Rozdział 9 - Zadania ministra właściwego do spraw informatyzacji - Krajowy system cyberbezpieczeństwa.
Dziennik Ustaw
Dz.U.2023.913 t.j.
Akt obowiązujący Wersja od: 25 września 2023 r.
Rozdział 9
Zadania ministra właściwego do spraw informatyzacji
Zadania ministra właściwego do spraw informatyzacji
1.
Minister właściwy do spraw informatyzacji jest odpowiedzialny za:1)
monitorowanie wdrażania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej, zwanej dalej "Strategią", oraz realizację planów działań na rzecz jej wdrożenia;2)
rekomendowanie obszarów współpracy z sektorem prywatnym w celu zwiększenia cyberbezpieczeństwa Rzeczypospolitej Polskiej;3)
opracowywanie rocznych sprawozdań dotyczących:a)
incydentów poważnych zgłaszanych przez operatorów usług kluczowych mających wpływ na ciągłość świadczonych przez nich usług kluczowych w Rzeczypospolitej Polskiej oraz ciągłość świadczonych usług kluczowych w państwach członkowskich Unii Europejskiej,b)
incydentów istotnych zgłaszanych przez dostawców usług cyfrowych, w tym incydentów dotyczących dwóch lub większej liczby państw członkowskich Unii Europejskiej;4)
prowadzenie działań informacyjnych dotyczących dobrych praktyk, programów edukacyjnych, kampanii i szkoleń na rzecz poszerzania wiedzy i budowania świadomości z zakresu cyberbezpieczeństwa, w tym bezpiecznego korzystania z Internetu przez różne kategorie użytkowników;5)
gromadzenie informacji o incydentach poważnych, które dotyczą lub zostały przekazane przez inne państwo członkowskie Unii Europejskiej;6)
udostępnianie informacji i dobrych praktyk związanych ze zgłaszaniem incydentów poważnych przez operatorów usług kluczowych i incydentów istotnych przez dostawców usług cyfrowych, uzyskanych z Grupy Współpracy, w tym:a)
procedur postępowania w zakresie zarządzania incydentem,b)
procedur postępowania przy zarządzaniu ryzykiem,c)
klasyfikacji informacji, ryzyka i incydentów.2.
Przez Grupę Współpracy rozumie się grupę, o której mowa w decyzji wykonawczej Komisji UE 2017/179 z dnia 1 lutego 2017 r. ustanawiającej procedury niezbędne do funkcjonowania grupy współpracy zgodnie z art. 11 ust. 5 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 28 z 02.02.2017, str. 73).Art. 46. [Obowiązek zapewnienia rozwoju lub utrzymania systemu teleinformatycznego wspierającego współpracę w ramach krajowego systemu cyberbezpieczeństwa]
1.
Minister właściwy do spraw informatyzacji zapewnia rozwój lub utrzymanie systemu teleinformatycznego wspierającego:1)
współpracę podmiotów wchodzących w skład krajowego systemu cyberbezpieczeństwa;2)
generowanie i przekazywanie rekomendacji dotyczących działań podnoszących poziom cyberbezpieczeństwa;3)
zgłaszanie i obsługę incydentów;4)
szacowanie ryzyka na poziomie krajowym;5)
ostrzeganie o zagrożeniach cyberbezpieczeństwa.2.
CSIRT MON, CSIRT NASK, CSIRT GOV, sektorowe zespoły cyberbezpieczeństwa i Prezes Urzędu Komunikacji Elektronicznej mogą korzystać z systemu teleinformatycznego na podstawie porozumienia zawartego z ministrem właściwym do spraw informatyzacji.3.
W porozumieniu określa się zakres i warunki korzystania z systemu teleinformatycznego.1.
Minister właściwy do spraw informatyzacji może realizować zadania, o których mowa w art. 45 ust. 1 i art. 46 ust. 1, na zasadach określonych w przepisach odrębnych, za pomocą właściwych w tym zakresie jednostek podległych lub nadzorowanych przez ministra właściwego do spraw informatyzacji.2.
