Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

Polska wzmacnia mechanizmy ochrony cyfrowej - Sejm za nowelizacją ustawy o KSC

Agnieszka Matłacz
Prawo europejskie
Cyberbezpieczeństwo
Zmiany w prawie

Sejm uchwalił w piątek nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS2. Zmiany mają zwiększyć bezpieczeństwo usług i systemów, z których codziennie korzystają obywatele, przedsiębiorcy oraz instytucje publiczne. To odpowiedź na rosnące zagrożenia w cyberprzestrzeni. Teraz ustawa trafi do prac w Senacie.

Polska wzmacnia mechanizmy ochrony cyfrowej - Sejm za nowelizacją ustawy o KSC
Źródło: iStock

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa ma wdrożyć w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G.

Za uchwaleniem noweli było 407 posłów, przeciwko 10, a 17 posłów wstrzymało się od głosu.

Wcześniej Sejm odrzucił wniosek o odrzucenie projektu noweli w całości.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa to kompleksowa regulacja, która ma wzmocnić ochronę obywateli i instytucji przed cyberzagrożeniami. Rozszerzamy system na kolejne, wrażliwe sektory gospodarki, wzmacniamy instytucje odpowiedzialne za reagowanie na incydenty i wprowadzamy jasne zasady odpowiedzialności. To realna zmiana w stronę większej stabilności usług, lepszej ochrony danych i skuteczniejszego reagowania na cyberzagrożenia – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.

Nowe sektory w centrum cyberbezpieczeństwa

Katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki, takie jak np. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności. Pozwoli to zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach. Powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia i pozwolą zbudować bazę wiedzy o zagrożeniach oraz podatnościach danego sektora.

Nowelizacja rozszerza Strategię Cyberbezpieczeństwa RP na wszystkie sektory z podmiotami kluczowymi i ważnymi oraz wprowadza Krajowy plan reagowania na incydenty i sytuacje kryzysowe. Przepisy wzmocnią bezpieczeństwo usług używanych przez obywateli, zapewnią lepszą ochronę danych i zwiększą odporność systemów cyfrowych. Celem jest stabilna i bezpieczna cyberprzestrzeń dla wszystkich Polaków i gospodarki - powiedział wiceminister cyfryzacji Paweł Olszewski.

 

Silniejsze instytucje – szybsza reakcja na zagrożenia

Projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje, co pozwoli im działać sprawniej i skuteczniej. Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego, czy Prezes UKE) będą mogły:

  • wydawać ostrzeżenia,
  • wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy,
  • nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.

Zgodnie z nowymi przepisami Minister Cyfryzacji będzie mógł wydawać m.in. polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa.

Również Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa zyska nowe uprawnienia. Będzie on mógł:

  • wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów KSC;
  • żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań;
  • kupować oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.

Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.

Do ustawy zostanie wprowadzone już funkcjonujące Połączone Centrum Operacyjne Cyberbezpieczeństwa, które stanie się punktem wymiany informacji o cyberzagrożeniach, incydentach i podatnościach.

Podmioty kluczowe i ważne – większa odpowiedzialność, większe bezpieczeństwo

Dyrektywa NIS2 wprowadza podział na podmioty kluczowe i ważne, działające w strategicznych sektorach państwa, takich jak energetyka, transport, bankowość, czy wodociągi. Nowe przepisy nakładają na nie obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, zwiększających bezpieczeństwo systemów informatycznych, oraz odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa. Usprawnione zostanie też zgłaszanie incydentów – informacje będą przekazywane bezpośrednio do zespołów CSIRT przez system S46.

Czytaj też: Kiedy zgłaszać incydent cyberbezpieczeństwa? NIS 2 zmienia definicję incydentu poważnego >

Nowe obowiązki dla przedsiębiorców

Podmioty kluczowe i podmioty ważne będą musiały wdrożyć rozwiązania techniczne i organizacyjne z zakresu cyberbezpieczeństwa, aby chronić swoje dane i infrastrukturę przed cyberzagrożeniami. Rozwiązania te będą musiały być dopasowane do wielkości podmiotu oraz charakteru świadczonych usług.  W ramach dostosowania podmioty te będą zobowiązane do przeanalizowania swoich zasobów, identyfikacji cyberzagrożeń, przeglądu obowiązujących procedur oraz przeszkolenia pracowników.

Nowe sektorowe zespoły CSIRT będą aktywnie wspierać przedsiębiorców – pomogą w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach i zapewnią szkolenia.

Procedura uznania za dostawcę wysokiego ryzyka

Postępowanie w sprawie uznania dostawcy za wysokiego ryzyka pozwoli wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Takie decyzje będzie podejmował Minister Cyfryzacji przy współudziale Kolegium do Spraw Cyberbezpieczeństwa w ramach transparentnego, wieloetapowego postępowania administracyjnego.

Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania w ciągu 7 lat. Dostawca, który nie zgadza się z decyzją, będzie mógł wnieść skargę do sądu administracyjnego.

 

Surowe kary

Za nieprzestrzeganie przepisów na przedsiębiorców z wymienionych w ustawie sektorów będą nakładane kary: co do zasady

  • na podmioty kluczowe o wysokości minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł);
  • na podmioty ważne - min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł).

Kara może też wynieść 2 proc. przychodów firmy - w przypadku podmiotów kluczowych; a w przypadku podmiotów ważnych - 1,4 proc. przychodów.

Niezależnie od limitów, za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.

Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

 

Autor:
Agnieszka Matłacz

Polecamy książki biznesowe

Przejdź do: Ochrona sygnalistów i przeciwdziałanie korupcji w praktyce biznesowej, Bartosz Bacia - otwiera się w nowym oknie
Nowość
10% Rabatu
Sprawdź
Cena promocyjna: 152,09 zł | Cena regularna: 169,00 zł
Najniższa cena w ostatnich 30 dniach: 33,80 zł
Przejdź do: Zakaz prowadzenia działalności gospodarczej. Zagadnienia praktyczne, Aleksandra Machowska - otwiera się w nowym oknie
Nowość
30% Rabatu
Sprawdź
Cena promocyjna: 139,29 zł | Cena regularna: 199,00 zł
Najniższa cena w ostatnich 30 dniach: 139,29 zł
Przejdź do: Zobowiązania w obrocie gospodarczym , Agnieszka Malarewicz-Jakubów - otwiera się w nowym oknie
Nowość
10% Rabatu
Sprawdź
Cena promocyjna: 179,10 zł | Cena regularna: 199,00 zł
Najniższa cena w ostatnich 30 dniach: 159,20 zł
Przejdź do: Instytucje gospodarki rynkowej, Tadeusz Włudyka, Marek Porzycki - otwiera się w nowym oknie
Nowość
10% Rabatu
Sprawdź
Cena promocyjna: 71,11 zł | Cena regularna: 79,00 zł
Najniższa cena w ostatnich 30 dniach: 55,30 zł
Przejdź do: Prawo autorskie. Komentarz, Adrian Niewęgłowski - otwiera się w nowym oknie
Nowość
10% Rabatu
Sprawdź
Cena promocyjna: 323,10 zł | Cena regularna: 359,00 zł
Najniższa cena w ostatnich 30 dniach: 251,30 zł