Zapewnienie wysokiego poziomu cyberbezpieczeństwa – to jeden z priorytetów Ministerstwa Cyfryzacji, określony już w listopadzie 2015 roku. Do wdrożenia systemów bezpieczeństwa sieci teleinformatycznych i przetwarzanych w nich informacji kraje członkowskie zobowiązała dyrektywa Unii Europejskiej Network and Information Security. Krajowym systemem cyberbezpieczeństwa zostaną objęte m.in. sądy, trybunały, samorządy, a także instytucje i przedsiębiorstwa finansowe, energetyczne, lotnicze, kolejowe, wodno-kanalizacyjne, także porty oraz dostawcy usług cyfrowych.
Stale rosnący wpływ technologii teleinformatycznych na rozwój społeczno-gospodarczy państw członkowskich Unii Europejskiej oraz wzrost ich wykorzystania w zarządzaniu, produkcji, sektorze usług oraz przez podmioty publiczne sprawia, że oferowane produkty i usługi są obecnie coraz silniej zależne od zapewnienia cyberbezpieczeństwa.
W myśl nowej ustawy ma być m.in. zapewnienie bezpieczeństwa systemów informacyjnych służących do świadczenia usług kluczowych i usług cyfrowych, obejmując wiele sektorów o dużym znaczeniu, u których zagrożenie atakiem jest największe.
Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT (zespółem reagowania na incydenty w cyberprzestrzeni) poziomu krajowego.
Ochrona przed cyber zagrożeniem obejmie też transport kolejowy. Jak wskazano w regulacji kolej jest zróżnicowana, jednak mające kluczowe znaczenie przedsiębiorstwa działają na rynku od lat i korzystają w znacznym stopniu z systemów informacyjnych. Włączenie ich w system przyczyni się do zwiększenia bezpieczeństwa świadczonych usług.
Regulacja obejmie: zarządców infrastruktury kolejowej – głównie PKP Polskie Linie Kolejowe, przedsiębiorstwa kolejowe, obsługujące zarówno transport pasażerski (Przewozy Regionalne, Koleje Mazowiecki, PKP SKM Śródmieście, PKP Intercity), jak i transport towarowy (m.in. PKP Cargo, DB Cargo Polska). Regulacja obejmie także operatorów obiektów infrastruktury usługowej, gdy tylko znajdą się w rejestrze Prezesa Urzędu Transportu Kolejowego.
Przyjęcie ustawy wynika z konieczności wdrożenia do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady 2016/1148/UE, jednocześnie realizując także zapisy Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022.
