CyberDefence24
Reklama
  • WIADOMOŚCI

Nowelizacja KSC. Ministerstwo zapowiada pakiet wsparcia dla przedsiębiorców

Mikołaj Rogalewicz
3 min.

Nowelizacja ustawy o KSC wprowadza nowe obowiązki dla firm i instytucji publicznych, w tym mechanizmy dotyczące dostawców wysokiego ryzyka oraz bezpieczeństwa łańcucha dostaw. Ministerstwo Cyfryzacji zapowiada konkretne działania, które mają pomóc przedsiębiorcom przygotować się do zmian i ograniczyć ryzyko regulacyjne.

Nowelizacja ustawy o KSC wprowadza nowe obowiązki dla firm i instytucji publicznych, w tym mechanizmy dotyczące dostawców wysokiego ryzyka oraz bezpieczeństwa łańcucha dostaw.
Nowelizacja ustawy o KSC wprowadza nowe obowiązki dla firm i instytucji publicznych, w tym mechanizmy dotyczące dostawców wysokiego ryzyka oraz bezpieczeństwa łańcucha dostaw.
Autor. Andrea Piacquadio / Pixels / Free to use
  • Mechanizm eliminowania dostawców wysokiego ryzyka ma być narzędziem reagowania na realne zagrożenia dla infrastruktury państwa.
  • Terminy 4-7 lat na wymianę sprzętu mają odzwierciedlać cykl życia technologii ICT i stanowić kompromis między bezpieczeństwem a interesem przedsiębiorców.
  • Resort uruchomi kampanię informacyjną oraz przygotuje wykaz standardów i materiał Q&A wyjaśniający praktyczne skutki przepisów.

Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) jest kluczowym elementem budowania odporności państwa na cyberzagrożenia. Jej nowelizacja dostosowuje polskie przepisy do unijnych regulacji, w tym dyrektywy NIS2, i rozszerza katalog obowiązków nakładanych na przedsiębiorców oraz podmioty publiczne

Zmiany dotyczą zarówno kwestii organizacyjnych, jak i technicznych, a w praktyce obejmą tysiące firm działających w sektorach kluczowych dla funkcjonowania państwa.

O założeniach podpisanej już przez prezydenta ustawy, szczegółach nowych rozwiązań i planowanym wsparciu rozmawiamy z Marcinem Wysockim, zastępcą dyrektora departamentu cyberbezpieczeństwa Ministerstwa Cyfryzacji. 

Reklama

Wsparcie dla przedsiębiorców

Nowe przepisy ustawy o KSC oznaczają dla firm i instytucji publicznych konkretne obowiązki organizacyjne oraz techniczne. Resort cyfryzacji zapowiada jednak, że równolegle uruchomi pakiet działań informacyjnych i edukacyjnych, które mają ułatwić przedsiębiorcom przygotowanie się do nowych wymagań.

„Chcemy dotrzeć do przedsiębiorców we współpracy z kolegami z Ministerstwa Rozwoju i Technologii, np. poprzez stronę biznes.gov.pl, tak, aby wyjaśnić, jakie są kryteria wyznaczania i samookreślenia przez przedsiębiorców, czy są podmiotem kluczowym albo ważnym, czyli czy są zobowiązani m.in. do wdrożenia obowiązków wynikających z przepisów” - wyjaśnia w rozmowie z naszym portalem Marcin Wysocki. 

Podjęte zostaną także dodatkowe działania.

Będziemy też prowadzić kampanię skierowaną do przedsiębiorców, żeby podnieść poziom świadomości. Dodatkowo przygotujemy wykaz dokumentów normalizacyjnych, tak, aby wyciągnąć rękę do wszystkich podmiotów regulowanych i omówić, jakie standardy można spełniać i które mogą być dla nich pomocne w świetle spełniania wymogów z zakresu cyberbezpieczeństwa. Obiecaliśmy również materiał Q&A dla przedsiębiorców, w przystępny sposób wyjaśniający, co, zdaniem projektodawcy i wnioskodawcy, wynika z tych przepisów.
Marcin Wysocki, zastępca dyrektora departamentu cyberbezpieczeństwa Ministerstwa Cyfryzacji

Dostawcy wysokiego ryzyka

Marcin Wysocki na łamach naszego portalu odniósł się również do kwestii dostawców wysokiego ryzyka. Jego zdaniem mechanizm ten jest niezbędny i to nie tylko z perspektywy Polski, ale całej Unii Europejskiej.  

Mechanizm eliminowania dostawców niewiarygodnych ma być odpowiedzią na realne ryzyka, w tym możliwość ingerencji w infrastrukturę poprzez aktualizacje, oprogramowanie czy zdalny dostęp.

