25 sierpnia 2022

Zagadnienia związane z cyberbezpieczeństwem w KPO

Kinga Pawłowska – Nojszewska, radca prawny, Kancelaria Prawna Media
Jan Ewertowski, prawnik, Kancelaria Prawna Media

Zatwierdzenie Krajowego Planu Odbudowy i Zwiększania Odporności (KPO), w tym Komponentu C „Transformacja cyfrowa”, wiąże się nie tylko z nowymi inwestycjami w budowę sieci szybkiego Internetu czy rozwój e-usług i kompetencji cyfrowych Polaków. Trzecim zadaniem w ramach tego komponentu jest zwiększenie cyberbezpieczeństwa Polski. Realizacji tego zadania ma służyć przewidziana w KPO reforma oraz inwestycje. Postępy w realizacji reformy będą monitorowane osiąganiem konkretnych kamieni milowych przez władze odpowiedzialne za realizację KPO. Postępy inwestycji będą oceniane na podstawie kamieni milowych i wskaźników związanych z realizacją projektów, polegających m.in. na tworzeniu centrów monitorowania bezpieczeństwa (SOC), czy realizacji programu przekwalifikowania pracowników w zakresie cyberbezpieczeństwa.

Reforma koncentruje się na trzech celach szczegółowych:: (i) rozwój krajowego systemu cyberbezpieczeństwa; (ii) zdolność do skutecznego zapobiegania incydentom i reagowania na nie; (iii) budowa świadomości społecznej. Realizacji reformy ma polegać na nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz rozporządzenia z 11.09.2018 r.  w sprawie wykazu usług kluczowych. Wdrażanie reformy ma zostać zakończone do 31 grudnia 2023 roku.

Przewidziana w KPO inwestycja w cyberbezpieczeństwo składać się będzie z czterech kategorii projektów, w ramach których zostanie zrealizowanych szereg projektów, zmierzających m.in. do:

  • utworzenia sieci 7 regionalnych centrów cyberbezpieczeństwa (RegioSOC);
  • stworzenia sieci minimum 30 centrów monitorowania bezpieczeństwa (SOC) oraz modernizacji istniejących centrów;
  • udzielenia wsparcia 400 podmiotom w zakresie modernizacji i rozbudowy struktur cyberbezpieczeństwa z wykorzystaniem technologii informatycznych i operacyjnych, w tym zakupu zapór sieciowych i systemów cyberbezpieczeństwa;
  • realizacji programu przekwalifikowania 600 osób w zakresie cyberbezpieczeństwa, w tym między innymi obecnych pracowników,
  • realizacji 4 projektów mające na celu integrację różnych systemów ostrzegania i alarmowania oraz poprawę współpracy pomiędzy służbami państwowymi (policja, straż pożarna, władze lokalne);
  • stworzenia 3 standardowych centrów przetwarzania danych, gwarantujących energooszczędną i skalowalną infrastrukturę krytyczną, aby zapewnić dostępność usług cyfrowych oraz bezpieczną infrastrukturę dla systemów ICT,
  • wdrożenia zaawansowanych projektów badawczo-rozwojowych dotyczących przyszłości przetwarzania danych z wykorzystaniem kontinuum chmury obliczeniowej i usług brzegowych (edge-to-cloud compute continuum).

Wdrażanie ww. inwestycji ma zostać zakończone do 30.06.2026 r.

Co istotne, wypłata środków z KPO nie odbywa się jednorazowo, a w następujących po sobie transzach. Jak wspomniano powyżej, monitorowaniu postępów w realizacji KPO służą kamienie milowe i wskaźniki. Te pierwsze mają charakter głównie jakościowy (np. terminowa nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa), te drugie – ilościowy (np. stworzenie 3 centrów przetwarzania danych).

Wzrost bezpieczeństwa w cyberprzestrzeni, zabezpieczenie infrastruktury przetwarzania danych oraz cyfryzacja infrastruktury służb odpowiedzialnych za bezpieczeństwo wymaga kompleksowych działań: od finansowania organizacji SOC, poprzez szkolenia pracowników, po realizację rozwiązań chmurowych nowej generacji. Nie bez znaczenia będzie też wsparcie właściwych służb w zakresie systemów ostrzegania i alarmowania. Działania te, mierzone realizacją kolejnych kamieni milowych i wskaźników, powinny istotnie przyczynić się do poprawy cyberbezpieczeństwa w Polsce.

W ostatnich dniach mediach pojawiły się doniesienia, że w związku z aktualną sytuacją geopolityczną i gospodarczą Rząd podejmie próbę częściowej renegocjacji KPO.