/CERT w Twoim kraju?