Chodzi o projekt nowelizacji ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2024 r. poz. 1077). Nowela wprowadzi nowe obowiązki dla podmiotów z kilkunastu kluczowych sektorów gospodarki, w tym finansów i IT. Jej celem jest podniesienie ochrony systemów informacyjnych i zwiększenie odporności na incydenty. Chodzi m.in. o ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję, wytwarzanie i dystrybucję chemikaliów oraz żywności.

Nowela ma za zadanie implementować unijną dyrektywę 2022/2555/UE (tzw. dyrektywę NIS 2). Pojawianie się nowych cyberzagrożeń, jak również szybki wzrost katalogu usług publicznych dostępnych online, powodują, że instytucje publiczne, jak i podmioty prywatne odpowiedzialne za cyberbezpieczeństwo, będą zmuszone poświęcać coraz więcej środków na zapewnienie cyberbezpieczeństwa. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych, na  podmioty kluczowe i podmioty ważne. Ponadto rozszerzeniu uległ katalog sektorów objętych dyrektywą. Jako podstawowy obowiązek należy wskazać stosowanie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów IT wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Dyrektywa NIS 2 oraz nowe cyberzagrożenia powodują konieczność nowelizacji przepisów.

Zobacz też szkolenie online w LEX: Nowelizacja Krajowego Systemu Cyberbezpieczeństwa - zmiany dla przedsiębiorców >

Co przewiduje nowela? Zawiera listę branż, w których podmioty kluczowe i ważne muszą realizować obowiązki określone w dyrektywie NIS 2. Ponadto powstanie możliwość zgłaszania incydentów - za pomocą systemu teleinformatycznego – do resortu cyfryzacji, a konkretnie do właściwych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) sektorowych i poziomu krajowego. Dotychczas powołano dwa takie CSIRT-y – przy Komisji Nadzoru Finansowego oraz w Centrum e-Zdrowie. Nowela ma też wprowadzić administracyjne kary pieniężne za niewykonanie obowiązków ustawowych przez podmioty kluczowe i podmioty ważne. Nowela wprowadza też krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę.

Zobacz też nagranie szkolenia w LEX: Identyfikowanie i zgłaszanie incydentów na gruncie NIS 2 i RODO >

Po co potrzebna jest nowelizacja

Zmiany w prawie to nie tylko kwestia dostosowania się do wymogów unijnych, ale i potrzeba społeczna. Z badania „Postawy Polaków wobec cyberbezpieczeństwa” prowadzonego przez Ministerstwo Cyfryzacji wynika, że prawie dwie trzecie Polaków deklaruje, że czuje się bezpiecznie w cyfrowym świecie. Nie oznacza to, że nie mają obaw, wręcz odwrotnie. Dotyczy to zarówno korzystania z e-usług (administracji czy finansowych), jak też codziennego korzystania z internetu i social mediów. Aż 88 proc. badanych obawia się phishingu (wyłudzenia danych osobowych czy pieniędzy), 38 proc. boi się, że ukradziona zostanie im tożsamość, a co trzeci (32 proc.) obawia się fake newsów i dezinformacji. Jednak tylko 38 proc. badanych deklaruje, że informacje, z jakimi mają kontakt w social mediach, nie są głównym źródłem ich wiedzy, 32 proc. czyta całą informację (a nie tylko nagłówek), a 31 proc. weryfikuje informacje w kilku źródłach. Jedynie co czwarty badany przyznaje, że nie udostępnia treści, których pochodzenia nie sprawdził. Zbyt mało Polaków wykazuje także aktywną postawę wobec dezinformacji – tylko 17 proc. deklaruje, że zgłasza fałszywe treści. – Dlatego musimy działać szybciej niż ci, którzy chcą nas oszukać. Państwo buduje systemy ochrony i inwestuje w edukację, ale żadne rozwiązanie nie zastąpi zdrowego rozsądku i czujności każdego użytkownika internetu – to nasza wspólna odpowiedzialność – mówi Krzysztof Gawkowski, wicepremier i minister cyfryzacji.

Zobacz też szkolenie online w LEX: Obowiązki przedsiębiorcy w zakresie cyberbezpieczeństwa (NIS2) >

– Cyberbezpieczeństwo to dziś wspólna odpowiedzialność – banków, instytucji publicznych i każdego użytkownika sieci. Dlatego tak ważne jest, byśmy nieustannie podnosili swoją świadomość w zakresie zagrożeń oraz reagowali na każdą próbę wyłudzenia danych. W Związku Banków Polskich konsekwentnie edukujemy klientów, jak rozpoznawać próby phishingu, spoofingu (podszywania się pod zaufana osobę) czy vishingu (wyłudzania poufnych danych przez telefon), bo to właśnie wiedza i czujność są naszą pierwszą linią obrony przed cyberprzestępcami – zaznacza dr Tadeusz Białek, prezes ZBP.

Kolejna kwestia to sztuczna inteligencja. Już 28 proc. badanych widzi w AI szansę, jednak połowa społeczeństwa nadal podchodzi z dystansem do tej technologii – dostrzegając zarówno jej zalety, jak i zagrożenia, takie jak np. deep fake. W obronie przed tymi wszystkimi zagrożeniami i w walce z nimi ma właśnie pomóc nowelizacja przepisów.

Czytaj też w LEX: Rozstrzyganie sporów cywilnych związanych z wykorzystaniem systemów AI – problemy utrudniające orzekanie >

Jest już nowelizacja, będzie też strategia

Niezależnie od nowelizacji ustawy, trwają też prace nad nową Strategią Cyberbezpieczeństwa RP (dotychczasowa dotyczyła lat 2019-2024). To ważny dokument określający strategiczne cele oraz kluczowe działania, które mają zapewnić wysoki poziom bezpieczeństwa kraju w cyberprzestrzeni. Za zmianami w prawie idą też inwestycje - tylko w 2025 r. na budowanie cyberodporności w sferze cywilnej zaplanowano rekordowe wydatki przekraczające 3,1 miliarda złotych. To największa w historii inwestycja w budowanie cyberodporności Polski.

Przyjęty we wtorek przez Radę Ministrów projekt nowelizacji trafi teraz do Sejmu.

Czytaj też w LEX: Phishing i inne zagrożenia dla ochrony danych osobowych >