W pierwszym kwartale 2025 r. planowane jest uchwalenie przez Sejm projektu zmian w ustawie o Krajowym Systemie Cyberbezpieczeństwa, co wynika z obowiązku implementacji dyrektywy unijnej NIS2. Na koniec stycznia 2025 r. projekt nowelizacji ustawy nadal jest na etapie prac rządowych. Zatem czekamy na  przyjęcie przez Radę Ministrów i skierowanie go do prac parlamentarnych.

Dyrektywa NIS2 (Network and Information Security (w skrócie NIS), przyjęta 14 grudnia 2022 roku, ma na celu zabezpieczenie sieci i systemów informatycznych przed atakiem i kradzieżą danych. Doprecyzowała i rozszerzyła przepisy zwiększające bezpieczeństwo sieci i systemów informatycznych, wprowadzone dyrektywą NIS z 6 lipca 2016 roku. Zmienił się zarówno zakres podmiotowy, jak i przedmiotowy regulacji.

Nowe regulacje NIS2 oraz DORA to nie tylko nowy zakres podmiotów tworzących Krajowy System Cyberbezpieczeństwa, ale również bardziej restrykcyjne wymagania i obowiązki, a także odpowiedzialność finansowa przedsiębiorstwa oraz osobista członków zarządów za odpowiednie wdrożenie środków zarządzania ryzykiem.

Podstawą regulacji krajowej jest projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 3 października 2024 r.

7 października 2024 roku opublikowana została nowa, druga wersja projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa (projekt UKSC), będąca implementacją Dyrektywy NIS2. Zgodnie z szacunkami Ministerstwa Cyfryzacji, nowelizacja ustawy o KSC dotyczyć będzie ponad 10 000 podmiotów w Polsce, w porównaniu do około 400 podmiotów (tzw. operatorów usług kluczowych), które podlegały ustawie o Krajowym Systemie Cyberbezpieczeństwa z 2018 roku.

 

Ustawa wprowadza zmiany w zakresie:

  • podmiotów kluczowych i ważnych, 
  • zespołów CSIRT, 
  • systemu S46 i Pojedynczego Punktu Kontaktowego, 
  • nadzoru i środków egzekwowania przepisów przez organy właściwe ds. cyberbezpieczeństwa
  • kompetencji Ministra Cyfryzacji,
  • zmiany obowiązków Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa, czy instytucji dostawcy wysokiego ryzyka. 

 

Podmioty (sektory) kluczowe to:

  • centralna administracja rządowa i inne podmioty publiczne;
  • publiczni dostawcy sieci i usług komunikacji elektronicznej, cyfrowych i telekomunikacyjnych, na przykład operatorzy chmurowi, i platformy sieci społecznościowych, przestrzeń kosmiczna;
  • instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki: zaopatrzenie w wodę pitną i zbiorowe odprowadzanie ścieków;
  •  przedsiębiorstwa z sektora energetycznego (wydobywanie kopalin, energia elektryczna, ciepło ropa i paliwa, gaz, energetyka jądrowa, wodór);
  • przedsiębiorstwa transportowe (transport lotniczy, kolejowy, wodny, drogowy);
  • bankowość i infrastruktura rynków finansowych;
  • udzielanie świadczeń zdrowotnych i zdrowie publiczne;
  • produkcja i dystrybucja substancji czynnych, produktów leczniczych i medycznych, w tym podmioty produkujące leki i pozostałe wyroby farmaceutyczne, a także wyroby medyczne, które uznane są za mające kluczowe znaczenie podczas stanu zagrożenia zdrowia publicznego czy hurtownie farmaceutyczne, wytwórcy produktu leczniczego, importerzy produktu leczniczego, apteki.

 

 

Podmioty(sektory) ważne to m.in.:

  • dostawcy wyszukiwarek internetowych;
  • e-platformy handlowe;
  • usługi pocztowe, kurierskie i łączności elektronicznej;
  • przedsiębiorstwa gospodarujące odpadami tj. transport odpadów i ich przetwarzanie oraz obrót;
  • produkcja, wytwarzanie, dystrybucja chemikaliów;
  • produkcja, wytwarzanie, dystrybucja żywności;
  • produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro;
  • produkcja urządzeń elektrycznych, maszyn, urządzeń elektronicznych i optycznych;
  • produkcja samochodów oraz sprzętu transportowego;
  • badania naukowe, w tym organizacje badawcze oraz podmioty, o których mowa w art. 7 ust. 1 pkt 1–4, 6–7 ustawy z dnia z dnia 20 lipca 2018 r.– Prawo o szkolnictwie wyższym i nauce.

 

Inne kryteria identyfikacji podmiotu jako kluczowy lub ważny:

Zmiany dotyczą także podmiotów, które w poprzedniej wersji były kwalifikowane jako podmioty kluczowe bez względu na wielkość, w tym:

  • przedsiębiorców komunikacji elektronicznej – teraz podmiotem kluczowym będą przedsiębiorstwa co najmniej średniej wielkości, natomiast mikro lub małe przedsiębiorstwa będą podmiotami ważnymi;
  • dostawców usług zarządzanych w zakresie cyberbezpieczeństwa – podmiotem kluczowym będą jedynie przedsiębiorstwa co najmniej małe, natomiast mikroprzedsiębiorstwa nie będą już objęte.
  • nowa wersja projektu nowelizacji określa, że w przypadku, gdy dany podmiot spełni kryteria uznania go jednocześnie za podmiot kluczowy oraz ważny, podmiot taki będzie podmiotem kluczowym.

 

Identyfikacja podmiotów kluczowych i ważnych – samorejestracja

Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono jako podstawowy, mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie – np. poprzez stronę internetową.

 

Podstawowe obowiązki podmiotów kluczowych i ważnych:

  • wprowadzenie systemu zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty,
  • wdrożenie skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem
  • przekazywanie informacji i raportowanie o poważnych incydentach,
  • przeprowadzanie audytów bezpieczeństwa systemów informacyjnych,
  • wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa

 

Kary przewidziane w nowelizacji ustawy o KSC odpowiadają minimalnym karom określonym w dyrektywie NIS 2 dla:

  1. podmiotów kluczowych, które nie wykonują ustawowych obowiązków, mogą wynieść maksymalnie 10 mln EUR lub 2 proc. przychodów osiągniętych przez podmiot w roku poprzednim (zastosowanie ma kwota wyższa). Nałożona kara nie może być jednak niższa niż 20 000 zł.
  2. podmiotów ważnych mogą wynieść maksymalnie 7 mln EUR lub 1,4 proc. przychodów. Nałożona kara nie może być jednak niższa niż 15 000 zł.

 

Wejście w życie nowelizacji ustawy o KSC w 2025 r. będzie dużym wyzwaniem dla państwa i przedsiębiorców, zarówno organizacyjnym, szkoleniowym jak i finansowym.

Autor: Iwona Makosz, prawnik w Kancelarii Adwokackiej Małgorzata Boguszewska i Wspólnicy