Cyberbezpieczeństwo w zdrowiu i innych branżach - jest projekt ustawy

02 Listopada 2017, 15:32

Jest już projekt ustawy o krajowym systemie cyberbezpieczeństwa. Dotyczy on m.in. NFZ i placówek medycznych. 

Ustawa wdraża m.in. dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, która została przyjęta dnia 6 lipca 2016 r. Zobowiązuje ona wszystkie państwa członkowskie UE do zagwarantowania minimalnego poziomu zdolności krajowych w dziedzinie cyberbezpieczeństwa poprzez ustanowienie organów właściwych do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (CSIRT) oraz przyjęcia krajowych strategii w zakresie cyberbezpieczeństwa.

Jak czytamy w uzasadnieniu regulacja ma obejmować podmioty wykonujące działalność leczniczą. 

Ochrona zdrowia - kluczowy obszar

Dyrektywa formułuje obowiązki służące zapewnieniu cyberbezpieczeństwa systemów informacyjnych w sektorach usług mających kluczowe znaczenie dla utrzymania krytycznej działalności społeczno-gospodarczej, a więc w energetyce, transporcie, bankowości i instytucjach finansowych, sektorach zdrowia, zaopatrzenia w wodę i infrastrukturze cyfrowej. Chodzi m.in. o incydenty mające wpływ na zdrowie publiczne.

Przepisy ustawy o krajowym systemie cyberbezpieczeństwa, mają zapewnić ochronę cyberprzestrzeni na poziomie krajowym. Ma ona gwarantować m.in.: niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych poprzez osiągnięcie wysokiego poziomu bezpieczeństwa systemów informacyjnych służących do ich świadczenia. Stworzenie podstaw prawnych funkcjonowania krajowego systemu cyberbezpieczeństwa oraz jego rozbudowa ma umożliwić zwiększenie poziomu zabezpieczeń systemów teleinformatycznych oraz ograniczyć potencjalne skutki incydentów, w tym straty finansowe.

Jak ma to działać w praktyce?

Budowany system będzie obejmować operatorów usług kluczowych, dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.

Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Będą tez musiały mieć osobę dedykowaną tym zadaniom. 

Projekt ustawy dostępny tutaj

AK

Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz