Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to kompleksowa regulacja, której celem jest wzmocnienie ochrony obywateli i instytucji przed cyberzagrożeniami. Rada Ministrów przyjęła projekt ustawy, która ma wdrożyć w Polsce unijną dyrektywę NIS2, aby skuteczniej chronić obywateli i instytucje przed rosnącymi zagrożeniami w sferze cyfrowej. Nowe przepisy zwiększą bezpieczeństwo usług, z których korzystają obywatele, firmy i instytucje w całym kraju.
Ustawa o krajowym systemie cyberbezpieczeństwa 2025
– W cyberbezpieczeństwie kluczowa jest szybkość reakcji i jasny podział odpowiedzialności. Dlatego wzmacniamy instytucje, które stoją na straży bezpieczeństwa państwa w sieci – od ministra cyfryzacji, przez pełnomocnika rządu, aż po zespoły CSIRT. Nowe kompetencje pozwolą im działać sprawniej, skuteczniej i bliżej realnych potrzeb obywateli oraz gospodarki – powiedział wiceminister cyfryzacji Paweł Olszewski. Katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki, takie jak np. Odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności. Pozwoli to zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach.
Zgłaszanie incydentów
Uwagi do projektu w ramach konsultacji publicznych można przesyłać na adres e-mail Rozwiązania zapewniają szybkie reagowanie na incydenty poważne, skoordynowane działanie, a sprawozdania okresowe i końcowe informacje o incydencie poważnym i jego przebiegu. Wykaz będzie prowadzony w systemie teleinformatycznym S46, a wnioski do niego składane mają być w formie elektronicznej, również z wykorzystaniem tego systemu. Świadczenie przez nią usług ma istotne znaczenie na poziomie krajowym lub województwa lub ma znaczenie dla dwóch lub więcej sektorów określonych w załączniku nr 1 lub nr 2 do ustawy. Projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje.
Kary finansowe za naruszenia cyberbezpieczeństwa
Tak jak do tej pory operatorzy usług kluczowych, tak i inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata. Ponadto, podmioty kluczowe i ważne mają obowiązek przekazywania, na żądanie organu właściwego, danych, informacji i dokumentów niezbędnych do wykonywania przez organ jego ustawowych uprawnień i obowiązków z zakresu sprawowania nadzoru i kontroli. Żądanie organu powinno być proporcjonalne do celu, któremu ma służyć oraz zawierać m. Wskazanie zakresu żądanych danych, informacji lub dokumentów oraz uzasadnienie. W opiniowaniu w sprawach z zakresu uznania za HRV uczestniczy także Kolegium – musi zostać poproszone o opinię przez ministra właściwego ds. Termin na jej sporządzenie wynosi 3 miesiące od dnia, kiedy minister o nią wystąpi.
W przypadku wystąpienia incydentu krytycznego minister właściwy do spraw informatyzacji może fakultatywnie wydać w drodze decyzji polecenie zabezpieczające. Dotyczy ono nieokreślonej liczby podmiotów kluczowych i ważnych, a strony zawiadamia się o czynnościach w sprawie poprzez publiczne udostępnienie informacji w Biuletynie Informacji Publicznej ministra właściwego do spraw informatyzacji. Jest ogłaszane w dzienniku urzędowym ministra i udostępnia się Fundusze hedgingowe i menedżerowie aktywów obracający się do obrotu peer-to-peer w celu obniżenia kosztów dane CME o nim informacje na stronie internetowej urzędu go obsługującego. Polecenie podlega natychmiastowej wykonalności, a uznaje się je za doręczone z chwilą jego ogłoszenia.
- Umożliwi to ich identyfikację oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego, a także zapewni wykonywanie czynności nadzorczych przez organy właściwe do spraw cyberbezpieczeństwa.
- 10) Przestępstwo, w którym sprawca w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
- Wykaz będzie zawierał wszystkie informacje niezbędne do skutecznego nadzoru nad tymi podmiotami oraz do wykonywania ustawowych zadań nałożonych na zespoły CSIRT poziomu krajowego oraz CSIRT sektorowe.
- Warto dodatkowo zwrócić uwagę na przepis, który ma służyć uniknięciu sytuacji, w której podmiot kluczowy lub ważny, lub jego kierownik zostanie podwójnie ukarany za ten sam czyn.
Jak zauważył, kluczowym jest zbudowanie ekosystemu cyberbezbezpieczeństwa bez podziału na sferę publiczną oraz prywatną. Dyrektywa NIS2 wprowadziła podział na podmioty kluczowe i ważne – to znaczy takie, które działają w ramach obszarów szczególnie istotnych dla prawidłowego funkcjonowania państwa. Są to podmioty z sektorów kluczowych (m.in. energetyka, transport, bankowość czy dostarczanie wody pitnej) oraz ważnych (np. usługi pocztowe czy produkcja).
Czwarta wersja projektu nowelizacji ustawy o KSC (grudzień 2024 r.)
Nie ogranicza to jednak dopuszczalności korzystania, naprawy, modernizacji wymiany elementu lub aktualizacji rozwiązań objętych decyzją, pod warunkiem, że jest to niezbędne dla zapewnienia odpowiedniej jakości i ciągłości świadczonych usług. CSIRT sektorowe otrzymały także ustawowe upoważnienie do prowadzenia audytu bezpieczeństwa systemu informacyjnego w podmiotach kluczowych lub ważnych. W tym przypadku zastrzeżono jednak, że osoba prowadząca audyt, w okresie roku przed jego rozpoczęciem, nie może realizować zadań wdrożenia systemu zarządzania bezpieczeństwem lub obsługi incydentów w podmiocie audytowanym.
Czas na jej wdrożenie do krajowych porządków prawnych mija 17 października 2024 roku. Na stronach Rządowego Centrum Legislacji opublikowano nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC)1. Jest to już czwarta wersja projektu ustawy, która ma wdrożyć w Polsce unijną dyrektywę NIS 22. Co ważne, dostawca, który nie zgadza się z decyzją, będzie mógł złożyć skargę do sądu administracyjnego. Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego.
stopka Ministerstwo Cyfryzacji
- Kluczowa będzie przy tym współpraca i budowanie wzajemnego zaufania między podmiotami kluczowymi i podmiotami ważnymi z danego sektora a zespołem CSIRT.
- Istotne będzie także zapewnienie odpowiednich szkoleń czy wdrożenie podstawowych zasad cyberhigieny.
- Może to nastąpić z urzędu lub na wniosek przewodniczącego Kolegium do Spraw Cyberbezpieczeństwa.
- Dodany został zapis o konieczności wskazania mechanizmu służącego określeniu istotnych zasobów i szacowaniu ryzyka.
Wpis do wykazu będzie równoznaczny z uznaniem podmiotu za kluczowy lub ważny i będzie dokonywał się automatycznie, z chwilą złożenia poprawnego wniosku. Organ właściwy do spraw cyberbezpieczeństwa będzie mógł weryfikować dane zawarte w wykazie i w razie potrzeby wzywać podmiot do ich zmiany pod rygorem nałożenia administracyjnej kary pieniężnej. Na podstawie dotychczasowego art. 5 ustawy o krajowym systemie cyberbezpieczeństwa status operatora usług kluczowych nadawany był administracyjnie, a jego zakres określał załącznik do ustawy. W przemówieniu ministra cyfryzacji znalazła się również kwestia nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, wdrażającej dyrektywę NIS2.
Wykonywanie oceny bezpieczeństwa oraz identyfikowanie podatności systemów dostępnych w otwartych sieciach teleinformatycznych i powiadamianie ich właścicieli o wykrytych podatnościach oraz cyberzagrożeniach. CSIRT sektorowy, który przyjął wczesne ostrzeżenie, może także zwrócić się do zgłaszającego podmiotu o uzupełnienie potrzebnych informacji, w tym tych stanowiących tajemnice prawnie chronione, w zakresie niezbędnym do realizacji ustawowych zadań. Nowe przepisy rozszerzają także odpowiedzialność kierownictwa organizacji – osoby zarządzające mogą zostać ukarane indywidualnie, a maksymalna kara może wynieść nawet 300% ich wynagrodzenia. Zaproponowane rozwiązania umożliwią szybszą reakcję na ataki cyfrowe w kluczowych sektorach gospodarki. Dzięki inwestycjom w sprzęt oraz zwiększeniu finansowania kadr IT, wzrośnie odporność systemów informatycznych. Dotychczasowa dyrektywa NIS w sposób bardzo ogólny regulowała obowiązki w zakresie zarządzania ryzykiem.
