Ustawa o krajowym systemie cyberbezpieczeństwa przyjęta w Senacie. Teraz decyzja należy do prezydenta

Za przyjęciem ustawy głosowało 75 senatorów, przeciw było 5, nikt nie wstrzymał się od głosu.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma wdrażać w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na "podmioty kluczowe" i "podmioty ważne".

Wprowadziła także nowe sektory objęte obowiązkami związanymi z cyberbezpieczeństwem. Obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej w dyrektywie NIS 2 dodano następujące sektory: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję i dystrybucję chemikaliów oraz produkcję i dystrybucję żywności.

Nowe przepisy przewidują rozszerzenie kompetencji ministra właściwego do spraw informatyzacji – m.in. będzie on mógł wskazywać dostawcę wysokiego ryzyka. Decyzja taka będzie mogła zostać podjęta według kryteriów technicznych i nietechnicznych, po konsultacjach z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa.

Dostawca będzie mógł zaskarżyć decyzję do sądu administracyjnego. Sprzęt dostawcy wysokiego ryzyka będzie musiał być wycofany z systemów podmiotów kluczowych i podmiotów ważnych w ciągu od 4 do 7 lat.

Nowela przewiduje, że firmy z sektorów kluczowych i ważnych (czyli m.in. energii, zdrowia, bankowości, produkcji, zaopatrzenia w wodę) będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem.

Obowiązkowe będzie m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych – PAP) oraz regularne ocenianie ryzyka wystąpienia incydentów.

Poprzednia wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.

Ustawa ma wejść w życie po upływie miesiąca od dnia ogłoszenia.

Źródło: PAP