Zadania powierzone do realizacji jednostkom, o których mowa w ust. 1, są finansowane w formie dotacji celowej z części budżetu państwa, której dysponentem jest minister właściwy do spraw informatyzacji.Minister właściwy do spraw informatyzacji prowadzi Pojedynczy Punkt Kontaktowy, do którego zadań należy:
1)
odbieranie zgłoszeń incydentu poważnego lub incydentu istotnego dotyczącego dwóch lub większej liczby państw członkowskich Unii Europejskiej z pojedynczych punktów kontaktowych w innych państwach członkowskich Unii Europejskiej, a także przekazywanie tych zgłoszeń do CSIRT MON, CSIRT NASK, CSIRT GOV lub sektorowych zespołów cyberbezpieczeństwa;2)
przekazywanie, na wniosek właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, zgłoszenia incydentu poważnego lub incydentu istotnego dotyczącego dwóch lub większej liczby państw członkowskich Unii Europejskiej do pojedynczych punktów kontaktowych w innych państwach członkowskich Unii Europejskiej;3)
zapewnienie reprezentacji Rzeczypospolitej Polskiej w Grupie Współpracy;4)
zapewnienie współpracy z Komisją Europejską w dziedzinie cyberbezpieczeństwa;5)
koordynacja współpracy między organami właściwymi do spraw cyberbezpieczeństwa i organami władzy publicznej w Rzeczypospolitej Polskiej z odpowiednimi organami w państwach członkowskich Unii Europejskiej;6)
zapewnienie wymiany informacji na potrzeby Grupy Współpracy oraz Sieci CSIRT.1.
Pojedynczy Punkt Kontaktowy przekazuje Grupie Współpracy:1)
informacje, o których mowa w art. 45 ust. 1 pkt 3;2)
dobre praktyki, o których mowa w art. 45 ust. 1 pkt 4, związane ze zgłaszaniem incydentów;3)
propozycje do programu prac Grupy Współpracy;4)
dobre praktyki krajowe dotyczące podnoszenia świadomości, szkoleń, badań i rozwoju z zakresu cyberbezpieczeństwa;5)
dobre praktyki w odniesieniu do identyfikowania operatorów usług kluczowych, w tym w odniesieniu do występujących w dwóch lub większej liczbie państw członkowskich Unii Europejskiej zależności dotyczących ryzyka i incydentów.2.
Dane przekazywane Grupie Współpracy nie obejmują informacji, które dotyczą bezpieczeństwa narodowego oraz porządku publicznego.3.
Pojedynczy Punkt Kontaktowy przekazuje organom właściwym do spraw cyberbezpieczeństwa, CSIRT MON, CSIRT NASK, CSIRT GOV, sektorowym zespołom cyberbezpieczeństwa oraz innym organom władzy publicznej informacje pochodzące z Grupy Współpracy dotyczące:1)
ocen krajowych strategii państw członkowskich Unii Europejskiej w zakresie cyberbezpieczeństwa oraz skuteczności CSIRT, a także dobrych praktyk w zakresie cyberbezpieczeństwa;2)
działań podjętych w odniesieniu do ćwiczeń dotyczących cyberbezpieczeństwa, europejskich programów edukacyjnych i szkoleń, w tym działań Agencji Unii Europejskiej do spraw Bezpieczeństwa Sieci i Informacji (ENISA);3)
wytycznych o charakterze strategicznym dotyczących działalności Sieci CSIRT;4)
dobrych praktyk w zakresie wymiany informacji związanych ze zgłaszaniem w Unii Europejskiej incydentów poważnych przez operatorów usług kluczowych i incydentów istotnych przez dostawców usług cyfrowych;5)
dobrych praktyk w krajach członkowskich Unii Europejskiej dotyczących podnoszenia świadomości, szkolenia, zakresu badań i rozwoju w zakresie cyberbezpieczeństwa;6)
dobrych praktyk w zakresie identyfikowania operatorów usług kluczowych przez państwa członkowskie Unii Europejskiej, w tym w odniesieniu do transgranicznych zależności, dotyczących ryzyka i incydentów.Pojedynczy Punkt Kontaktowy przekazuje Komisji Europejskiej:
1)
niezwłocznie informacje o:a)
wyznaczonych organach właściwych do spraw cyberbezpieczeństwa, Pojedynczym Punkcie Kontaktowym, ich zadaniach oraz późniejszych zmianach w tym zakresie,b)
przepisach dotyczących kar pieniężnych dotyczących krajowego systemu cyberbezpieczeństwa;2)
co 2 lata informacje umożliwiające ocenę wdrażania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 194 z 19.07.2016, str. 1), obejmujące w szczególności:a)
środki umożliwiające identyfikację operatorów usług kluczowych,b)
wykaz usług kluczowych,c)
liczbę zidentyfikowanych operatorów usług kluczowych w każdym sektorze, o którym mowa w załączniku nr 1 do ustawy, oraz wskazanie ich znaczenia w odniesieniu do tego sektora,d)
progi istotności skutku zakłócającego dla świadczonej usługi kluczowej brane pod uwagę przy kwalifikowaniu podmiotów jako operatorów usług kluczowych;3)
informacje o zadaniach CSIRT MON, CSIRT NASK i CSIRT GOV, w tym o głównych elementach procedur postępowania w przypadku wystąpienia incydentu.