MNiSW: Cyberbezpieczeństwo w nauce według nowych zasad (komunikat)

- Ministerstwo Nauki i Szkolnictwa Wyższego:

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa uporządkuje zasady ochrony systemów informatycznych w uczelniach i instytutach naukowych. W nowo przyjętych regulacjach po raz pierwszy przyjęto podejście oparte na zasadzie adekwatności i proporcjonalności. O rozwiązaniach wypracowanych wspólnie przez administrację publiczną i środowisko akademickie mówili na zorganizowanej w siedzibie MNiSW konferencji prasowej minister nauki i szkolnictwa wyższego Marcin Kulasek i przedstawiciele Konferencji Rektorów Akademickich Szkół Polskich.

NIS2 i pojęcie organizacji badawczej

Nowe przepisy lepiej wykorzystują rozwiązania unijnej dyrektywy NIS2, która wprowadza pojęcie organizacji badawczej – podmiotu nastawionego przede wszystkim na badania stosowane i prace rozwojowe ukierunkowane na praktyczne wykorzystanie wyników. Nie każda uczelnia i nie każda jednostka naukowa prowadzi właśnie taką działalność. W toku prac legislacyjnych uwzględniono uwagi środowiska akademickiego i do ustawy wprowadzono definicję organizacji badawczej obejmującą tylko te podmioty lub obszary ich działania, które realizują badania aplikacyjne lub prace rozwojowe z wykorzystaniem systemów informatycznych. Dzięki temu zrezygnowano z automatycznego obejmowania całych uczelni najwyższymi wymaganiami cyberbezpieczeństwa.

Przełom w ochronie bez ograniczania kreatywności

– Możemy dziś bez przesady ogłosić, że nastąpił przełom w ochronie cyfrowej naszej nauki. To nie kolejna zmiana w prawie, odczuwalna tylko dla grupki zainteresowanych. Stawiamy dziś tamę wzmacniającą bezpieczeństwo, ale – co warto podkreślić – nie ma mowy o krępowaniu kreatywności i ograniczaniu autonomii akademickiej. Zyskujemy spokój, zachowując wolność – podkreślił w trakcie konferencji prasowej minister Marcin Kulasek.

O warunku adekwatności przyjmowanych rozwiązań mówiła przewodnicząca KRASP. – Konferencja Rektorów Akademickich Szkół Polskich od początku włączyła się do działań zmierzających do nowelizacji ustawy i na bieżąco wnosiła swoje poprawki i postulaty. Efektem jest ustawa, która z jednej strony chroni uczelnie, a z drugiej strony bierze pod uwagę ich specyfikę. Najważniejsze zasady cyberbezpieczeństwa będą obejmowały te podmioty, które prowadzą realną działalność badawczą i przekuwają ją w określone rozwiązania. To rozwiązania stworzone po to, by chronić przede wszystkim to, co w nauce polskiej innowacyjne i umożliwić uczelniom swobodne działanie – podkreślała prof. Bogumiła Kaniewska.

Nowy model: odpowiedzialność i nadzór

Nowelizacja opiera się na zasadzie, zgodnie z którą poziom wymagań odpowiada realnemu poziomowi ryzyka. Najwyższe wymagania dotyczą systemów i procesów związanych z badaniami stosowanymi i pracami rozwojowymi, natomiast pozostałe obszary działalności uczelni i instytutów objęto mniej rygorystycznymi, choć nadal wysokimi standardami. Takie podejście pozwala chronić strategiczne elementy systemu nauki, bez blokowania codziennej pracy instytucji.

Nowelizacja porządkuje zasady

Istotną zmianą jest także jednoznaczne określenie odpowiedzialności za cyberbezpieczeństwo. Ustawa przypisuje konkretne obowiązki jednostkom naukowym, rektorom i dyrektorom instytutów oraz wzmacnia rolę ministra nauki i szkolnictwa wyższego w zakresie nadzoru i kontroli. Przewiduje też zapewnienie środków finansowych na cyberbezpieczeństwo w nauce oraz utworzenie CSIRT Nauka – wyspecjalizowanego zespołu reagowania na incydenty.

– Dzięki tym rozwiązaniom cyberbezpieczeństwo przestanie być wyłącznie kwestią techniczną. Stanie się elementem zarządzania i odpowiedzialności instytucjonalnej – mówił dr hab. Dariusz Szostek, prof. UŚ, przewodniczący Zespołu ds. Cyberbezpieczeństwa KRASP. – Musimy teraz wykształcić specjalistów, którzy odpowiednio zadbają o to cyberbezpieczeństwo. To muszą być nasi specjaliści, nasza kontrola i nasze certyfikaty – akcentował prof. Szostek.

Wspólne standardy bez regulacji narzucanych z góry

Nowe podejście do cyberbezpieczeństwa w nauce to efekt współpracy władz publicznych ze środowiskiem akademickim. Przepisy znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa będą uwzględniać zarówno wymogi prawa unijnego, jak też realia funkcjonowania polskich uczelni i instytutów.

– To przykład regulacji, która łączy bezpieczeństwo państwa z poszanowaniem autonomii akademickiej. Dzięki otwartej dyskusji w toku procesu legislacyjnego zostały wypracowane standardy adekwatne do ryzyka, proporcjonalne i możliwe do wdrożenia – podsumowała przewodnicząca KRASP.

Wady poprzedniego modelu

Uczelnie i instytuty jako niezwykle ważna część polskiej infrastruktury cyfrowej codziennie przetwarzają dane osobowe, badawcze i technologiczne, prowadzą projekty międzynarodowe i kształcą blisko 1,3 mln studentów. Dotychczas poziom dotyczącego ich cyberbezpieczeństwa był jednak bardzo zróżnicowany – od bardzo wysokiego w najlepszych uczelniach technicznych po niski w części innych szkół wyższych.

Dotychczasowe przepisy, w tym wynikające z Krajowych Ram Interoperacyjności, nie zapewniały jednolitego nadzoru, jasnych standardów ani skutecznego egzekwowania obowiązków. Mimo rosnącej skali zagrożeń cyberbezpieczeństwo często nie było traktowane jako zadanie priorytetowe.

UWAGA: komunikaty publikowane są w serwisie PAP bez wprowadzania przez PAP SA jakichkolwiek zmian w ich treści, w formie dostarczonej przez nadawcę. Nadawca komunikatu ponosi odpowiedzialność za jego treść – z zastrzeżeniem postanowień art. 42 ust. 2 ustawy prawo prasowe. (PAP)

kom/ jj/ amac/