Za uchwaleniem noweli było 407 posłów, przeciwko 10, a 17 posłów wstrzymało się od głosu. Wcześniej Sejm odrzucił wniosek o odrzucenie projektu noweli w całości.
Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa ma wdrażać w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G.
Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na "podmioty kluczowe" i "podmioty ważne". Wprowadziła także nowe sektory objęte obowiązkami związanymi z cyberbezpieczeństwem.
Obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej w dyrektywie NIS 2 dodano następujące sektory: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję i dystrybucję chemikaliów oraz produkcję i dystrybucję żywności.
Będzie można wyznaczyć dostawcę wysokiegpo ryzyka
Nowe przepisy przewidują rozszerzenie kompetencji ministra właściwego do spraw informatyzacji – m.in. będzie on mógł wskazywać dostawcę wysokiego ryzyka. Decyzja taka będzie mogła zostać podjęta według kryteriów technicznych i nietechnicznych, po konsultacjach z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa.
Dostawca będzie mógł zaskarżyć decyzję do sądu administracyjnego. Sprzęt dostawcy wysokiego ryzyka będzie musiał być wycofany z systemów podmiotów kluczowych i podmiotów ważnych w ciągu od 4 do 7 lat.
Nowela przewiduje, że firmy z sektorów kluczowych i ważnych (czyli m.in. energii, zdrowia, bankowości, produkcji, zaopatrzenia w wodę) będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem. Obowiązkowe będzie m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych – PAP) oraz regularne ocenianie ryzyka wystąpienia incydentów.
Kary za nieprzestrzeganie przepisów
Za nieprzestrzeganie przepisów na przedsiębiorców z tych sektorów będą nakładane kary: co do zasady na podmioty kluczowe o wysokości minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł); a na podmioty ważne – min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł). Kara może też wynieść 2 proc. przychodów firmy – w przypadku podmiotów kluczowych; a w przypadku podmiotów ważnych – 1,4 proc. przychodów.
Niezależnie od limitów za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.
Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
W trakcie prac sejmowych przyjęto poprawki doprecyzowujące wybrane rozwiązania projektu. Jedna z nich wprowadza obowiązek udziału przedstawiciela prezydenta w rządowych pracach nad uchwałą Rady Ministrów w sprawie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Dokument ten określi cele oraz tryb zarządzania incydentami i sytuacjami kryzysowymi w cyberprzestrzeni.
Druga poprawka przewiduje, że administracyjne kary pieniężne za brak realizacji obowiązków wynikających z ustawy o Krajowym Systemie Cyberbezpieczeństwa będą mogły być nakładane po raz pierwszy po upływie 2 lat od dnia wejścia w życie ustawy. Rozwiązanie to ma umożliwić podmiotom objętym regulacją odpowiednie przygotowanie się do nowych wymagań.
Poprzednia wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.
