Prezydent ocenił na nagraniu opublikowanym w serwisie X, że nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wzmacnia mechanizmy obronne, poprawia współpracę instytucji i pozwala eliminować dostawców wysokiego ryzyka.
Dodał, że podpisał nowelę, ponieważ "bezpieczeństwo nie ma barw partyjnych".
Karol Nawrocki zwrócił jednak uwagę, że musiał zareagować na głos przedsiębiorców, którzy postrzegają zawarte w noweli obowiązki, "jako nadmiarowe i nieproporcjonalne". Poinformował, że w związku z tym skierował wniosek do Trybunału Konstytucyjnego o kontrolę następczą przepisów.
Dokument wdraża w Polsce unijną dyrektywę NIS 2 i tzw. Toolbox 5G, wprowadzając m.in. procedurę wyznaczania dostawcy wysokiego ryzyka oraz nowe obowiązki dla firm z kluczowych sektorów.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma wdrażać w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na "podmioty kluczowe" i "podmioty ważne".
W ustawie podmioty ważne i kluczowe
W nowelizacji ustawy o KSC wśród sektorów kluczowych znalazły się: energia, transport, ochrona zdrowia, bankowość i infrastruktura rynków finansowych, zaopatrzenie w wodę, infrastruktura cyfrowa, a także niewystępujące do tej pory w KSC: ścieki, zarządzanie ICT (infrastrukturą teleinformatyczną) i przestrzeń kosmiczna. Do sektorów kluczowych zaliczono też podmioty publiczne, w tym urzędy, samorządy, szkoły, szpitale i instytuty badawcze.
Natomiast do sektorów ważnych, według noweli, należą: usługi pocztowe; gospodarowanie odpadami; dostawcy usług cyfrowych; produkcja i dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; produkcja, w tym m.in. wyrobów medycznych, komputerów, urządzeń elektrycznych, pojazdów samochodowych, przyczep i naczep.
Zgodnie z nowelizacją, firmy muszą same ocenić, czy spełniają kryteria dla podmiotu kluczowego lub podmiotu ważnego. Jeśli odpowiedź jest pozytywna - będą zobowiązane zarejestrować się w wykazie podmiotów KSC i będą mieć na to 6 miesięcy od samoidentyfikacji. Niezgłoszenie się do systemu rodzi ryzyko nałożenia kar.
Nowela przewiduje, że organizacje z sektorów kluczowych i ważnych będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem, w tym wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami. Obowiązkowe będzie też zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty oraz stosowanie środków ograniczających wpływ incydentów. Środki te to np. regularne aktualizacje oprogramowania, czy niezwłoczne podejmowanie działań po dostrzeżeniu zagrożenia.
Podmioty objęte KSC będą musiały również wdrożyć środki techniczne i organizacyjne proporcjonalne do oszacowanego ryzyka, które powinny być dostosowane m.in. do wielkości organizacji. Wśród tych środków nowela wymienia polityki i procedury cyberbezpieczeństwa, kontrolę dostępu do systemów, bezpieczne środki komunikacji, zawierające uwierzytelnianie wieloskładnikowe czy szkolenia dla pracowników. Wdrożone środki mają zapewniać bezpieczeństwo ludzi, środowiska, zasobów podmiotu oraz łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych – PAP). Mają też zapewnić ciągłość działania podmiotu i możliwość świadczenia usług w przypadku wystąpienia incydentu.
Nowela zakłada, że podmioty kluczowe i ważne będą przekazywać sobie nawzajem informacje o incydentach, cyberzagrożeniach i podatnościach za pomocą systemu s46. Ponadto podmioty kluczowe będą miały obowiązek przeprowadzenia na własny koszt, co najmniej raz na 3 lata, audytu bezpieczeństwa. Podmioty kluczowe i ważne będą mieć 12 miesięcy na dostosowanie się do przepisów - od dnia wejścia w życie ustawy nowelizacji.
Nowela przewiduje również utworzenie sektorowych zespołów CSIRT, które będą wspierać podmioty objęte KSC w obsłudze incydentów cyberbezpieczeństwa. Zgodnie z ustawą zostanie wprowadzony również Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Ma go uchwalić Rada Ministrów w ciągu 6 miesięcy od dnia wejścia w życie noweli. Minister cyfryzacji będzie mógł natomiast wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego. W jego ramach może np. nakazać podmiotowi przeprowadzenie analizy ryzyka czy zabezpieczenie określonych informacji.
Nowela wprowadza termin "incydent poważny", czyli taki, który powoduje lub może spowodować: poważne obniżenie jakości; przerwanie ciągłości świadczenia usługi; straty finansowe; lub też taki, który wpływa na inne osoby i jednostki przez wywołanie poważnej szkody. Podmioty kluczowe i ważne będą musiały zgłaszać tego typu incydenty do odpowiedniego CSIRT-u, w ciągu 72 godzin od wykrycia. Natomiast w ciągu 24 godzin będą musiały zgłosić do CSIRT-u sektorowego "wczesne ostrzeżenie". Podmioty KSC zostały też zobowiązane do powiadomienia o incydencie poważnym użytkowników usług - jeśli ten incydent ma negatywny wpływ na świadczenie usług.
Kary za naruszenie ustawy o KSC
Za nieprzestrzeganie przepisów na przedsiębiorców objętych KSC będą nakładane kary pieniężne. Kara na podmioty kluczowe może wynieść 2 proc. przychodów firmy; minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł). Natomiast kary na podmioty ważne mogą wynieść 1,4 proc. przychodów firmy; min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł).
Niezależnie od limitów za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.
Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
Poprzednia wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.
Źródło części tekstu: PAP
