- Email: [email protected]
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Minister Cyfryzacji Krzysztof Gawkowski poinformował o przyjęciu ostatecznego projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Teraz projekt trafi do prac sejmowych.
Przypomnijmy, że przyjęcie ustawy o KSC jest długo wyczekiwanym momentem ze względu na konieczność wdrożenia unijnej dyrektywy NIS2 ustanawiającej wspólne standardy cyberbezpieczeństwa dla państw UE. Termin dla Polski na dostosowanie do europejskich przepisów minął w październiku ubiegłego roku, nic więc dziwnego, że resort cyfryzacji liczy na szybki proces legislacyjny w kolejnych krokach.
Nowelizacja ma wzmocnić odporność kluczowych sektorów gospodarki na cyberzagrożenia, zwiększyć odpowiedzialność menedżerów za bezpieczeństwo systemów IT oraz umożliwić państwu skuteczniejsze reagowanie na incydenty cyfrowe.
Przyjęcie ustawy KSC już teraz można nazwać jednym z najdłuższych procesów legislacyjnych ostatnich lat – wszak pierwsze założenia do nowej ustawy pojawiły się jeszcze za poprzedniego rządu, projekt był wielokrotnie modyfikowany, cofany z konsultacji i blokowany przez różnice stanowisk pomiędzy resortami – zwłaszcza w kwestii identyfikacji tzw. dostawców wysokiego ryzyka oraz kompetencji służb specjalnych.
W konsekwencji Polsce nie udało się na czas wdrożyć postanowień unijnej dyrektywy NIS2 – termin ten upłynął dokładnie 17 października 2024 roku, co naraża nas na ryzyko wszczęcia postępowania przez organy unijne i ewentualnego nałożenia kary.
Tak długie procedowanie projektu nie tylko wydłużyło niepewność prawną, ale również osłabiło gotowość krajowych instytucji i firm do wdrożenia NIS2, ponieważ wiele podmiotów publicznych i prywatnych do dziś nie rozpoczęło procesu dostosowywania się do nowych przepisów, czekając na ostateczny kształt ustawy.
Z prezentacji „Nowy wymiar bezpieczeństwa cyfrowego” przygotowanej przez rząd wynika, że nowelizacja KSC ma wprowadzić szereg nowych rozwiązań strukturalnych, organizacyjnych i prawnych. Celem jest kompleksowe wzmocnienie krajowego systemu cyberbezpieczeństwa i zwiększenie jego skuteczności.
Po pierwsze, mowa o wzmocnieniu kompetencji organów państwowych. Ustawa znacząco rozszerza uprawnienia i odpowiedzialność organów zajmujących się cyberbezpieczeństwem. W tym obszarze widać trójpodział uprawnień. Kluczowe kompetencje spoczną na:
Organach właściwych ds. cyberbezpieczeństwa, które będą mogły wydawać ostrzeżenia, monitorować realizację obowiązków przez podmioty kluczowe i ważne, nakazywać audyty bezpieczeństwa oraz oceniać poziom ochrony systemów informatycznych.
Ministrze Cyfryzacji, który uzyska nowe, szerokie kompetencje – w tym prawo do wydawania poleceń zabezpieczających, identyfikowania dostawców wysokiego ryzyka, realizowania działań edukacyjnych i rozwojowych w systemie S46 (platformie do zgłaszania i analizy incydentów).
Pełnomocniku Rządu ds. Cyberbezpieczeństwa który będzie mógł wydawać rekomendacje, żądać informacji od organów administracji, zlecać badania i inicjować zakupy oprogramowania dla uczestników PCOC (Państwowego Centrum Operacyjnego Cyberbezpieczeństwa).
Od miesięcy było wiadomo, że nowa ustawa znacznie zwiększy grono podmiotów objętych przepisami i nałoży konieczność wdrożenia wielu rozwiązań. Po pierwsze, zmienia się nazewnictwo – w miejscu operatorów usług kluczowych i dostawców usług cyfrowych pojawiają się podmioty kluczowe i ważne.
Nowe sektory kluczowe obejmują m.in.:
zbiorowe odprowadzanie ścieków,
zarządzanie usługami ICT,
przestrzeń kosmiczną.
Nowe sektory ważne to m.in.:
usługi pocztowe,
inwestycje energetyki jądrowej,
produkcja i dystrybucja chemikaliów,
przemysł spożywczy,
badania naukowe,
gospodarowanie odpadami,
dostawcy usług cyfrowych.
To rozszerzenie ma fundamentalne znaczenie – w praktyce oznacza ono, że tysiące nowych organizacji będą musiały wdrożyć systemy zarządzania bezpieczeństwem informacji i spełnić rygorystyczne wymagania w zakresie audytów i raportowania incydentów.
Podmioty objęte ustawą będą musiały:
– wdrożyć system zarządzania ryzykiem dla bezpieczeństwa sieci i systemów IT,
– wyznaczyć osobę odpowiedzialną za cyberbezpieczeństwo (z obowiązkowym przeszkoleniem i odpowiedzialnością prawną),
– zgłaszać incydenty do zespołów CSIRT za pomocą systemu S46,
– rejestrować się w wykazie podmiotów kluczowych lub ważnych.
Zgłaszanie incydentów będzie ściśle uregulowane – podmioty będą zobowiązane przesyłać wstępne powiadomienie o incydencie nie później niż 24 godziny po jego wykryciu, a raport końcowy – w ciągu 72 godzin.
Jednym z najbardziej dyskutowanych elementów projektu jest procedura uznawania dostawców technologii i sprzętu za tzw. „dostawców wysokiego ryzyka”.
Zgodnie z nowelizacją ustawy, Minister Cyfryzacji będzie mógł wydać decyzję o uznaniu dostawcy za dostawcę wysokiego ryzyka, jeśli istnieją przesłanki wskazujące na zagrożenie dla bezpieczeństwa narodowego, porządku publicznego lub obronności. Podmioty korzystające z produktów takiego dostawcy będą zobowiązane do usunięcia lub wymiany sprzętu w określonym czasie (4 lata dla operatorów telekomunikacyjnych, 7 lat dla innych podmiotów). Według rządu rozwiązanie to ma zwiększyć kontrolę nad łańcuchem dostaw technologicznych i zmniejszyć ryzyko infiltracji systemów krytycznych przez niepożądane podmioty.
Zgodnie z nowelizacją ustawy, powstaną sektorowe zespoły reagowania na incydenty komputerowe (CSIRT). Będą one działać w konkretnych branżach – np. energetyce, finansach, transporcie – i współpracować z trzema głównymi krajowymi zespołami: CSIRT GOV, CSIRT MON i CSIRT NASK. Takie rozwiązanie ma sprawić, że reagowanie na incydenty będzie szybsze, a wymiana informacji między podmiotami prywatnymi, a administracją lepsza. Jednocześnie wskazane podmioty zostaną zobligowane do wdrożenia systemu S46 odpowiedzialnego za obsługę zgłoszeń, ostrzeżeń i analizę podatności.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to długo oczekiwany krok w kierunku systemowego wzmocnienia bezpieczeństwa cyfrowego Polski. Dokument porządkuje kompetencje instytucji publicznych, poszerza zakres ochrony na nowe sektory gospodarki i wprowadza unijne standardy wynikające z NIS2. Teraz czekamy na rozpatrzenie ustawy przez Sejm.