Wicepremier Krzysztof Gawkowski poinformował o przyjęciu projektu, przygotowanego przez Ministerstwo Cyfryzacji.

– Wymaga on od kluczowych i ważnych podmiotów wdrożenia bardziej rygorystycznych środków zarządzania ryzykiem oraz zgłaszania incydentów bezpieczeństwa – poinformował minister cyfryzacji Krzysztof Gawkowski.

Krzysztof Gawkowski, wiceminister i minister cyfryzacji. Źródło: MInisterstwo Cyfryzacji

Nowelizacja ustawy o KSC (Krajowym Systemie Cyberbezpieczeństwa) ma wdrażać unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Celem jest dostosowanie przepisów do zmieniającego się krajobrazu cyberzagrożeń oraz zwiększenie odporności systemów informatycznych w kluczowych sektorach gospodarki.

Nowe obowiązki zarządzania ryzykiem i kara za niewywiązywanie się

Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na „podmioty kluczowe” i „podmioty ważne”. Nowelizacja nakłada na te podmioty nowe obowiązki związane z zarządzaniem ryzykiem, zwłaszcza w kwestii cyberbezpieczeństwa. Podmioty kluczowe i ważne będą też musiały posiadać kierownika, który będzie odpowiadał za realizację zadań z zakresu cyberbezpieczeństwa. Za niewywiązanie się z tych zadań, będą mu grozić kary.

Nowela wprowadza możliwość zgłaszania incydentów za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego.

Jak wskazano w Ocenie Skutków Regulacji (OSR), projekt m.in. rozszerza katalog podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki, tj.: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję, produkcję i dystrybucję chemikaliów oraz produkcję i dystrybucję żywności.

Większe kompetencje ministra do spraw informatyzacji

Nowe przepisy przewidują rozszerzenie kompetencji ministra właściwego do spraw informatyzacji – m.in. będzie on mógł wskazywać dostawcę wysokiego ryzyka. Decyzja taka będzie mogła zostać podjęta według kryteriów technicznych i nietechnicznych. Sprzęt dostawcy wysokiego ryzyka będzie musiał zostać wycofany z systemów podmiotów kluczowych i podmiotów ważnych. Dla podmiotów kluczowych decyzja wejdzie w życie w ciągu 7 lat od jej wydania, a dla operatorów telekomunikacyjnych – w ciągu 4 lat.

Projekt noweli przewiduje też utworzenie sektorowych zespołów CSIRT, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa.

Krajowy plan reagowania na incydenty

Zostanie również wprowadzony krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Minister właściwy do spraw informatyzacji będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego.

W projekcie podkreślono, że pojawianie się nowych cyberzagrożeń, jak również szybki wzrost katalogu usług publicznych dostępnych online, powodują, że instytucje publiczne jak i podmioty prywatne odpowiedzialne za cyberbezpieczeństwo będą zmuszone poświęcać na jego zapewnienie coraz więcej środków. Zmieniająca się sytuacja międzynarodowa oraz konieczność dostarczenia usług dużej grupie nowych klientów sprawia, że niezbędne jest dalsze wzmacnianie podmiotów krajowego systemu cyberbezpieczeństwa.

Obecna wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.

Źródło: PAP