Kiedy nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa i co zmieni?

Ministerstwo Cyfryzacji chciałoby, aby nowe regulacje zostały wdrożone jeszcze w 2025 roku. Chodzi tu m.in. o implementację unijnej dyrektywy NIS2, do czego Polska jest zobowiązana. Ustawa określa zasady bezpieczeństwa, których muszą przestrzegać zarówno podmioty administracji publicznej (rządowej i samorządowej), jak i dostawcy usług cyfrowych. Dotyczy to około 38 tysięcy krajowych firm i instytucji. Będą one musiały korzystać z systemu zarządzania bezpieczeństwem informacji zgodnie z planowaną nowelizacją. Ustawa wciąż jednak nie została ukończona.

Jak powiedzieli przedstawiciele Ministerstwa Cyfryzacji, w tym wicepremier Krzysztof Gawkowski, resort chce zakończyć etap prac rządowych nad ustawą o Krajowym Systemie Cyberbezpieczeństwa jeszcze w 2. kwartale 2025 roku, czyli de facto do końca tego półrocza. To i tak o wiele za późno, choć na tle innych państw UE nie wypadamy najgorzej.

Nowelizacja ustawy może wejść w życie nawet rok po wymaganym terminie. Nic więc dziwnego, że Ministerstwo Cyfryzacji traktuje ten projekt priorytetowo. Chodzi nie tylko o zgodność z unijną dyrektywą NIS 2, ale także o cyfrowe bezpieczeństwo kraju i obywateli. Dzięki wdrożeniu systemów, o których mówi ustawa, będziemy lepiej chronieni w przypadku incydentów, których natężenie od lat niepokojąco rośnie. Przedsiębiorcy zostaną o wszystkim powiadomieni z wyprzedzeniem, tak aby mieli wystarczająco dużo czasu na wprowadzenie zmian.

"Uwzględniając kolejny etap, czyli prace nad projektem w sejmie, w tym wakacje parlamentarne oraz vacatio legis, można zakładać, że ten istotny akt prawny wejdzie w życie mniej więcej rok po terminie, jaki został ustalony na wdrożenie rozwiązań podnoszących bezpieczeństwo cyfrowe. Warto zauważyć, że według Europejskiej Organizacji ds. Cyberbezpieczeństwa (ECSO) dotychczas 10 krajów UE wdrożyło dyrektywę NIS 2 do swojego porządku prawnego. Nie odbiegamy zatem od średniej europejskiej, a wypowiedzi Ministerstwa traktuję jako jaskółkę zwiastującą, że nowa rzeczywistość w obszarze cyberbezpieczeństwa jest coraz bliższa. To ważne - szczególnie wobec niespokojnej sytuacji geopolitycznej, z jaką mamy do czynienia w ostatnim czasie" - skomentował Paweł Śmigielski ze Stormshield.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa wyróżnia "podmioty kluczowe" i "ważne". Wiele firm i przedstawicieli administracji zadaje pytanie, czy ich organizacja zalicza się do którejś z tych kategorii. To jednak muszą ustalić same te podmioty. Aktualnie odpowiadają za to decyzje administracyjne. Po wprowadzeniu nowelizacji zacznie obowiązywać "mechanizm samoidentyfikacji" i podmioty ważne oraz kluczowe będą musiały same rejestrować się w systemie.

Jako podmioty kluczowe i ważne traktowane będą firmy i instytucje z większej liczby sektorów, wliczając w to ścieki, przestrzeń kosmiczną, usługi pocztowe, produkcję i przetwarzanie (w tym chemikaliów i żywności), badania naukowe i nie tylko. Dotyczy to głównie średnich i dużych firm. Na te podmioty będą nałożone specjalne wymogi, w tym konieczność zgłaszania do CSIRT poważnych incydentów nie później niż 24 godziny po ich wykryciu. Przedsiębiorstwa komunikacyjne będą na to miały 12 godzin, a pozostali - 72 godziny.

Jak informuje Serwis Rzeczypospolitej Polskiej, ustawa może zacząć wymagać od dostawców usług lub innych podmiotów stosowanie "zachowań przeciwdziałających incydentowi krytycznemu". Polecenia mogą obejmować instalację poprawki bezpieczeństwa, wycofanie oprogramowania albo przeprowadzenie szacowania ryzyka.

NIS2 (Network and Information Systems 2) to dyrektywa Unii Europejskiej z 2022 roku, która ma przeciwdziałać cyberprzestępczości. Akt prawny wymaga od państw członkowskich UE odpowiedniego wzmocnienia zabezpieczeń informatycznych i nakłada na podmioty z sektorów ważnych oraz kluczowych nowe obowiązki. Wdrożenie NIS 2 w Polsce miało nastąpić 17 października 2024 roku poprzez nowelizację ustawy o KSC. Do jej wprowadzenia nie doszło w planowanym terminie. Dopiero teraz, po wielu miesiącach, projekt jest już bliski ukończenia.

***

Bądź na bieżąco i zostań jednym z 87 tys. obserwujących nasz fanpage - polub GeekWeek na Facebooku i komentuj tam nasze artykuły!