do ministra cyfryzacji
w sprawie projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa
Zgłaszający: Bartosz Zawieja, Jakub Rutnicki, Rafał Siemaszko, Piotr Głowski
Data wpływu: 08-05-2025
Do 24 maja 2025 r. można zgłaszać uwagi do projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (UoKSC) oraz niektórych innych ustaw. Zgodnie zarówno z istniejącymi, jak i proponowanymi zapisami organ właściwy (np. ministerstwo) może powołać sektorowy zespół cyberbezpieczeństwa (w brzmieniu obowiązującej ustawy), tzw. CSIRT sektorowy (w brzmieniu proponowanym w nowelizacji).
Zespół ten odpowiada za wsparcie obsługi w zakresie incydentów u operatorów usług kluczowych w konkretnym sektorze lub podsektorze. Do tej pory powołano tylko dwa takie zespoły, tj. CSIRT KNF (zespół dla sektora finansowego), funkcjonujący przy Komisji Nadzoru Finansowego ), oraz Centrum e-Zdrowie w sektorze ochrony zdrowia.
W sektorach gospodarki brakuje w chwili obecnej zespołów wspierających przedsiębiorców w reagowaniu na incydenty. Utworzenie tych zespołów przewiduje inwestycja C3.1.1 KPO Cyberbezpieczeństwo – CyberPL, infrastruktura przetwarzania danych oraz optymalizacja infrastruktury służb państwowych odpowiedzialnych za bezpieczeństwo. Planowana jest realizacja projektu pn. „Utworzenie lub rozwój przynajmniej pięciu sektorowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT)”.
Poznańskie Centrum Superkomputerowo-Sieciowe (PCSS), afiliowane przy Instytucie Chemii Bioorganicznej Polskiej Akademii Nauk w Poznaniu, jest operatorem telekomunikacyjnym zarządzającym krajową siecią światłowodową PIONIER dla jednostek ze sfery nauki (uczelnie wyższe, jednostki PAN, instytuty badawcze), operatorem sieci miejskiej POZMAN oraz operatorem łącza międzynarodowego sieci europejskiej GÉANT oraz międzynarodowym centrum przetwarzania i składowania danych z usługami udostępnianymi w nauce, gospodarce i administracji.
Od ponad 30 lat PCSS zajmuje się zadaniami związanymi z cyberbezpieczeństwem IT, począwszy od:
1) zabezpieczenia usług produkcyjnych IT (komunikacja, przetwarzanie danych, usługi w chmurze prywatnej i publicznej);
2) pełnienia funkcji CSIRT/CERT dla sieci krajowej PIONIER;
3) realizacji prac badawczych i rozwojowych dla gestorów zewnętrznych, m.in. podmiotów gospodarczych, Komisji Europejskiej, Ministerstwa Obrony Narodowej, Ministerstwa Rolnictwa i Rozwoju Wsi, Ministerstwa Nauki i Szkolnictwa Wyższego/NCN, Policji;
4) realizacji usług o charakterze SOC/CSIRT dla Komisji Europejskiej (projekt EOSC – European Cloud for Open Science), a także dla zabezpieczenia krajowych i międzynarodowych wydarzeń: konferencje klimatyczne UNFCCC COP, World Urban Forum, uroczyste posiedzenie Zgromadzenia Narodowego z okazji 1050. rocznicy chrztu Polski, Szczyt UE-Bałkany Zachodnie i in.;
5) wykonania szerokiego portfolio usług cyberbezpieczeństwa dla sektora publicznego oraz gospodarki, w tym dla operatorów infrastruktury krytycznej i MŚP – włączając zakres wsparcia obsługi incydentów, analizy śledczej (powłamaniowej) itp.;
6) aż do koordynacji specjalistycznego krajowego hubu transformacji cyfrowej w zakresie cyberbezpieczeństwa (EDIH) dla gospodarki oraz administracji CyberSec (https://cyber-sec.net.pl/), w obszarze gospodarki przede wszystkim w zakresie podniesienia poziomu bezpieczeństwa w sektorze MŚP.
PCSS posiada certyfikację w obszarze zarządzania bezpieczeństwem informacji (norma ISO27001) oraz kontroli jakości usług (norma ISO9001) m.in. w ramach audytów oraz usług w obszarze cyberbezpieczeństwa, usług przetwarzania danych w środowisku chmurowym.
PCSS monitoruje bezpieczeństwo usług i infrastruktury na zlecenie Komisji Europejskiej w ramach funkcjonującego centrum cyberbezpieczeństwa SOC (Security Operation Centre).
PCSS, z uwagi na duże doświadczenie w obszarze cyberbezpieczeństwa, ugruntowane w kontekście pełnienia produkcyjnych usług na rzecz nauki, gospodarki i administracji oraz wykonywania kluczowych i jednocześnie krytycznych cyberzadań bezpieczeństwa, w tym na rzecz instytucji publicznych oraz kwalifikujących się jako podmioty kluczowe i ważne w rozumieniu UoKSC, planuje swój aktywny udział w budowie zespołu sektorowego cyberbezpieczeństwa IT oraz budowy CSIRT sektorowego w jednym z obszarów:
1) infrastruktury cyfrowej;
2) jednostek administracji rządowej i samorządowej;
3) gospodarki, ze szczególnym naciskiem na małe i średnie przedsiębiorstwa (pochodna działalności hubu CyberSec EDIH).
Proszę Pana Ministra Cyfryzacji o odpowiedź na następujące pytania: