Polityka i prawo
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa. Jest przełom
Śmiało można napisać, że na ten krok czekała branża cyberbezpieczeństwa w Polsce. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażająca dyrektywę NIS 2, została wpisana do wykazu prac legislacyjnych Rady Ministrów. Czy tym razem uda się przyjąć nową wersję prawa z 2018 roku?
Na stronie Kancelarii Prezesa Rady Ministrów w wykazie prac legislacyjnych i programowych Rady Ministrów pojawił się projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.
„Niedługo rozpoczną się konsultacje publiczne oraz uzgodnienia” - poinformował Marcin Wysocki, wicedyrektor w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji.
Czytaj też
Obietnice: projekt do końca kwietnia
Przypomnijmy, jako pierwsi informowaliśmy, że według słów wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego do końca kwietnia ustawa o KSC miała zostać zaprezentowana.
Jak stwierdził, wtedy wszyscy będą mogli zobaczyć całość zmian dotyczących implementacji dyrektywy NIS2 i to, jak ma wyglądać cały system odpowiedzialności za infrastrukturę krytyczną.
„Niektóre rzeczy muszą się wydarzyć wewnętrznie w ministerstwie i nie możemy z nimi wychodzić na zewnątrz, ale jeśli chodzi o KSC, to jest ten miesiąc” – podkreślił wtedy minister cyfryzacji.
Czytaj też
Nowelizacja KSC i Dyrektywa NIS 2
Jak uzasadniono konieczność nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa?
„Pojawianie się nowych cyberzagrożeń, jak również szybki wzrost katalogu usług publicznych dostępnych online, powodują, że instytucje publiczne jak i podmioty prywatne odpowiedzialne za cyberbezpieczeństwo będą zmuszone poświęcać coraz więcej środków na zapewnienie cyberbezpieczeństwa. Zmieniająca się sytuacja międzynarodowa oraz konieczność dostarczenia usług dużej grupie nowych klientów sprawia, że niezbędne jest dalsze wzmacnianie podmiotów krajowego systemu cyberbezpieczeństwa” - napisano.
Dodatkowo nowelizacja ustawy ma służyć implementacji Dyrektywy NIS 2, kóra nakłada szereg obowiązków na tzw. podmioty kluczowe i podmioty ważne. Obecnie obowiązująca ustawa o Krajowym Systemie Cyberbezpieczeństwa z 5 lipca 2018 roku to podstawowy akt porządkujący rynek cyberbezpieczeństwa w Polsce, który wdrażał Dyrektywę NIS 1.
Jednak 6 lat - od czasu jej przyjęcia - w tym sektorze można liczyć jak 6 dekad, zatem poza implementacją unijnych rozwiązań, konieczne jest też dostosowanie prawa do nowych wyzwań cyfrowego rynku.
Jak wskazano szczegółowo, nowelizacja KSC ma zawierać:
- rozszerzenie katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki;
- nałożenie obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe i podmioty ważne w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2;
- nałożenie obowiązków z zakresu środków zarządzania ryzykiem w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2;
- wprowadzenie możliwości zgłaszania incydentów przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego;
- utworzenie zespołów CSIRT sektorowych, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa;
- wzmocnienie kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa;
- wprowadzenie nowych administracyjnych kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe i podmioty ważne;
- wprowadzenie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;
- rozszerzenie kompetencji ministra właściwego do spraw informatyzacji (będzie on mógł np. wydać decyzję ws. dostawcy wysokiego ryzyka czy polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego).
To kolejne podejście do ustawy
Przypomnijmy, że nowelizacji KSC nie udało się przeprowadzić przez proces legislacyjny w czasie ostatniej kadencji rządów Zjednoczonej Prawicy.
Jak informowaliśmy, we wrześniu 2023 r., w ostatniej chwili do ówczesnej marszałek Sejmu Elżbiety Witek trafił rządowy wniosek o wycofanie z prac parlamentarnych projektów dotyczących cyberbezpieczeństwa, co obejmowało ustawę o KSC.
Planowany termin przyjęcia projektu to III kwartał br., odpowiada za niego wiceminister cyfryzacji Paweł Olszewski.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].