Rozwój = Wiedza + Edukacja

Projektowanie i zlecanie badań rynku pracy sektora telekomunikacja i cyberbezpieczeństwo

Identyfikacja potrzeb tworzenia sektorowych ram kwalifikacji

Rekomendowanie rozwiązań oraz zmian legislacyjnych w obszarze edukacji

Współpraca w zakresie porozumień edukacyjnych

previous arrow
next arrow
Slider

Komitet ds. rozwiązań legislacyjnych Sektorowej Rady Do Spraw Kompetencji Telekomunikacja i Cyberbezpieczeństwo wydał swoje stanowisko w sprawie projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych (projekt z 7 września 2020 r.).

Uwagi ogólne

W uwagach ogólnych Rada odnosi się do swojej roli, którą jest przede wszystkim skupianie się na szerzeniu edukacji i praktyk w obu wskazanych dziedzinach. Obejmuje to m. in. rekomendowanie rozwiązań legislacyjnych w obszarze edukacji i dostosowanie do potrzeb rynku pracy oraz formułowanie rekomendacji dotyczących zapotrzebowania na kompetencje w danym sektorze. Z powyższych względów, w kręgu zainteresowania Rady znajdują się wszelkie rozwiązania legislacyjne, które mają wpływ na kształt rynku pracy oraz potrzeby edukacyjne w dziedzinie telekomunikacji i cyberbezpieczeństwa.

Problemy definicyjne

W pierwszej kolejności, Rada pragnie zwrócić uwagę na problemy związane z definiowaniem cyberbezpieczeństwa w różnych aktach prawnych. W ustawie o krajowym systemie cyberbezpieczeństwa (UKSC) cyberbezpieczeństwo jest definiowane jako odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Definicja ta jest zbliżona do definicji „bezpieczeństwa sieci i systemów informatycznych” zawartej w art. 4 ust. 2 Dyrektywy NIS, które „oznacza odporność sieci i systemów informatycznych, przy danym poziomie zaufania, na wszelkie działania naruszające dostępność, autentyczność, integralność lub poufność przechowywanych lub przekazywanych, lub przetwarzanych danych lub związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy informatyczne”.

Rada zwraca również uwagę na niejednoznaczność terminu „cyberbezpieczeństwo”. Termin ten jest również wadliwie tłumaczony z języka angielskiego, często jako „bezpieczeństwo cybernetyczne”, i „bezpieczeństwo systemów informatycznych” – co, zdaniem Rady wymaga korekty. Jednocześnie Rada zwraca uwagę na brak cyberbezpieczeństwa w klasyfikacjach rodzajów działalności. Dotyczy to zarówno Międzynarodowej Standardowej Klasyfikacji Rodzajów Działalności (ISIC), Statystycznej Klasyfikacji Rodzajów Działalności Gospodarczej w Unii Europejskiej (NACE), jak i Polskiej Klasyfikacji Działalności (PKD). Działalność ma miejsce wówczas, gdy czynniki takie jak: wyposażenie, siła robocza, technologia produkcji, sieci informacyjne lub produkty są powiązane w celu wytworzenia określonego wyrobu lub wykonania usługi.

Kwalifikacje i umiejętności związane z cyberbezpieczeństwem

Rada w swoim postulacie zaznacza, że w UKSC brak wyraźnych wymogów w zakresie kwalifikacji, wiedzy i umiejętności. Pojawiają się wątpliwości dotyczące dokumentowania faktu dysponowania odpowiednim personelem (czy ma on posiadać stosowne certyfikaty, szkolenia, itp.) oraz braku wymogów w odniesieniu do personelu wewnętrznych struktur. Rada zdaje sobie sprawę z różnicy w podejściu do wymogów kwalifikacyjnych w sferze prywatnej i publicznej. Sfera prywatna jest z jednej strony często lepiej motywowana do podnoszenia kwalifikacji, z drugiej – wszelkie ustawowe wymogi tego typu traktuje jako dodatkowe, kosztowne obowiązki nakładane na sektor gospodarczy. W sferze publicznej z kolei, brak ustawowych wymogów co do posiadania określonych kwalifikacji powoduje niechęć do wydawania publicznych pieniędzy na te cele, a tym samym brak motywacji do podnoszenia poziomu umiejętności. W raporcie NIK z 2019 r. dotyczącym zapewniania bezpieczeństwa e-usług oceniono krytycznie 70% badanych podmiotów publicznych. Pewnym wzorem mogą być przepisy dotyczące ochrony danych osobowych dotyczące inspektorów ochrony danych. W art. 37 ust. 5 RODO stanowi, że Inspektor ochrony danych wyznaczany jest na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk ochrony danych oraz umiejętności wypełniania swoich zadań. Do szkolenia innych osób upoważnianych do przetwarzania, mobilizują administratorów zasada rozliczalności i dolegliwe sankcje. Rada stoi na stanowisku, że efektywność nowych regulacji cyberbezpieczeństwa może być ograniczona ze względu na niewystarczający potencjał kadrowy, zwłaszcza SOC i CSIRT sektorowych. W związku z tym Rada rekomenduje, aby w UKSC umieścić przepisy skłaniające do podnoszenia kwalifikacji.

Chcesz być na bieżąco? Zapisz się na nasz newsletter!

Lider projektu:


Partner projektu:

Polska Izba Informatyki i Telekomunikacji

Projekt nr UDA-POWR.02.12.00-00-SR03/18 jest współfinansowany z Europejskiego Funduszu Społecznego
w ramach Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020