22 października 2019 roku Rada Ministrów przyjęła uchwałę w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024. Dokument obowiązuje od 31 października 2019 roku i zastępuje Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022. Przyjęcie Strategii wynika z Ustawy o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 roku (art. 68). Za wypełnienie zapisów dokumentu odpowiada minister właściwy ds. informatyzacji, we współpracy z pozostałymi Członkami Rady Ministrów, który do 30 marca każdego roku przedstawia informację o realizacji Strategii Cyberbezpieczeństwa.
Strategia jest bardzo podobna do Krajowych Ram, przyjętych w maju 2017 roku. O ile jednak Krajowe Ramy stanowiły zbiór założeń, którymi kierował się rząd przy opracowywaniu Ustawy o krajowym systemie cyberbezpieczeństwa, o tyle po przyjęciu Ustawy, wizja zakłada „systematyczne wzmacnianie i rozwój krajowego systemu cyberbezpieczeństwa”.
Głównym celem przyjęcia i wdrożenia Strategii jest podniesienie poziomu odporności na cyberzagrożenia oraz poziomu ochrony informacji w sektorach: publicznym, militarnym i prywatnym, a także promowanie dobrych praktyk umożliwiających obywatelom lepszą ochronę ich informacji.
Pięć celów szczegółowych polityki rządu
- Rozwój krajowego systemu cyberbezpieczeństwa.
- Podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty.
- Zwiększanie potencjału narodowego w zakresie bezpieczeństwa w cyberprzestrzeni.
- Budowanie świadomości i kompetencji społecznych w zakresie cyberbezpieczeństwa.
- Zbudowanie silnej pozycji międzynarodowej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa.
W obrębie każdego celu szczegółowego wyznaczone zostały priorytety działania administracji.
Rozwój krajowego systemu cyberbezpieczeństwa: wdrożenie i ocena funkcjonowania przepisów o krajowym systemie cyberbezpieczeństwa; podniesienie efektywności funkcjonowania krajowego systemu cyberbezpieczeństwa; rozbudowa systemu wymiany informacji na potrzeby kierowania bezpieczeństwem narodowym; zwiększenie cyberbezpieczeństwa usług kluczowych i cyfrowych oraz infrastruktury krytycznej; wypracowanie i wdrożenie metodyki szacowania ryzyka na poziomie krajowym oraz zwiększanie zdolności do zwalczania cyberprzestępczości, w tym cyberszpiegostwa i zdarzeń o charakterze terrorystycznym.
Oznacza to, że rząd przewiduje aktualizację Ustawy o krajowym systemie cyberbezpieczeństwa, na podstawie doświadczeń wynikających z jej wdrażania. Bardzo ważnym elementem będzie także wypracowanie i wdrożenie metodyki szacowania ryzyka, co pozwoli na odpowiednie zarządzanie ryzykiem w skali kraju. Jest to bardzo duże przedsięwzięcie organizacyjne, ponieważ do tej pory analiza ryzyka nie była spójna. Taki cel pojawił się już w Krajowych Ramach, jednak nie udało się go zrealizować.
Podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty: opracowanie i wdrożenie Narodowych Standardów Cyberbezpieczeństwa oraz promowanie dobrych praktyk i zaleceń; bezpieczeństwo łańcucha dostaw; testy i audyty cyberbezpieczeństwa.
Opracowanie Narodowych Standardów Cyberbezpieczeństwa ma wpłynąć przede wszystkim na zwiększenie odporności systemów teleinformatycznych administracji publicznej. Przewidziane są prace nad standardami dla aplikacji, urządzeń mobilnych oraz serwerów i sieci. W tym aspekcie bardzo istotne jest także wdrożenie Aktu o Cyberbezpieczeństwie, wprowadzającego certyfikację produktów i usług ICT. W Polsce musi zostać utworzony krajowy system oceny i certyfikacji w zakresie cyberbezpieczeństwa (m.in. powołanie lub ustanowienie Krajowego organu ds. certyfikacji cyberbezpieczeństwa (KOCC), Krajowej jednostki akredytującej oraz jednostek oceniających zgodność).
Zwiększenie potencjału narodowego w zakresie technologii cyberbezpieczeństwa: rozbudowa zasobów przemysłowych i technologicznych na potrzeby cyberbezpieczeństwa; nastawienie na rozwój współpracy między sektorem publicznym i prywatnym; stymulowanie badań i rozwoju w obszarze cyberbezpieczeństwa, a także uzyskanie zdolności do prowadzenia pełnego spektrum działań militarnych w cyberprzestrzeni.
Realizacja tego celu wydaje się szczególnie istotna, wobec trwającej w Europie i na świecie dyskusji na temat tzw. „suwerenności cyfrowej”.
Budowanie świadomości i kompetencji społecznych w zakresie cyberbezpieczeństwa: zwiększanie kompetencji kadry podmiotów istotnych dla cyberbezpieczeństwa Rzeczypospolitej Polskiej; stworzenie warunków do bezpiecznego korzystania z cyberprzestrzeni przez obywateli oraz rozwijanie świadomości społecznej w kierunku bezpiecznego korzystania z cyberprzestrzeni.
Zbudowanie silnej pozycji międzynarodowej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa: rząd będzie prowadził aktywną współpracą międzynarodową na poziomie strategiczno-politycznym oraz operacyjnym i technicznym. Działania te są szczególnie istotne wobec planowanej nowelizacji dyrektywy NIS oraz uznania przez NATO cyberprzestrzeni za domenę działań operacyjnych.
Zarządzanie Strategią
Strategia jest uchwalana na 5 lat, a koordynatorem jej wdrażania jest minister właściwy ds. informatyzacji. Po dwóch latach dokument podlega przeglądowi i aktualizacji. Po sześciu miesiącach od przyjęcia Strategii (kwiecień 2020 roku), minister właściwy ds. informatyzacji ma przedstawić Plan działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa, opracowany we współpracy z członkami Rady Ministrów, kierownikami urzędów centralnych, dyrektorem Rządowego Centrum Bezpieczeństwa oraz innymi organami właściwymi określonymi w Ustawie o KSC.
Finansowanie
Rząd nie zapewnił funduszy na realizację zadań wynikających ze Strategii. Dokument ma być realizowany z budżetów poszczególnych jednostek oraz ze środków Narodowego Centrum Badań i Rozwoju, a także z funduszy europejskich.
Podsumowanie:
- Strategia obowiązuje od 31 października 2019 roku i zastąpiła Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022. Przyjęcie Strategii wynika z Ustawy o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 roku (art. 68).
- Za wypełnienie zapisów dokumentu odpowiada minister właściwy ds. informatyzacji, we współpracy z pozostałymi Członkami Rady Ministrów, który do 30 marca każdego roku przedstawia informację o realizacji Strategii Cyberbezpieczeństwa.
- Do kwietnia 2020 minister właściwy ds. informatyzacji przedstawi Plan działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa.
- Głównym celem przyjęcia i wdrożenia Strategii jest podniesienie poziomu odporności na cyberzagrożenia oraz poziomu ochrony informacji w sektorach: publicznym, militarnym i prywatnym, a także promowanie dobrych praktyk umożliwiających obywatelom lepszą ochronę ich informacji.
- Rząd nie zapewnił funduszy na realizację zadań wynikających ze Strategii. Dokument ma być realizowany z budżetów poszczególnych jednostek oraz ze środków Narodowego Centrum Badań i Rozwoju, a także z funduszy europejskich.