„Odnosimy się do konieczności eliminowania dostawców niewiarygodnych, którzy dostarczają np. sprzęt mogący zagrozić części funkcjonowania państwa. Trudno wyobrazić sobie sytuację, w której jako demokratyczne państwo prawa pozostajemy bez narzędzi w odpowiedzi na zidentyfikowane, na poziomie Polski i Unii Europejskiej, zagrożenia” - podkreślił zastępca dyrektora departamentu cyberbezpieczeństwa Ministerstwa Cyfryzacji.

Reklama

4-7 lat na wymianę sprzętu

Istotnym elementem regulacji są terminy na wycofanie sprzętu od dostawców uznanych za wysokiego ryzyka. W zależności od zakresu obowiązku wynoszą one od czterech do siedmiu lat.

To wynika z kompromisu, bo musimy uwzględniać różne wartości konstytucyjne. Z jednej strony bezpieczeństwo państwa, z drugiej - swobodę prowadzenia działalności gospodarczej. Żeby pogodzić te interesy i przeprowadzić test proporcjonalności, uzgodniliśmy takie terminy. W niektórych krajach europejskich, a także w części działań lub planowanych działań Unii Europejskiej, wynika, że terminy na wycofanie niebezpiecznego sprzętu mogą być krótsze. Natomiast terminy przyjęte w ustawie KSC, w szczególności termin siedmioletni, pokrywają się ze średnim cyklem życia produktów ICT. W wielu krajach europejskich funkcjonują podobne rozwiązania, a w kilku dokładnie takie.
Marcin Wysocki, zastępca dyrektora departamentu cyberbezpieczeństwa Ministerstwa Cyfryzacji

Łańcuch dostaw: obowiązki „rozleją się” na mniejsze firmy

Choć ustawa co do zasady dotyczy co najmniej przedsiębiorstw średnich w rozumieniu prawa unijnego, w praktyce jej skutki obejmą także mniejsze podmioty.

Wysocki zwrócił uwagę, że podmioty kluczowe i ważne będą zobowiązane do uwzględniania określonych wymogów w relacjach z podwykonawcami. To oznacza, że część obowiązków zostanie przeniesiona na dalsze ogniwa łańcucha dostaw:

„Ataki na łańcuch dostaw są bardzo częste, właśnie dlatego, że są skuteczne” - podkreślił.

W efekcie mniejsze firmy, jeśli są elementem łańcucha dostaw podmiotów objętych ustawą, również będą musiały dostosować swoje praktyki do nowych standardów bezpieczeństwa. Skala tych obowiązków ma być jednak adekwatna do ich roli i charakteru działalności.

Reklama
Mikołaj Rogalewicz

Zobacz również

CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Cyfrowy Senior. Jak walczy się z oszustami?

Czytaj także

Po opublikowaniu projektu ustawy mającej wdrożyć eIDAS 2.0 w Polsce, pojawiły się wątpliwości co do utrzymania mObywatela. Jak przyszłość czeka polską aplikację?
3 min.
Jaka przyszłość czeka mObywatela?
Paweł Makowiec Paweł Makowiec
3 min.
Chiński DeepSeek trenuje swój najnowszy model AI na najlepszych chipach Nvidii - wynika z informacji Białego Domu. W jaki sposób kluczowe półprzewodniki znalazły się w Państwie Środka?
2 min.
Biały Dom: DeepSeek trenuje AI na najlepszych chipach Nvidii
Paweł Makowiec Paweł Makowiec
2 min.
Należący do Elona Muska portal X postanowił odwołać się od decyzji Komisji Europejskiej ws. kary za naruszenie DSA. Serwis mówi o błędach proceduralnych i niepełnym dochodzeniu.
2 min.
X kontra DSA. Platforma odwołuje się od kary
Paweł Makowiec Paweł Makowiec
2 min.
ropa rosja wojna przemyt
2 min.
Inwazja na Ukrainę finansowana z przemytu rosyjskiej ropy. Jak odkryto siatkę?
Szymon Palczewski
2 min.
Dziś mijają cztery lata od rozpoczęcia pełnoskalowej inwazji Rosji na Ukrainę. Od tego czasu, obok działań militarnych, Rosja konsekwentnie prowadzi również operacje hybrydowe, w tym szeroko zakrojone kampanie dezinformacyjne.
4 min.
1
Cztery lata wojny. Jak wygląda rosyjska dezinformacja w Polsce?
Mikołaj Rogalewicz
4 min.
1
e-Doręczenia
2 min.
Rząd walczy o popularność e-Doręczeń. Utworzono nowy organ
Szymon Palczewski
2 min.
Mijają 4 lata od wybuchu pełnoskalowej wojny na Ukrainie. Czy skutki konfliktu zbrojnego za naszą wschodnią granicą są widoczne również w polskim transporcie?
3 min.
Cztery lata od inwazji Rosji na Ukrainę. Wojna wpłynęła na strategiczną branżę w Polsce
Paweł Makowiec Paweł Makowiec
3 min.
DNA Ak o sieciach cyfrowych UE
2 min.
UE pracuje nad nową regulacją. Szykują się duże zmiany
Szymon Palczewski
2 min.
CyberDefence24