O cyberbezpieczeństwie z NASK – spotkanie z radcą prawnym Maciejem Groniem
W dniu 28 maja 2024 r. gościem wykładu „Prawa konsumenta na jednolitym rynku cyfrowym” (prowadzonym przez dr Igora B. Nestoruka w ramach Katedry Jean Monnet dig_INFlow) był Maciej Groń, radca prawny w CSIRT NASK z siedzibą w Warszawie, oraz co warto szczególnie podkreślić absolwent Wydziału Prawa i Administracji UAM.
W pierwszej części spotkania nasz gość przedstawił historię Naukowej i Akademickiej Sieci Komputerowej (NASK), która rozpoczęła się na początku lat 90-tych ubiegłego wieku. Wówczas NASK powierzono m.in. zadanie obsługi nazw w domenie .pl, a następnie w strukturze NASK powołano do życia pierwszy w Polsce zespół reagowania na zagrożenia w sieci Internet – CERT Polska. Dzisiaj NASK działa jako Państwowy Instytut Badawczy nadzorowany przez Ministerstwo Cyfryzacji a swoje zadania wykonuje w wielu obszarach takich, jak cyberbezpieczeństwo, nauka i edukacja, rejestr domen czy sztuczna inteligencja i analiza danych.
projekt graficzny Canva
Kolejna część wystąpienia poświęcona była ramom prawym dla funkcjonowania Krajowego Systemu Cyberbezpieczeństwa w Polsce (KSC) w kontekście rosnącej liczby tzw. incydentów, czyli zdarzeń, które mają lub mogą mieć niekorzystny wpływ na cyberbezpieczeństwo. Uchwalona w 2018 r. ustawa o krajowym systemie cyberbezpieczeństwa była pierwszą w Polsce kompleksową regulacją w tym obszarze. Jej głównym celem było utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego funkcjonowania państwa. Swoim zakresem objęła obsługę incydentów zarówno w sektorze publicznym jak i prywatnym. Omówiony został schemat instytucjonalny KSC a także obowiązki poszczególnych podmiotów tworzących ten system, m.in. operatora usługi kluczowej, a także wybranych podmiotów publicznych, w tym CSIRT NASK – Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego na poziomie krajowym, z którym związany jest nasz gość.
slajdy: Maciej Groń, NASK
W ostatniej części spotkania zaprezentowane zostało unijne tłu regulacyjne dla obowiązywania ustawy o KSC, a przede wszystkim dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2 – EurLex). W jej przepisach nastąpiło rozszerzenie zakresu podmiotowego (podmioty kluczowe, podmioty średnie) oraz wskazane zostały sektory kluczowe (np. energetyka czy bankowość) oraz sektory ważne (np. usługi pocztowe, czy badania naukowe). Implementacja tej dyrektywy, do czego zobowiązane są wszystkie państwa członkowskie UE, będzie oznaczała szereg zmian w obowiązujących ustawodawstwie. W Polsce służy temu projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.
slajdy: Maciej Groń, NASK