18. wersja nowelizacji KSC. Polska nie wyrobi się z implementacją NIS2?

W poniedziałek, w czasie konferencji prasowej w Ministerstwie Cyfryzacji poinformowano o pojawieniu się 18. wersji nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). O tym, jak ważny jest to projekt i że czeka na niego cała branża, nie trzeba nikomu przypominać, ani nikogo do tego przekonywać. Jego szybkie wdrożenie było jednym z priorytetów obecnego resortu, po tym jak nie udało się to poprzednikom.

Jak się dowiedzieliśmy w czasie spotkania z mediami, w ramach konsultacji zgłoszono 215 stanowisk i w sumie 1567 uwag, a około 70 proc. z nich zostało uwzględnionych w obecnym kształcie projektu.

Najważniejsze zmiany

Resort cyfryzacji wskazuje na najważniejsze zmiany w projekcie nowelizacji ustawy o KSC:

• nowe zasady nadzoru i kontroli - projekt wprowadza bardziej przejrzyste zasady nadzoru nad podmiotami kluczowymi i ważnymi (w tym bankami, firmami telekomunikacyjnymi i sektorem energetycznym). Będzie możliwość wyznaczania jednego organu wiodącego do sprawowania nadzoru, co ma usprawnić współpracę i szybsze reagowanie na zagrożenia oraz zmniejszyć uciążliwości w stosunku do podmiotów nadzorowanych;
• kontrole doraźne to nowość - chodzi o możliwość przeprowadzania kontroli doraźnych, które pozwolą na natychmiastowe działania w przypadku zagrożenia. Będą mogły zostać przeprowadzane m.in. po zgłoszeniu przez tzw. urzędnika monitorującego, u którego pojawią się podejrzenia/ obawy, że podmiot może naruszać przepisy ustawy;
• kary pieniężne - nowe zasady nakładania kar pieniężnych, tj. ich wysokość, będzie zależała od wielu kryteriów, m.in. rodzaju i skali naruszenia, czasu jego trwania, ale też możliwości finansowych podmiotu i poziomu współpracy z organami nadzoru. Przepisy dotyczące okresowej kary pieniężnej zostały złagodzone;
• urzędnik monitorujący - osoby o tym statusie będą wykonywały powierzone im zadania przez określony czas, nie dłuższy niż miesiąc. Z kolei podmiot kluczowy będzie musiał być wcześniej powiadomiony o oględzinach systemów IT.

Inne istotne zmiany, jakie wskazał resort cyfryzacji to m.in.: obniżenie wymagań dla podmiotów z sektorów produkcji ogółem, produkcji chemikaliów, produkcji żywności; wprowadzenie skargi do sądu administracyjnego od środków nadzorczych czy zasada, według której status podmiotu kluczowego i podmiotu ważnego bada się raz w roku przy sporządzaniu sprawozdania finansowego.

Stosowanie dalej idących środków będzie niemożliwe do czasu rozstrzygnięcia sprawy przez sąd; audyt cykliczny co 3 lata wyłącznie dla podmiotów kluczowych – poprzednio co 2 lata; oprecyzowanie środków nadzoru i kontroli oraz procedur z nimi związanych; modyfikacja przepisów karnych, w tym okresowych kar pieniężnych – eliminacja kary w przypadku braku realizacji przez podmiot czynności wskazanych w ostrzeżeniu; doprecyzowanie kryteriów klasyfikacji podmiotów kluczowych i ważnych; zmiany w definicji dostawców usług zarządzanych w zakresie cyberbezpieczeństwa; wydłużenie czasu na zgłoszenie wczesnego ostrzeżenia przez przedsiębiorców telekomunikacyjnych z 12h na 24h; zamiast odwołania do ISO wprowadzenie mapowania norm.

Termin goni termin

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz niektórych innych ustaw ma implementować do polskiego porządku prawnego dyrektywę NIS 2. Czas na jej wdrożenie przez kraje członkowskie UE mija 17 października 2024 roku.

W kwietniu br. - na spotkaniu na którym byliśmy obecni, dotyczącym poprzedniej wersji nowelizacji ustawy o KSC - wicepremier zaznaczył, że podstawą jest przyjęcie przepisów dotyczących Toolbox 5G, które do tej pory nie zostały przyjęte, co jak ocenił „jest prawdziwym skandalem”. Dodatkowo, podstawą jest implementacja Dyrektywy NIS 2, z czym polski rząd nie może zwlekać.

Natomiast z harmonogramu przedstawionego przez Ministerstwo Cyfryzacji jasno wynika, że uchwalenie ustawy będzie miało miejsce (planowo) dopiero w 2025 roku. Z końcem roku projekt ma zostać skierowany do prac parlamentarnych.

Olszewski: Ustawa nie jest przeciwko firmie czy państwu

Wicepremier i minister cyfryzacji na spotkaniu z dziennikarzami podkreślił, że nie jest to „ustawa oflagowana przeciwko działaniu jednego państwa”.

„Ani tak tego nie traktuję, ani moi współpracownicy. Ustawa ma dawać poczucie bezpieczeństwa – tak by my, politycy, urzędnicy, sądy zdecydowały, co jest ostatecznie dla państwa dobre, a co nie. Wzmacaniamy funkcję pełnomocnika rządu ds. cyberbezpieczeństwa. Oferujemy dostawcom wysokiego ryzyka możliwość, żeby byli poddawani szerokim regułom rynkowym, przy ocenie sądu” - zaznaczył.

Z kolei wiceminister cyfryzacji Paweł Olszewski zaznaczył, że zapisy dotyczące dostawcy wysokiego ryzyka nie są kierowane wobec żadnej konkretnej firmy i żadnego konkretnego kraju.

„Tylko są wobec podatności, które mogą wystąpić. Jeśli jest zagrożone bezpieczeństwo państwa, Polaków, musimy mieć takie narzędzia, jakimi dysponują także inne branże, bo bezpieczeństwo jest najważniejsze” - stwierdził.

Ocenił również, że resort bierze na swoje barki „bardzo dużą odpowiedzialność finansową”, wynikającą z nowelizacji i jej kosztów, ale rynek też musi się dostosować i „dołożyć”.

„Mamy do czynienia cyklicznie z sytuacjami ataków na serwery, co może doprowadzić do bankructwa firm. Warto zainwestować i traktować bezpieczeństwo również jako bezpieczeństwo finansowe i technologiczne rynku i poszczególnych graczy” - zaznaczył Paweł Olszewski.

Cyber24 Day: Zapowiedź nowelizacji KSC

Już w czasie naszej konferencji Cyber24 Day, Krzysztof Gawkowski zapowiadał prezentację kolejnej wersji nowelizacji KSC.

„Kończymy pracę nad Krajowym Systemem Cyberbezpieczeństwa i wdrożeniem unijnej dyrektywy NIS2 (Network and Information Security 2). Kilka miesięcy temu mówiłem, że na pewno to będzie w tym roku. Dziś mogę powiedzieć, że do ogłoszenia ustawy dzielą nas godziny, może dni” – powiedział wicepremier i minister cyfryzacji w ostatnią środę.

„Rozpoczynamy drogę rządową. Chcemy, żeby w ostatnim kwartale 2024 roku Krajowy System Cyberbezpieczeństwa wszedł do negocjacji międzyrządowych po to, żebyśmy mogli powiedzieć, że nikt już nie marnuje czasu, żeby wzmocnić politykę koordynacji cyberbezpieczeństwa” – podkreślił w czasie naszej konferencji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].