Jest projekt nowej ustawy o Krajowym Systemie Cyberbezpieczeństwa

Ministerstwo Cyfryzacji zaprezentowało projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, który – zgodnie z założeniami – ma zostać przyjęty do końca tego roku. Nowa KSC ma uwzględniać postanowienia unijnej dyrektywy NIS2, którą musimy zaimplementować jako państwo członkowskie. Przedstawiamy kluczowe ustalenia nowej ustawy.


Wiele podmiotów czekało na nową wersję dokumentu ze względu na implementację dyrektywy NIS2, która w celu podniesienia poziomu cyberbezpieczeństwa w UE nakłada obowiązki na szereg podmiotów, które nie były do tej pory objęte ustawą o krajowym systemie cyberbezpieczeństwa. Mowa o wdrożeniu odpowiednich zabezpieczeń, regularnych audytach cyberbezpieczeństwa, szacowaniu ryzyka związanego z cyberbezpieczeństwem, a także przekazywaniu informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Tego rodzaju podmioty są również zobowiązane do wyznaczenia w swojej organizacji osoby odpowiedzialnej za cyberbezpieczeństwo.

W związku z nową ustawą znacząco zwiększy się lista podmiotów, które będą musiały wypełniać określone obowiązki związane z cyberodpornością. Zmienia się również nazewnictwo – dziś to już nie podmioty kluczowe i operatorzy usług cyfrowych, ale podmioty kluczowe i ważne.

Kto podmiotem kluczowym i ważnym?

W tym momencie status operatora usługi kluczowej nabywany jest na drodze decyzji administracyjnej. Zgodnie z nową ustawą status podmiotu kluczowego lub ważnego nabywany będzie z mocy prawa w przypadku spełnienia określonych warunków. Te podmioty zobowiązane będą do rejestracji w wykazie podmiotów kluczowych i ważnych np. poprzez stronę internetową. Szczególny tryb uznania za podmiot kluczowy lub ważny nastąpi na drodze decyzji administracyjnej. Jak argumentuje Ministerstwo, umożliwi to ich identyfikację oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego.
Nowe branże, które będą objęte ustawą to:

– ścieki;

– zarządzanie usługami ICT;

– usługi pocztowe;

– gospodarowanie odpadami;

– produkcja, wytwarzanie i dystrybucja chemikaliów;

– produkcja, przetwarzanie i dystrybucja żywności;

– produkcja;

– badania naukowe
.

Zgłaszanie incydentów cyberbezieczeństwa

Nowa ustawa szczegółowo opisuje zasady zgłaszania incydentów do CSIRT sektorowego. Mowa o :
– wczesnym ostrzeganiu o incydencie poważnym – może zawierać wniosek o udzielenie wsparcia technicznego: podmiot kluczowy i ważny zgłasza niezwłocznie nie później niż w ciągu 24 godzin od momentu wykrycia incydentu poważnego,
– przedsiębiorca telekomunikacyjny – niezwłocznie nie później niż w ciągu 12 godzin od momentu wykrycia incydentu poważnego,
– zgłoszeniu incydentu poważnego – niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia; konieczności przygotowania sprawozdania okresowego w trakcie obsługi incydentu oraz sprawozdania końcowego po zakończeniu jego obsługi;
– CSIRT sektorowy przekazuje wczesne ostrzeżenie oraz zgłoszenia niezwłocznie, nie później niż 8 godzin od jego otrzymania, do właściwego CSIRT MON, CSIRT NASK albo CSIRT GOV;

Obowiązki dla podmiotów kluczowych i ważnych

Wprowadzenie systemu zarządzania bezpieczeństwem informacji to podstawowy obowiązek, jaki nałożony zostanie na podmioty kluczowe i ważne. Wzorem obowiązującej ustawy będą one zobowiązane do przeprowadzania regularnych audytów cyberbezpieczeństwa co 2 lata. Silniejszy akcent położony będzie na obowiązki kierownika podmiotu kluczowego lub ważnego. W przypadku niewywiązania się z zadań będą mogły być nałożone na niego kary. Będzie on również zobowiązany do przejścia stosownego szkolenia z zakresu cyberbezpieczeństwa.

Nowością jest nałożenie obowiązku korzystania z systemu S46 stworzonego przez NASK. Ma służyć wymianie informacji o incydentach, cyberzagrożeniach i podatnościach. Zgodnie z nowymi regulacjami korzystanie z tego systemu ma być jeszcze łatwiejsze.

Jaki ostatecznie kształt przyjmie ustawa dowiemy się zapewne na przełomie maja i czerwca – do 24 maja potrwają konsultacje publiczne w tej sprawie.