Projektowana ustawa ma na celu wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, znanej jako dyrektywa NIS 2.
Przyczyny nowelizacji
Dynamiczny rozwój technologii oraz szybki wzrost liczby usług publicznych dostępnych online przyczyniają się do pojawiania się nowych cyberzagrożeń. Instytucje publiczne i podmioty prywatne odpowiedzialne za cyberbezpieczeństwo muszą poświęcać coraz więcej zasobów na zapewnienie odpowiedniego poziomu ochrony. W dodatku sytuacja międzynarodowa oraz potrzeba dostarczania usług szerokiej grupie nowych klientów również w znaczny sposób wpływa na konieczność wzmocnienia krajowego systemu cyberbezpieczeństwa.
Ponadto statystyki zespołu CSIRT NASK (tj. Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego, działającego na poziomie krajowym, prowadzonego przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy z siedzibą w Warszawie) wskazują na rosnące zagrożenie: w 2022 roku zgłoszono ponad 39 000 incydentów cyberbezpieczeństwa, a w 2023 roku liczba ta wzrosła do ponad 75 000. Dyrektywa NIS 2 i jej implementacja są odpowiedzią na te wyzwania, dostosowując prawo do szybko zmieniającej się sytuacji w cyberprzestrzeni.
Proponowane środki realizacji
Zmiany wprowadzone przez dyrektywę NIS 2 oraz pojawiające się nowe cyberzagrożenia wymagają wprowadzenia modyfikacji w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC).
Przede wszystkim miejsce dotychczasowych ,,operatorów usług pocztowych” i ,,operatorów usług cyfrowych” zaproponowano zastąpieniem poprzez pojęcie ,,podmiotu kluczowego” oraz ,,podmiotu ważnego”. Maja oni być głównymi adresatami obowiązków wynikających z ustawy.
Nowelizacja ustawy o KSC obejmuje:
- Rozszerzenie katalogu podmiotów: Nowe sektory gospodarki zostaną włączone do krajowego systemu cyberbezpieczeństwa.
- Zarządzanie ryzykiem: Nałożenie obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe i ważne, zgodne z dyrektywą NIS 2.
- System zgłaszania incydentów: Wprowadzenie możliwości zgłaszania incydentów przez podmioty za pomocą systemu teleinformatycznego do zespołów CSIRT.
- Zespoły CSIRT sektorowe: Utworzenie zespołów CSIRT sektorowych, które będą wspierać podmioty w obsłudze incydentów.
- Wzmocnienie nadzoru: Zwiększenie kompetencji nadzorczych organów odpowiedzialnych za cyberbezpieczeństwo.
- Kary administracyjne: Wprowadzenie nowych administracyjnych kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe i ważne. Propozycja minimalnego poziomu kary pieniężnej określana jest na kwotę 20 000 zł co do podmiotów kluczowych oraz 15 000 zł co do podmiotów ważnych.
- Krajowy plan reagowania: Opracowanie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę.
- Kompetencje ministra: Rozszerzenie kompetencji ministra właściwego do spraw informatyzacji, w tym możliwość identyfikacji dostawcy wysokiego ryzyka i wydawania poleceń zabezpieczających.
Realizacja celów Strategii Cyberbezpieczeństwa RP
Projekt ustawy wspiera realizację celów Strategii Cyberbezpieczeństwa RP na lata 2019–2024, w szczególności podnoszenie poziomu odporności na cyberzagrożenia oraz ochrony informacji w sektorach publicznym, militarnym i prywatnym. Ponadto, projekt przyczynia się do rozwoju krajowego systemu cyberbezpieczeństwa oraz zapewnienia bezpieczeństwa łańcucha dostaw.
Wdrożenie zmian w KSC zrealizuje także kamień milowy reformy C3.1. Krajowego Planu Odbudowy i Zwiększania Odporności zapewniając kompleksowe podejście do cyberbezpieczeństwa w Polsce.
Cyberbezpieczeństwo: nowelizacja ustawy o krajowym systemie – podsumowanie
Dynamiczny rozwój technologii oraz wzrost liczby usług online przyczyniają się do pojawiania się nowych cyberzagrożeń. W odpowiedzi na te wyzwania nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) dostosowuje prawo do zmieniającej się sytuacji w cyberprzestrzeni, zgodnie z dyrektywą NIS 2, jednocześnie zwiększając odporność na cyberzagrożenia i bezpieczeństwo informacji.
Masz dodatkowe pytania? Skontaktuj się z nami!