Pojawienie się nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) to oczywiście wypadkowa dyrektywy NIS 2 i próba jej implementacji w krajowym porządku prawnym. Na Kapitanie Hacku zbliżamy się już do końca cyklu artykułów o nowelizacji. Warto może w tym miejscu przypomnieć wszystkie dotychczasowe publikacje. W pierwszym z artykułów straszyliśmy konsekwencjami. W drugim poście pokusiliśmy się o odpowiedź na pytanie, kogo obejmą przepisy. W trzecim artykule z cyklu pisaliśmy o systemie teleinformatycznym S46. W czwartym opisywaliśmy zmienioną procedurę oceny bezpieczeństwa. Natomiast dzisiaj będzie o tym, czy jest sektorowy CSIRT.
CSIRT sektorowy
W nowelizacji ustawy o KSC pojawia się obowiązek powołania przez organ właściwy do spraw cyberbezpieczeństwa CSIRT-u sektorowego, właściwego dla danego sektora lub podsektora. Jest to istotna zmiana w stosunku do obecnie obowiązujących przepisów, które nie przewidują takiej konieczności.
Przypomnijmy, że do tej pory mogliśmy mówić o dwóch takich zespołach – CSIRT KNF (dla sektora finansowego) oraz Centrum e-Zdrowia (dla sektora ochrony zdrowia).
Na powołanie CSIRT-ów sektorowych ustawodawca przewiduje 18 miesięcy.
Takie zespoły mają wspierać podmioty kluczowe i ważne w obszarze przyjmowania zgłoszeń i reagowania na incydenty. Do czasu osiągnięcia zdolności operacyjnej przez CSIRT-y sektorowe podmioty kluczowe i ważne będą jednak zgłaszały incydenty poważne do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, tak jak obecnie.
CSIRT sektorowy w przypadku przyjęcia ostrzeżenia o incydencie poważnym jest zobowiązany do udzielenia wsparcia technicznego lub przekazania podmiotowi zgłaszającemu wytycznych dotyczących wdrożenia odpowiednich środków zaradczych. W przypadku incydentu poważnego wykazującego znamiona przestępstwa CSIRT sektorowy przekazuje podmiotowi również informacje o sposobie zgłoszenia incydentu odpowiednim organom ścigania.
CSIRT sektorowy, który przyjął wczesne ostrzeżenie, może także zwrócić się do zgłaszającego podmiotu o uzupełnienie potrzebnych informacji, w tym tych stanowiących tajemnice prawnie chronione, w zakresie niezbędnym do realizacji ustawowych zadań.
CSIRT będzie gromadził informacje o pojawiających się podatnościach i zagrożeniach. Powinien również współpracować z podmiotami kluczowymi i ważnymi w zakresie wymiany dobrych praktyk oraz informacji. Dodatkowym obowiązkiem jest organizacja ćwiczeń i uczestniczenie w nich oraz wspieranie inicjatyw szkoleniowych.
W nowelizacji zapisany jest również obowiązek współpracy CSIRT MON, CSIRT NASK i CSIRT GOV w zakresie koordynowanego reagowania na incydenty.
CSIRT-y otrzymały także szereg dodatkowych kompetencji, między innymi możliwość prowadzenia dynamicznej analizy ryzyka oraz incydentów, wspomaganie podmiotów kluczowych i ważnych w podnoszeniu świadomości związanej z cyberzagrożeniami czy możliwości wnioskowania do organu właściwego o wezwanie podmiotu kluczowego i ważnego do usunięcia wykrytych podatności w przypadku incydentu poważnego.
CSIRT-y sektorowe otrzymały również ustawowe upoważnienie do prowadzenia audytu bezpieczeństwa systemu informacyjnego w podmiotach kluczowych lub ważnych. W tym przypadku zastrzeżono jednak, że osoba prowadząca audyt w okresie roku przed jego rozpoczęciem nie może realizować zadań wdrożenia systemu zarządzania bezpieczeństwem lub obsługi incydentów w podmiocie audytowanym.
Wprowadzenie do ustawy prawnego obowiązku utworzenia CSIRT-ów sektorowych dla wszystkich sektorów ma na celu usprawnienie funkcjonowania systemu reagowania na incydenty i zwiększenie jego skuteczności. Intencją nowelizacji jest skrócenie czasu obsługi incydentów poprzez uwzględnienie szczególnych warunków danego sektora.