W III kwartale rząd planuje przyjąć nowelę ustawy o krajowym systemie cyberbezpieczeństwa

W poniedziałek w wykazie prac legislacyjnych rządu poinformowano o pracach nad projektem noweli ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Projekt przygotowywany przez resort cyfryzacji, ma zostać przyjęty przez rząd w trzecim kwartale 2024 r.

Nowe prawo wdroży przepisy unijnej dyrektywy z 4 grudnia 2022 r. ws. środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2).

"Pojawianie się nowych cyberzagrożeń, jak również szybki wzrost katalogu usług publicznych dostępnych online, powodują, że instytucje publiczne jak i podmioty prywatne odpowiedzialne za cyberbezpieczeństwo będą zmuszone poświęcać coraz więcej środków na zapewnienie cyberbezpieczeństwa. Zmieniająca się sytuacja międzynarodowa oraz konieczność dostarczenia usług dużej grupie nowych klientów sprawia, że niezbędne jest dalsze wzmacnianie podmiotów krajowego systemu cyberbezpieczeństwa" - podkreślono w wykazie.

Coraz więcej zgłoszeń

Przywołano też statystyki zespołu CSIRT NASK, zgodnie z którymi w 2022 r. zgłoszono ponad 39 tys. incydentów cyberbezpieczeństwa, a w 2023 r. było to już ponad 75 tys. incydentów.

"Zmiany wprowadzone przez dyrektywę NIS 2 oraz pojawiające się nowe cyberzagrożenia powodują konieczność wprowadzenia stosownych zmian w KSC (krajowy system cyberbezpieczeństwa - PAP). Jest to podstawowy akt dotyczący cyberbezpieczeństwa w Polsce, który poprzednio wdrożył dyrektywę NIS 1. Poprzez zmianę KSC wdrożone zostaną także postanowienia Toolboxa 5G" - dodano.

Jak poinformowano w wykazie, nowelizacja rozszerzy katalog podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki. Nałożone zostaną również obowiązki z zakresu środków zarządzania ryzykiem na podmioty kluczowe i podmioty ważne w cyberbezpieczeństwie (zgodne z dyrektywą NIS 2). Pojawią się też nowe obowiązki odnoszące się do zarządzania ryzykiem w cyberbezpieczeństwie.

Projektowana nowela ma pozwolić na zgłaszanie incydentów przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego. Zespoły CSIRT sektorowe, mają wspierać wyżej wymienione podmioty w obsłudze incydentów cyberbezpieczeństwa.

Nowe przepisy mają wprowadzić też Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Zgodnie z projektowanymi przepisami podmioty kluczowe i podmioty ważne, które nie wprowadzą nowych wymogów ustawowych, będą mogły się liczyć z karami.

W wykazie poinformowano ponadto o rozszerzeniu kompetencji ministra właściwego ds. informatyzacji. "Organ ten będzie mógł dokonać, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka, będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego" - dodano.

Nowela ustawy o krajowym systemie cyberbezpieczeństwa ma realizować też jeden z kamieni milowych KPO (reforma C3.1.).