Minister Cyfryzacji Krzysztof Gawkowski fakt, że poprzednia ekipa nie wdrożyła przepisów dotyczących cyberbezpieczeństwa w czasie, gdy Polska stała się de facto krajem frontowym, określił skandalem. Podkreślił, że projekt, który 24 kwietnia 2024 r. przekazano do uzgodnień międzyresortowych, jest osiemnastą nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Zakłada wdrożenie unijnych przepisów: Toolbox 5G i dyrektywy NIS 2.
Przepisy o cyberbezpieczeństwie na finiszu>>
Sieci 5G szczególnie chronione
Toolbox 5G zakłada harmonizację i standaryzację sieci 5G na poziomie unijnym. Zawiera także definicje zestawu środków zabezpieczających na poziomie strategicznym i technicznym oraz wskazuje działania wspierające stosowanie tych środków dla ograniczenia ryzyk cyberbezpieczeństwa w sieciach 5G.
Wyróżnione są m.in. środki o charakterze:
- strategicznym – m.in. większe uprawnienia dla organów właściwych, w tym ocena ryzyka dostawców sprzętu lub oprogramowania;
- technicznym – m.in. badanie bezpieczeństwa oprogramowania i urządzeń;
- wspierającym – m.in. dotyczące prac nad europejskim programem standaryzacji i certyfikacji cyberbezpieczeństwa.
Dyrektywa NIS 2 nakłada natomiast obowiązki w zakresie zapewnienia cyberbezpieczeństwa na podmioty kluczowe i ważne. Muszą one wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty. Odpowiada to zakresowi wymogów, co do środków zarządzania ryzykiem wskazanych w art. 21 dyrektywy NIS 2.Tak jak do tej pory operatorzy usług kluczowych, inne podmioty kluczowe i podmioty ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych co dwa lata. Nowelizacja mocno poszerzy katalog podmiotów, które będą musiały dostosować się do nowych przepisów.
Szeroki katalog podmiotów, cztery lata na dostosowanie
- Dzisiaj mówimy o 400 operatorach, w przyszłości będziemy mówić o tysiącach podmiotów - mówił minister Gawkowski. Wskazał, że inicjatywy podejmowane w celu realizacji ustawy będą częściowo finansowane ze środków KPO. - Pojawią się nowe sektory, które będą musiały dokonać samorejestracji jako podmioty kluczowe. Liczba takich podmiotów może wynieść kilkanaście tysięcy. W związku z tym możemy spodziewać się też sektorowych CSiRT-ów. Ich rola będzie polegała na aktywnym wspieraniu i uporządkowaniu procesu, co zapewni większą jasność w kwestii kompetencji. CSiRT-y działające w sektorze zdrowia czy przy KNF-ie będą rozbudowane. Istotnym elementem będzie również zgłaszanie incydentów i ocena bezpieczeństwa - mówił Gawkowski.
Nowelizacja ustawy o KSC polega w szczególności na:
- rozszerzeniu katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki (ścieki, zarządzanie ICT, przestrzeń kosmiczna, poczta, produkcja, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności);
- nałożeniu obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe i podmioty ważne w cyberbezpieczeństwie, dotyczące w szczególności stosowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych, zgodne z dyrektywą NIS 2;
- wprowadzeniu odpowiedzialności kierownika podmiotu kluczowego lub podmiotu ważnego za realizację zadań z zakresu cyberbezpieczeństwa – kierownik takiego podmiotu będzie odpowiedzialny za realizację tych zadań przez dany podmiot; w przypadku niewywiązania się z tych zadań na kierownika będą mogły być nałożone kary; kierownik będzie obowiązany również do przejścia stosownego szkolenia z zakresu cyberbezpieczeństwa;
- wprowadzeniu możliwości zgłaszania incydentów przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego;
- utworzeniu zespołów CSIRT sektorowych w poszczególnych sektorach gospodarki, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa;
- wzmocnieniu kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa, polegających na możliwości wydawania ostrzeżeń, wyznaczania urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy albo podmiot ważny, nakazywanie przeprowadzenia oceny bezpieczeństwa systemu informacyjnego, nakazywanie przeprowadzenia audytu bezpieczeństwa;
- wprowadzeniu Krajowego Planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;
- rozszerzeniu kompetencji ministra (organ ten będzie mógł dokonać, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka, będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego);
- wzmocnieniu pozycji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa poprzez wyposażenie go w konkretne uprawnienia w zakresie wydawania rekomendacji mających na celu wzmocnienie poziomu cyberbezpieczeństwa systemów informacyjnych podmiotów krajowego systemu cyberbezpieczeństwa; Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa będzie mógł także żądać informacji niezbędnych do wykonywania jego zadań od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do realizacji jego zadań; Pełnomocnikowi umożliwi się także zakupy oprogramowania z zakresu cyberbezpieczeństwa dla podmiotów publicznych.
Firmy i podmioty publiczne na dostosowanie się do nowych przepisów otrzymają - co do zasady - siedem lat. Wyjątkiem będą podmioty krytyczne, te nowe przepisy będą musiały wdrożyć w cztery lata.
Kogo dotyczą nowe obowiązki?