Założeniem jest, aby nowe regulacje zostały przyjęte jeszcze w tym roku. Znowelizowana wersja ustawy przewiduje, że organy właściwe mogą, samodzielnie lub wspólnie, tworzyć metodyki nadzoru, określające szczegółowy sposób jego sprawowania nad podmiotami kluczowymi i ważnymi, w tym zakres i przyjęte kryteria oceny. Skuteczność metodyk powinna być co dwa lata oceniana przez organy właściwe w oparciu o ocenę efektywności. Stroną postępowania uznania za HRV jest każdy wobec kogo wszczęto postępowanie – czyli kto został zawiadomiony lub który jest wskazany w BIP na stronie ministra właściwego ds.
Nowa ustawa o krajowym systemie cyberbezpieczeństwa stanowi formalne dostosowanie polskich regulacji do unijnych wymogów i wprowadza precyzyjne wytyczne. – Cyberzagrożenia rosną z każdym rokiem, dlatego musimy działać szybciej i skuteczniej niż ci, którzy próbują nas zaatakować. Naszym celem jest silna i bezpieczna cyfrowo Polska – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco wzmacnia nasze możliwości obrony. Nowe przepisy pozwolą szybciej reagować na zagrożenia i lepiej chronić obywateli, instytucje i firmy. Dzięki nim Polska będzie bardziej odporna na cyberataki i przygotowana na wyzwania przyszłości – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.
W przypadku uzasadnionego podejrzenia, że działania lub zaniechania podmiotu kluczowego lub ważnego mogą stanowić naruszenie przepisów ustawy, organ właściwy kieruje do tego podmiotu pismo w formie elektronicznej z ostrzeżeniem. Wskazuje w nim czynności, jakie podmiot powinien podjąć, aby zapobiec takim naruszeniom lub ich zaprzestać. Podmiotem uprawnionym do wszczęcia postępowania za dostawcę wysokiego ryzyka (HRV) jest minister właściwy ds. Może to nastąpić z urzędu lub na wniosek przewodniczącego Kolegium do Spraw Cyberbezpieczeństwa. Postępowanie musi być wszczęte w określonym ustawowo celu – ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego.
Ponadto dyrektor RCB, szef ABW oraz minister mogą fakultatywnie wzywać podmioty objęte poleceniem lub organy administracji publicznej do udzielenia informacji niezbędnych do przeprowadzenia analizy. Dodatkowym uprawnieniem dyrektora RCB jest także możliwość zaproszenia przedstawicieli wspomnianych podmiotów lub organów do udziału w pracach lub posiedzeniach ZIK w związku z przygotowywaniem analizy. Dodatkowo niezbędne jest uwzględnienie trybu i zakresu, w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania oraz ryzyka dla tych procesów.
Do czasu osiągnięcia zdolności operacyjnej przez CSIRT sektorowe, podmioty kluczowe i ważne będą jednak zgłaszały incydenty poważne do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, tak jak obecnie. Część informacji w wykazie będzie uzupełniana z urzędu przez ministra właściwego do spraw informatyzacji. Nowe przepisy określają warunki objęcia danego podmiotu obowiązkami wynikającymi z ustawy, a także procedurę umieszczenia go w wykazie podmiotów kluczowych lub ważnych.
W przypadku gdy podmiot ich nie dostarczy lub będą one niewystarczające, organ właściwy ustali podstawę wymiaru kary pieniężnej w sposób szacunkowy, uwzględniając w szczególności wielkość danego podmiotu, specyfikę jego działalności lub ogólnodostępne dane finansowe. Opinia Kolegium w sprawie decyzji musi zawierać analizę szeregu kwestii, mających związek z celem wszczęcia postępowania. Ta ostatnia kwestia uwzględniać musi rozważenie przepisów prawa oraz praktyk ich stosowania w zakresie regulującym stosunki pomiędzy dostawcą a krajem spoza UE i NATO.