Gawkowski: rząd przyjął projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Gawkowski poinformował o przyjęciu projektu, przygotowanego przez Ministerstwo Cyfryzacji, na platformie X.

Rząd we wtorek przyjął projekt noweli o krajowym systemie cyberbezpieczeństwa (KSC), który wymaga od podmiotów kluczowych i ważnych wdrożenia bardziej rygorystycznych środków zarządzania ryzykiem oraz zgłaszania incydentów bezpieczeństwa - poinformował minister cyfryzacji Krzysztof Gawkowski.

Jak uzasadniło MC, nowelizacja ustawy o KSC ma wdrażać unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Celem jest dostosowanie przepisów do zmieniającego się krajobrazu cyberzagrożeń oraz zwiększenie odporności systemów informatycznych w kluczowych sektorach gospodarki.

Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na "podmioty kluczowe" i "podmioty ważne". Nowelizacja nakłada na te podmioty nowe obowiązki związane z zarządzaniem ryzykiem, zwłaszcza w kwestii cyberbezpieczeństwa. Podmioty kluczowe i ważne będą też musiały posiadać kierownika, który będzie odpowiadał za realizację zadań z zakresu cyberbezpieczeństwa. Za niewywiązanie się z tych zadań, będą mu grozić kary.

Nowela wprowadza możliwość zgłaszania incydentów przez podmioty kluczowe i ważne za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego.

Jak wskazano w Ocenie Skutków Regulacji (OSR), projekt m.in. rozszerza katalog podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki, tj.: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję, produkcję i dystrybucję chemikaliów oraz produkcję i dystrybucję żywności.

Nowe przepisy przewidują rozszerzenie kompetencji ministra właściwego do spraw informatyzacji - m.in. będzie on mógł wskazywać dostawcę wysokiego ryzyka. Decyzja taka będzie mogła zostać podjęta według kryteriów technicznych i nietechnicznych. Sprzęt dostawcy wysokiego ryzyka będzie musiał być wycofany z systemów podmiotów kluczowych i podmiotów ważnych. Dla podmiotów kluczowych decyzja wejdzie w życie w ciągu 7 lat od jej wydania, a dla operatorów telekomunikacyjnych - w ciągu 4 lat.

Projekt noweli przewiduje też utworzenie sektorowych zespołów CSIRT, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa.

Zostanie również wprowadzony krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Minister właściwy do spraw informatyzacji będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego.

W projekcie podkreślono, że pojawianie się nowych cyberzagrożeń, jak również szybki wzrost katalogu usług publicznych dostępnych online, powodują, że instytucje publiczne jak i podmioty prywatne odpowiedzialne za cyberbezpieczeństwo będą zmuszone poświęcać coraz więcej środków na zapewnienie cyberbezpieczeństwa. Zmieniająca się sytuacja międzynarodowa oraz konieczność dostarczenia usług dużej grupie nowych klientów sprawia, że niezbędne jest dalsze wzmacnianie podmiotów krajowego systemu cyberbezpieczeństwa.

Obecna wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r. (PAP)

mbl/ mrr/