"Po długich rozmowach i uzgodnieniach międzyresortowych projekt ustawy o krajowym systemie cyberbezpieczeństwa został przekazany do Sejmu. To ważny krok w kierunku wzmocnienia odporności Polski na rosnące zagrożenia" – napisał wiceszef Ministerstwa Cyfryzacji (MC) w serwisie X.
Projekt, datowany na 7 listopada, pojawił się też na stronie Sejmu.
Czym jest unijna dyrektywa NIS2
Nowelizacja ustawy o KSC ma wdrażać w Polsce unijną dyrektywę NIS2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Celem jest dostosowanie przepisów do zmieniającego się krajobrazu cyberzagrożeń oraz zwiększenie odporności systemów informatycznych w kluczowych sektorach gospodarki. Projekt wprowadza m.in. nowe zasady zgłaszania incydentów cyberbezpieczeństwa przez określone sektory oraz procedurę uznania danego dostawcy za dostawcę wysokiego ryzyka.
Dyrektywa NIS2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na "podmioty kluczowe" i "podmioty ważne". Nowelizacja nakłada na te podmioty nowe obowiązki związane z zarządzaniem ryzykiem, zwłaszcza w kwestii cyberbezpieczeństwa. Podmioty kluczowe i ważne będą też musiały posiadać kierownika, który będzie odpowiadał za realizację zadań z zakresu cyberbezpieczeństwa.
Szersze kompetencje ministra
Nowela wprowadza możliwość zgłaszania incydentów przez podmioty kluczowe i ważne za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego.
Jak wskazano w Ocenie Skutków Regulacji (OSR), projekt m.in. rozszerza katalog podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki, tj.: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję, produkcję i dystrybucję chemikaliów oraz produkcję i dystrybucję żywności.
Nowe przepisy przewidują rozszerzenie kompetencji ministra właściwego do spraw informatyzacji, m.in. będzie on mógł wskazywać dostawcę wysokiego ryzyka. Decyzja taka będzie mogła zostać podjęta według kryteriów technicznych i nietechnicznych. Sprzęt dostawcy wysokiego ryzyka będzie musiał być wycofany z systemów podmiotów kluczowych i podmiotów ważnych. Dla podmiotów kluczowych decyzja wejdzie w życie w terminach od 4 do 7 lat.
Projekt noweli przewiduje też utworzenie sektorowych zespołów CSIRT, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa.
Zostanie również wprowadzony krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Minister właściwy do spraw informatyzacji będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego.
Większe środki na cyberbezpieczeństwo
W projekcie podkreślono, że pojawianie się nowych cyberzagrożeń, jak również szybki wzrost katalogu usług publicznych dostępnych online, powodują, że instytucje publiczne jak i podmioty prywatne odpowiedzialne za cyberbezpieczeństwo, będą zmuszone poświęcać coraz więcej środków na zapewnienie cyberbezpieczeństwa. Zmieniająca się sytuacja międzynarodowa oraz konieczność dostarczenia usług dużej grupie nowych klientów sprawia, że niezbędne jest dalsze wzmacnianie podmiotów krajowego systemu cyberbezpieczeństwa.
Obecna wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.
Źródło: PAP
