Co powinniśmy wiedzieć na temat nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa? (Część 5). Czym jest CSIRT sektorowy?

CSIRT sektorowy

W nowelizacji ustawy o KSC pojawia się obowiązek powołania przez organ właściwy do spraw cyberbezpieczeństwa CSIRT-u sektorowego, właściwego dla danego sektora lub podsektora. Jest to istotna zmiana w stosunku do obecnie obowiązujących przepisów, które nie przewidują takiej konieczności.

Przypomnijmy, że do tej pory mogliśmy mówić o dwóch takich zespołach – CSIRT KNF (dla sektora finansowego) oraz Centrum e-Zdrowia (dla sektora ochrony zdrowia).

Na powołanie CSIRT-ów sektorowych ustawodawca przewiduje 18 miesięcy.

Takie zespoły mają wspierać podmioty kluczowe i ważne w obszarze przyjmowania zgłoszeń i reagowania na incydenty. Do czasu osiągnięcia zdolności operacyjnej przez CSIRT-y sektorowe podmioty kluczowe i ważne będą jednak zgłaszały incydenty poważne do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, tak jak obecnie.

CSIRT sektorowy w przypadku przyjęcia ostrzeżenia o incydencie poważnym jest zobowiązany do udzielenia wsparcia technicznego lub przekazania podmiotowi zgłaszającemu wytycznych dotyczących wdrożenia odpowiednich środków zaradczych. W przypadku incydentu poważnego wykazującego znamiona przestępstwa CSIRT sektorowy przekazuje podmiotowi również informacje o sposobie zgłoszenia incydentu odpowiednim organom ścigania.

CSIRT sektorowy, który przyjął wczesne ostrzeżenie, może także zwrócić się do zgłaszającego podmiotu o uzupełnienie potrzebnych informacji, w tym tych stanowiących tajemnice prawnie chronione, w zakresie niezbędnym do realizacji ustawowych zadań.

CSIRT będzie gromadził informacje o pojawiających się podatnościach i zagrożeniach. Powinien również współpracować z podmiotami kluczowymi i ważnymi w zakresie wymiany dobrych praktyk oraz informacji. Dodatkowym obowiązkiem jest organizacja ćwiczeń i uczestniczenie w nich oraz wspieranie inicjatyw szkoleniowych.

W nowelizacji zapisany jest również obowiązek współpracy CSIRT MON, CSIRT NASK i CSIRT GOV w zakresie koordynowanego reagowania na incydenty.

CSIRT-y otrzymały także szereg dodatkowych kompetencji, między innymi możliwość prowadzenia dynamicznej analizy ryzyka oraz incydentów, wspomaganie podmiotów kluczowych i ważnych w podnoszeniu świadomości związanej z cyberzagrożeniami czy możliwości wnioskowania do organu właściwego o wezwanie podmiotu kluczowego i ważnego do usunięcia wykrytych podatności w przypadku incydentu poważnego.

CSIRT-y sektorowe otrzymały również ustawowe upoważnienie do prowadzenia audytu bezpieczeństwa systemu informacyjnego w podmiotach kluczowych lub ważnych. W tym przypadku zastrzeżono jednak, że osoba prowadząca audyt w okresie roku przed jego rozpoczęciem nie może realizować zadań wdrożenia systemu zarządzania bezpieczeństwem lub obsługi incydentów w podmiocie audytowanym.

Wprowadzenie do ustawy prawnego obowiązku utworzenia CSIRT-ów sektorowych dla wszystkich sektorów ma na celu usprawnienie funkcjonowania systemu reagowania na incydenty i zwiększenie jego skuteczności. Intencją nowelizacji jest skrócenie czasu obsługi incydentów poprzez uwzględnienie szczególnych warunków danego sektora.