Menu dostępności

NIS 2 ocena bezpieczeństwa

Co powinniśmy wiedzieć na temat nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa? (Część 4). Ocena bezpieczeństwa

Pojawienie się nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) to oczywiście wypadkowa dyrektywy NIS 2 i próba jej implementacji w krajowym porządku prawnym. Na Kapitanie Hacku podejmujemy temat. W pierwszym z artykułów z cyklu straszyliśmy karami. W drugim poście pokusiliśmy się o odpowiedź na pytanie, kogo obejmą nowe przepisy. W trzecim artykule z cyklu pisaliśmy o systemie teleinformatycznym S46. Dzisiaj natomiast będzie o ocenie bezpieczeństwa w przepisach projektowanej ustawy.

Ocena bezpieczeństwa

Rozwiązanie zaproponowane w projekcie ustawy jest zupełnie nowe. Ma oczywiście na celu wymuszenie zwiększenia poziomu bezpieczeństwa systemów IT. Ocena bezpieczeństwa ma być przeprowadzana w celu identyfikacji podatności danego systemu informacyjnego.

Co do zasady, może być ona przeprowadzana przez CSIRT GOV, CSIRT MON lub CSIRT NASK po poinformowaniu organu właściwego do spraw cyberbezpieczeństwa o takim zamiarze. Przepisy dopuszczają także możliwość przeprowadzenia oceny bezpieczeństwa przez CSIRT sektorowy za zgodą właściwego CSIRT poziomu krajowego, przy zachowaniu wymogu poinformowania organu właściwego dla danego sektora.

Wyłączono możliwość prowadzenia oceny bezpieczeństwa w dwóch przypadkach:

  • dla systemów teleinformatycznych podmiotów krajowego systemu cyberbezpieczeństwa, które znajdują się w zbiorze organów i podmiotów wymienionych w art. 32a ustawy o ABW i AW oraz
  • dla systemów teleinformatycznych akredytowanych na podstawie art. 48 ustawy o ochronie informacji niejawnych.

Ocena bezpieczeństwa będzie mogła być przeprowadzona wyłącznie za zgodą podmiotu krajowego systemu cyberbezpieczeństwa wyrażoną w postaci pisemnej lub elektronicznej pod rygorem nieważności. Dopuszcza się jednak wykonanie takiej oceny na zlecenie organu właściwego do spraw cyberbezpieczeństwa, co wypełnia wprowadzone dyrektywą NIS 2 przepisy dotyczące tzw. security scans. Ocena bezpieczeństwa powinna być bierna, tzn. nie może zakłócać pracy systemu informacyjnego, ograniczać jego dostępności lub prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie.

W projekcie nowelizacji pojawiają się dwa nowe uprawnienia dla CSIRT-ów. Po pierwsze w celu zbadania podatności systemu będzie on mógł wytwarzać lub pozyskiwać urządzenia bądź oprogramowanie przystosowane do popełnienia przestępstw określonych w Kodeksie Karnym. Czyli de facto CSIRT-y uzyskają prawo do wytwarzania malware. Po drugie CSIRT będzie mógł zyskać dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne zabezpieczenia, a także uzyskać dostęp do całości lub części systemu informacyjnego. Oczywiście informacje uzyskane w wyniku opisanych powyżej działań będą stanowić tajemnicę, a CSIRT nie będzie mógł wykorzystać ich do realizacji innych zadań. Wprowadza się jednak zasadę informowania ministra właściwego do spraw informatyzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa o ujawnionych podczas oceny bezpieczeństwa podatnościach, które mogą występować w systemach informacyjnych podmiotów ustawy.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...