Co powinniśmy wiedzieć na temat nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa? (Część 4). Ocena bezpieczeństwa

Ocena bezpieczeństwa

Rozwiązanie zaproponowane w projekcie ustawy jest zupełnie nowe. Ma oczywiście na celu wymuszenie zwiększenia poziomu bezpieczeństwa systemów IT. Ocena bezpieczeństwa ma być przeprowadzana w celu identyfikacji podatności danego systemu informacyjnego.

Co do zasady, może być ona przeprowadzana przez CSIRT GOV, CSIRT MON lub CSIRT NASK po poinformowaniu organu właściwego do spraw cyberbezpieczeństwa o takim zamiarze. Przepisy dopuszczają także możliwość przeprowadzenia oceny bezpieczeństwa przez CSIRT sektorowy za zgodą właściwego CSIRT poziomu krajowego, przy zachowaniu wymogu poinformowania organu właściwego dla danego sektora.

Wyłączono możliwość prowadzenia oceny bezpieczeństwa w dwóch przypadkach:

• dla systemów teleinformatycznych podmiotów krajowego systemu cyberbezpieczeństwa, które znajdują się w zbiorze organów i podmiotów wymienionych w art. 32a ustawy o ABW i AW oraz
• dla systemów teleinformatycznych akredytowanych na podstawie art. 48 ustawy o ochronie informacji niejawnych.

Ocena bezpieczeństwa będzie mogła być przeprowadzona wyłącznie za zgodą podmiotu krajowego systemu cyberbezpieczeństwa wyrażoną w postaci pisemnej lub elektronicznej pod rygorem nieważności. Dopuszcza się jednak wykonanie takiej oceny na zlecenie organu właściwego do spraw cyberbezpieczeństwa, co wypełnia wprowadzone dyrektywą NIS 2 przepisy dotyczące tzw. security scans. Ocena bezpieczeństwa powinna być bierna, tzn. nie może zakłócać pracy systemu informacyjnego, ograniczać jego dostępności lub prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie.

W projekcie nowelizacji pojawiają się dwa nowe uprawnienia dla CSIRT-ów. Po pierwsze w celu zbadania podatności systemu będzie on mógł wytwarzać lub pozyskiwać urządzenia bądź oprogramowanie przystosowane do popełnienia przestępstw określonych w Kodeksie Karnym. Czyli de facto CSIRT-y uzyskają prawo do wytwarzania malware. Po drugie CSIRT będzie mógł zyskać dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne zabezpieczenia, a także uzyskać dostęp do całości lub części systemu informacyjnego. Oczywiście informacje uzyskane w wyniku opisanych powyżej działań będą stanowić tajemnicę, a CSIRT nie będzie mógł wykorzystać ich do realizacji innych zadań. Wprowadza się jednak zasadę informowania ministra właściwego do spraw informatyzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa o ujawnionych podczas oceny bezpieczeństwa podatnościach, które mogą występować w systemach informacyjnych podmiotów ustawy.