Dokument określa strategiczne cele oraz odpowiednie środki polityczne i regulacyjne, które trzeba zrealizować aby systemy informacyjne, operatorzy usług kluczowych, operatorzy infrastruktury krytycznej, dostawcy usług cyfrowych oraz administracja publiczna były odporne na cyberzagrożenia. To zwiększy również poziom bezpieczeństwa narodowego.
Strategia Cyberbezpieczeństwa RP na lata 2019-2024 została zaakceptowana przez Radę Ministrów w dniu 22 października 2019 r., a 29 października podpisał ją premier Mateusz Morawiecki. Obowiązuje od 31 października 2019 roku.
Strategia zastępuje Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022.
Główny cel Strategii
Głównym celem Strategii jest podniesienie poziomu odporności na cyberzagrożenia oraz poziomu ochrony informacji w sektorach: publicznym, militarnym i prywatnym. Na lepszą ochronę informacji wpłynie też promowanie wiedzy i dobrych praktyk wśród obywateli.
Szczegółowe cele Strategii
W dokumencie określono pięć celów szczegółowych.
- Cel szczegółowy 1 – rozwój krajowego systemu cyberbezpieczeństwa. Na podstawie praktyki z funkcjonowania systemu, dokonana będzie ewaluacja przepisów prawa, w tym ustawy o krajowym systemie cyberbezpieczeństwa oraz rozporządzeń wykonawczych. Aktualizacja przepisów prawa ma sprzyjać podniesieniu efektywności systemu cyberbezpieczeństwa w Polsce. Zostaną podjęte działania związane z rozwojem i budową odpornego na cyberzagrożenia systemu wymiany informacji, co ułatwi zarządzanie bezpieczeństwem narodowym. Ponadto, w celu zwiększenia bezpieczeństwa usług kluczowych oraz cyfrowych, a także infrastruktury krytycznej m.in. zaimplementowany zostanie Zintegrowany System Zarządzania Bezpieczeństwem Cyberprzestrzeni RP. Ważnym elementem podnoszącym poziom cyberbezpieczeństwa jest także opracowanie i wdrożenie metodyki szacowania ryzykiem na poziomie krajowym.
- Cel szczegółowy 2 – podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty zakłada się m.in. opracowanie Narodowych Standardów Cyberbezpieczeństwa. Celem jest zwiększenie odporności systemów informacyjnych administracji publicznej. Obecnie Ministerstwo Cyfryzacji zakończyło prace nad Standardami Cyberbezpieczeństwa Chmur Obliczeniowych. Kolejne standardy zostaną będą sukcesywnie opracowywane m.in. dla aplikacji, urządzeń mobilnych, czy serwerów i sieci. Podjęte zostaną działania mające na celu realizację przepisów tzw. Aktu o Cyberbezpieczeństwie, z czym wiąże się utworzenie, a następnie utrzymanie i rozwój krajowego systemu oceny i certyfikacji cyberbezpieczeństwa, co umożliwi Rzeczypospolitej Polskiej uzyskanie pełnego i rozpoznawanego na arenie europejskiej i międzynarodowej statusu państwa producenta w dziedzinie rozwiązań cyberbezpieczeństwa. Należy także wyznaczyć krajowy organ ds. certyfikacji cyberbezpieczeństwa, który będzie wydawał europejskie certyfikaty cyberbezpieczeństwa oraz nadzorował krajowe jednostki oceniające zgodność produktów, usług i procesów z wymaganiami określonymi w europejskich programach certyfikacji cyberbezpieczeństwa. Ministerstwo będzie wspierało podmioty ksc w kontekście audytów, z czym wiąże się opracowanie wspólnej dla wszystkich sektorów metodyki audytów.
- Cel szczegółowy 3 – Zwiększenie potencjału narodowego w zakresie technologii cyberbezpieczeństwa. Kontynuowana będzie współpraca z Narodowym Centrum Badań i Rozwoju w ramach Programu CyberSecIdent – Cyberbezpieczeństwo i Tożsamość. Program umożliwia polskich ośrodkom badawczym oraz firmom ubieganie się o granty na badania naukowe i rozwój nowoczesnych technologii i rozwiązań w cyberbezpieczeństwie. W ramach rozwoju skutecznego partnerstwa publiczno – prywatnego kontynuowany będzie Program Współpracy w Cyberbezpieczeństwie (PWCyber), czyli porozumienia z liderami w obszarze innowacyjnych technologii.
- Cel szczegółowy 4 – Budowanie świadomości i kompetencji społecznych w zakresie cyberbezpieczeństwa. Niezbędnym działaniem jest podniesienie kompetencji kadr nie tylko w podmiotach istotnych za systemu cyberbezpieczeństwa RP, ale także ważne jest wdrożenie systemowych rozwiązań w celu zapewnienia merytorycznego wsparcia dla podniesienia kompetencji pracowników zarówno administracji rządowej, jak i jednostek samorządu terytorialnego. Z uwagi na liczne wyzwania związane z cyberbezpieczeństwem istotne jest ciągłe podnoszenie świadomości społecznej poprzez m.in. dedykowane programy edukacyjne oraz kampanie świadomościowe.
- Cel szczegółowy 5 – Zbudowanie silnej pozycji międzynarodowej Rzeczypospolitej Polskiej w obszarze cyberbezpieczeństwa. Budowa międzynarodowej pozycji Polski jako silnego i kompetentnego gracza w obszarze cyberbezpieczeństwa jest także istotnym elementem planu działań Ministerstwa Cyfryzacji Planujemy prowadzić intensywne działania na poziomie Unii Europejskiej m.in. w ramach Grup Współpracy NIS. Mocny głos ekspercki jest z Polski jest wymagany w kontekście ewentualnych zmian w dyrektywie NIS, czy prac nad europejskim systemem certyfikacji cyberbezpieczeństwa. Jednocześnie ministerstwo przywiązuje dużą wagę do działania Horyzontalnej Grupy Roboczej Rady UE ds. Cyberbezpieczeństwa, gdzie podejmowane są decyzje kierunkowe dot. cyberbezpieczeństwa Ministerstwo Cyfryzacji planuje intensyfikację współpracy regionalnej. Ponadto wymagane są aktywne działania Polski w kontekście systemu Narodów Zjednoczonych oraz relacjach regionalnych, a także dwustronnych z innymi państwami.