Nowela wprowadzi nowy zakres podmiotowy. Według nowych przepisów podmiotem kluczowym będzie:
- osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana załącznikach do ustawy (dostawcy energii, żywności chemikaliów etc.), która przewyższa wymogi dla średniego przedsiębiorstwa;
- przedsiębiorca komunikacji elektronicznej,
- niezależnie od wielkości podmiotu:
- dostawca usług DNS,
- dostawca usług zarządzanych w zakresie cyberbezpieczeństwa,
- kwalifikowany dostawca usług zaufania,
- podmiot krytyczny,
- podmiot publiczny,
- podmiot zidentyfikowany jako podmiot kluczowy przez organ właściwy do spraw cyberbezpieczeństwa,
- rejestr nazw domen najwyższego poziomu (TLD).
Podmiotem ważnym będzie natomiast:
- osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej w załącznikach do ustawy, która nie jest podmiotem kluczowym;
- niekwalifikowany dostawca usług zaufania będący mikro-, małym lub średnim przedsiębiorcą;
- przedsiębiorca komunikacji elektronicznej będący mikro-, lub małym przedsiębiorcą w rozumieniu rozporządzenia;
- podmiot zidentyfikowany jako podmiot ważny przez organ właściwy do spraw cyberbezpieczeństwa.
Nowością będą przepisy mające zabezpieczyć łańcuch dostaw. - Na każdym etapie współpracy z dostawcami, od których zależy świadczenie usług, będziemy kontrolować nie tylko nieprawidłowości i bezpieczeństwo danego podmiotu, usługi czy urządzenia, ale również interweniować, gdy analiza wskaże zagrożenie dla bezpieczeństwa państwa, zdrowia obywateli lub bezpieczeństwa ekonomicznego państwa i obywateli - mówił wiceminister cyfryzacji Paweł Olszewski. Wskazał, że wprowadzone zostaną nowe kompetencje ministra ds. informatyzacji. - Będzie prowadził wykaz podmiotów kluczowych i ważnych oraz nadzorował działanie krajowego systemu reagowania na incydenty i sytuacje kryzysowe. Działania te będą realizowane we współpracy z nowo tworzonymi oraz już istniejącymi zespołami krajowymi i sektorowymi, które zostaną włączone do krajowego systemu cyberbezpieczeństwa - podkreślał.
Obowiązki podmiotów ważnych i kluczowych
W przypadku podmiotów publicznych wyłączono stosowanie progów małych i średnich przedsiębiorstw. Wszystkie podmioty publiczne będą traktowane jak podmioty kluczowe. Podmioty spełniające wymogi dla podmiotów kluczowych i podmiotów ważnych będą obowiązane do zarejestrowania się w specjalnym rejestrze w terminie dwóch miesięcy od spełnienia przesłanek uznania za podmiot kluczowy albo podmiot ważny. Organ właściwy do spraw cyberbezpieczeństwa będzie mógł weryfikować dane zawarte w wykazie i w razie potrzeby wzywać podmiot do ich zmiany pod rygorem nałożenia administracyjnej kary pieniężnej.
Dyrektywa NIS 2 nakazuje podmiotom kluczowym i podmiotom ważnym wprowadzenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. Podstawowym obowiązkiem podmiotów kluczowych i podmiotów ważnych będzie wdrożenie systemu zarządzania bezpieczeństwem informacji obejmującego:
- prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
- wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka, w szczególności:
- zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi;
- zarządzanie incydentami;
- stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi,
- stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa uwzględniających uwierzytelnianie wieloskładnikowe.
Rada Ministrów będzie mogła ustalać, w drodze rozporządzenia, odrębnie dla danego rodzaju działalności wykonywanej przez podmioty kluczowe lub podmioty ważne szczegółowe wymagania dla systemu zarządzania bezpieczeństwem informacji. Przepis ten pozwoli uwzględnić specyfikę poszczególnych sektorów i przedstawić rozwiązania dostosowane do tej specyfiki.
Kary za niewdrożenie przepisów
Na podmioty, które nie dostosują się do nowych wymogów, nakładane będą kary - minimalna kara dla podmiotów kluczowych wyniesie 20 tys. zł, a dla podmiotów ważnych - 15 tys. zł. Maksymalna kara dla podmiotów kluczowych nie będzie mogła przekroczyć 10 mln euro lub 2 proc. przychodów z działalności gospodarczej w roku poprzedzającym wymierzenie kary. Dla podmiotów ważnych limit wynosi 7 mln euro lub 1,4 proc. tych przychodów.
- Nie możemy dopuścić do scenariusza, w którym czas na działania upływa, a my nadal wyjaśniamy przyczyny zaniedbań. Musimy zagwarantować, że publiczne instytucje będą działać odpowiedzialnie i nie będą odkładać ważnych decyzji na ostatnią chwilę. Trudno byłoby poradzić sobie w sytuacji, w której system bezpieczeństwa publicznego nie jest na bieżąco aktualizowany. Widzimy, jak ważne jest, aby nasze systemy bezpieczeństwa były odpowiednio przygotowane - uzasadniał wprowadzenie sankcji minister Gawkowski.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.