Komentarz stanowi książkowe opracowanie przepisów ustawy z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa, określanej popularnie jako „cyberustawa". Ustawa implementuje dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dyrektywa NIS). Po raz pierwszy tworzy w Polsce całościowy prewencyjny system cyberbezpieczeństwa, obejmujący operatorów usług kluczowych, dostawców usług cyfrowych, podmioty publiczne, podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz administrację rządową właściwą ds. cyberbezpieczeństwa.
Książka stanowi niezbędną lekturę i narzędzie pracy dla wszystkich osób, którym przychodzi stosować ustawę o krajowym systemie cyberbezpieczeństwa. Komentarz rozwieje wiele wątpliwości interpretacyjnych, występujących w praktyce stosowania ustawy. Istotnym atutem komentarza jest udział w zespole autorskim ekspertów IT, którzy w komentarzu dzielą się wiedzą techniczną i udzielają praktycznych wskazówek w zakresie technologii służących cyberbezpieczeństwu.
Najważniejsze atuty komentarza:
wskazuje głównych adresatów nowych regulacji z zakresu cyberbezpieczeństwa, opisując kryteria uznania za operatorów usług kluczowych lub dostawców usług cyfrowych;
precyzyjnie prezentuje obowiązki z zakresu cyberbezpieczeństwa, spoczywające na operatorach usług kluczowych, dostawcach usług cyfrowych i podmiotach publicznych; może służyć jako przewodnik w implementacji wymogów ustawy;
zawiera praktyczną wiedzę w postaci wskazówek dotyczących zastosowania technologii służących cyberbezpieczeństwu, przygotowanych przez ekspertów IT;
prezentuje interdyscyplinarne podejście do tematu – wśród autorów są prawnicy będący (legislatorzy i praktycy) oraz specjaliści zajmujące się technicznymi aspektami cyberbezpieczeństwa;
przedstawia dobre praktyki w zakresie cyberbezpieczeństwa, wynikające z norm europejskich oraz wytycznych Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji (ENISA);
podejmuje kompleksową analizę prawną ustawy wraz z rozporządzeniami wykonawczymi do ustawy;
przedstawia interpretacje i wzajemne powiązania regulacji ustawy, ułatwiając ich praktyczne stosowanie;
wyjaśnia zależności pomiędzy obowiązkami i podmiotami wspierającymi ich realizację;
zwięźle wskazuje na związki pomiędzy zapisami ustawowymi a rozwiązaniami technologicznymi i organizacyjnymi.
W książce odpowiadamy na pytania, które mogą sprawiać najwięcej problemów w procesie stosowania przepisów ustawy o krajowym systemie cyberbezpieczeństwa, np.:
Czy zakres ustawy jest tożsamy z zakresem dyrektywy NIS?
Jaka jest geneza i znaczenie kluczowych pojęć z cyberustawy, takich jak cyberbezpieczeństwo, obsługa incydentu i zarządzanie incydentem, usługa kluczowa i usługa cyfrowa?
Jaka jest struktura krajowego systemu cyberbezpieczeństwa?
Kiedy przedsiębiorca może zostać uznany za operatora usługi kluczowej?
Co oznacza „natychmiastowa wykonalność" decyzji o uznaniu podmiotu za operatora usługi kluczowej?
W jaki sposób podważać decyzję o uznaniu za operatora usługi kluczowej?
Jakie cechy posiada system zarządzania bezpieczeństwem w systemie informacyjnym wdrażany przez operatorów usług kluczowych?
Jak przebiega proces szacowania ryzyka wystąpienia incydentu i zarządzania ryzykiem, stanowiący element wymaganego przez ustawę systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej?
Co należy rozumieć przez wymóg „adekwatności" i „najnowszego stanu wiedzy", który powinien być realizowany przy wdrażaniu środków technicznych i organizacyjnych przez operatorów usług kluczowych i dostawców usług cyfrowych ?
Jak wygląda bezpieczny rozwój oprogramowania i jak zabezpieczyć się przed nieuprawnioną modyfikacją w systemie informacyjnym?
W jaki sposób prowadzić dokumentację dotyczącą cyberbezpieczeństwa?
Czy dopuszczalne jest dokonanie outsourcingu zadań związanych z cyberbezpieczeństwem? Jakie warunki należy spełnić?
Jak wyglądają procedury obsługi i zgłaszania incydentu u operatorów usług kluczowych, dostawców usług cyfrowych i w podmiotach publicznych?
Jaki jest zakres ochrony tajemnic prawnie chronionych w ustawie o krajowym systemie cyberbezpieczeństwa?
Czym są „podatności" i jakie są narzędzia służące do badania podatności?
Czym różni się status dostawców usług cyfrowych od operatorów usług kluczowych?
Jakie są kontrowersje wokół sposobu klasyfikowania incydentów przez dostawców usług cyfrowych?
Jaka jest rola i obszary działalności poszczególnych trzech zespołów CSIRT i zespołów sektorowych?
Czy i kiedy zespół CSIRT może wziąć udział w obsłudze incydentu?
Jakie są źródła informacji o cyberbezpieczeństwie, wykorzystywane przez zespoły CSIRT?
Jaki jest charakter prawny rekomendacji dotyczących stosowania sprzętu i oprogramowania, wydawanych przez Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa?
Jak wygląda wymiana informacji na temat incydentów krytycznych?
Czy informacje dotyczące incydentów mogą być publicznie dostępne?
Jakie są zadania organów właściwych do spraw cyberbezpieczeństwa?
Jakie są formy współpracy ministra do spraw informatyzacji z Grupą Współpracy?
Jakie są założenia dla działania systemu teleinformatycznego wspierającego współpracę w ramach krajowego systemu cyberbezpieczeństwa?
Jakie zadania spoczywają na Krajowym Punkcie kontaktowym?
Jak wygląda przeprowadzenie czynności kontrolnych zgodnie z cyberustawą? Jakie znaczenie ma zastosowanie do czynności kontroli przepisów ustawy z dnia 6 marca 2018 r.- Prawo przedsiębiorców albo ustawy z dnia 15 lipca 2011 r. o kontroli w administracji rządowej?
Jaka jest rola i zadania Pełnomocnika Rządu do spraw Cyberbezpieczeństwa oraz Kolegium do Spraw cyberbezpieczeństwa?
Jaki charakter prawny ma strategia Cyberbezpieczeństwa RP i w jaki sposób jest ona tworzona i realizowana?
Z jakimi konsekwencjami wiąże się naruszenie przepisów ustawy o krajowym systemie cyberbezpieczeństwa?
Jaka jest rola systemu wczesnego ostrzegania o zagrożeniach występujących w sieci Internet? Czym jest system ARAKIS-GOV?