Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa co warto wiedzieć?

Projekt jej nowelizacji implementuje do krajowego porządku prawnego dyrektywę NIS2, w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa cybernetycznego na terytorium Unii Europejskiej, w zakresie znacznie szerszym niż tego wymaga sama dyrektywa. Polska wdraża bowiem w jednym akcie rozwiązania dyrektywy NIS2 i 5G Toolbox, co rozszerza regulację o rozwiązania dotyczące dostawców wysokiego ryzyka (DWR) na 18 sektorów, a nie tylko sieci 5G. Ustawodawca poprawił błąd występujący w poprzedniej wersji projektu nowelizacji, zgodnie z którym podmiotami kluczowymi były duże podmioty działające w sektorach wskazanych w załączniku nr 1 (sektory kluczowe) oraz nr 2 do ustawy (sektory ważne).

Dlatego aktualna nowelizacja obejmuje implementację wymagań dyrektywy NIS2 i to, co jest z nią blisko związane. Oceniliśmy, że procedura wyłonienia dostawców wysokiego ryzyka to element, który powinien być częścią ustawy. Natomiast certyfikacja – był jej poświęcony rozdział wcześniejszej noweli – jest elementem, który wynika z Cyber Security Act uznaliśmy więc, że ten zakres równie dobrze mógłby zostać ujęty w odrębnej regulacji, która będzie szła swoim torem. Miałaby ona powiązanie z Krajowym Systemem Cyberbezpieczeństwa, ale pierwszym krokiem jest sam system certyfikacji, a dopiero w kolejnym kroku pomyślimy, jak obligatoryjne musiałoby być jego działanie. Problem polega więc na tym, że podmioty kluczowe i ważne (a do takich należą średnie i duże firmy farmaceutyczne) muszą przestać używać produktów dostarczonych przez dostawcę wysokiego ryzyka w ciągu od 4 do 7 lat.

W czerwcu, po przyjęciu projektu Gospodarka Chin w odzysku przez rząd, minister cyfryzacji Janusz Cieszyński wskazywał w rozmowie z PAP, że nowelizacja jest wynikiem doświadczeń zebranych w ciągu kilku lat funkcjonowania ustawy o krajowym systemie cyberbezpieczeństwa i zawiera szereg usprawnień. “Chodzi też o to, żeby wzmacniać pozycję tych jednostek, które odpowiadają za cyberbezpieczeństwo, czyli zespołów reagowania na incydenty bezpieczeństwa komputerowego” – mówił. Krajowy system cyberbezpieczeństwa (w skrócie KSC) obejmuje instytucje i organizacje odpowiedzialne za ochronę infrastruktury krytycznej, monitorowanie zagrożeń oraz reagowanie na incydenty w cyberprzestrzeni, stanowiąc fundament bezpieczeństwa cyfrowego w Polsce.

• Eksperci z branży farmaceutycznej wypowiadają się na ten temat w najnowszym raporcie opracowanym przez PTKOZ.
• To narzędzie pozwalające operatorom blokować ruch pochodzący z podejrzanych źródeł w celu ochrony systemów przed atakami DDoS.
• W mojej ocenie, jeśli mamy poważnie podchodzić do tematu, to takie ćwiczenia powinny się powtarzać w cyklu co najmniej dwuletnim.

Zełenski proponuje Rosji zawieszenie broni do czasu spotkania z Putinem

Dyrektywa NIS2 w załączniku nr 1 określa 11 sektorów kluczowych, natomiast w załączniku nr 2 wskazuje 7 sektorów ważnych. Podział na sektory kluczowe i ważne wynika przede wszystkim z ich znaczenia dla funkcjonowania społeczno-gospodarczego państwa. Zgodnie z założeniami dyrektywy NIS2, obowiązki podmiotów kluczowych i ważnych miały być takie same, różnice sprowadzają się natomiast do środków nadzoru nad tymi podmiotami oraz wymiaru potencjalnych kar finansowych.

Inne istotne zmiany, jakie zostaną dokonane w projekcie dotyczą:

„Zdecydowaliśmy się na takie rozdzielenie merytoryczne właśnie tych kompetencji, które by się łączyły u ministra cyfryzacji. W naszej ocenie takie rozwiązanie spełnia te wszystkie wymogi wynikające z prawa unijnego” – wyjaśnił przedstawiciel resortu. „Konsument zyska możliwość świadomego wyboru produktów i usług wyróżniających się pod względem jakości i bezpieczeństwa” – wskazał wiceszef resortu cyfryzacji. O otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. z 2023 r. poz. 1524). Obecnie obowiązująca wersja ustawy przewiduje szereg kar pieniężnych za naruszenie jej przepisów. Przy doborze nakazów lub zakazów z powyższego katalogu niezbędne Olej w drodze do 100 USD za baryłkę jest uwzględnienie adekwatności środków, co w szczególności powinno wynikać z analizy przeprowadzanej przez ministra we współpracy z ZIK.

Dell – ostrożny optymizm w cieniu boomu na infrastrukturę AI

Co istotne, sam wpis, zmiana oraz wykreślenie podmiotu z rejestru mają być jedynie czynnością materialno-techniczną i ma mieć charakter deklaratoryjny. To oznacza, że fakt wpisu nie wpływa na zakres obowiązków podmiotów ważnych i kluczowych na gruncie uKSC, które wynikają z samego faktu spełniania definicji podmiotu objętego regulacjami wg projektu uKSC. Tym samym, nawet jeśli podmiot, który spełnia kryteria do uznania za podmiot ważny lub kluczowy w rozumieniu uKSC nie dokona wpisu do rejestru – nie zwolni go to z wypełniania obowiązków wynikających z uKSC oraz ryzyka nałożenia na niego kary. Na początku 2023 roku weszła w życie dyrektywa NIS 2, która ma na nowo uregulować kwestie cyberbezpieczeństwa w Unii Europejskiej. Zastąpi ona obecnie obowiązującą dyrektywę NIS, zaimplementowaną w Polsce przede wszystkim w ustawie o krajowym systemie cyberbezpieczeństwa.

Baza instytucji

Kiedy pojawiły się kontrowersyjne zapisy dotyczące, na przykład, rozdawania częstotliwości, operatora strategicznej sieci bezpieczeństwa – zaczęły się dyskusje, byłem świadkiem podczas poprzedniej kadencji rady ds. To poniekąd, w mojej ocenie, jest już w uzusie, aczkolwiek, co ciekawe, nie wobec tych podmiotów, o których myślimy jako potencjalnie najbardziej ryzykowanych, tj. Okazuje się, że w momencie, kiedy cały świat rozwiązań cyberbezpieczeństwa przesuwa się z rozwiązaniami do chmury, nad którą właściwie my tracimy kontrolę, podmioty obsługujące infrastrukturę krytyczną, same często nakładają na siebie samoograniczenia. Nie zgadzają się na takie rozwiązania mniej lub bardziej świadomie, albo regulacyjnie, ponieważ w tle pojawiają się w wewnętrzne regulacje albo na przykład zalecenia Agencji Bezpieczeństwa Wewnętrznego. Dobrze oceniam próbę wydzielenia kwestii tak ważnych jak certyfikacja do osobnej regulacji. Błędem poprzedniej nowelizacji było forsowanie ujęcia w jednym akcie prawnym wszystkich palących spraw, które wykazują pokrewieństwo z cyberbezpieczeństwem.

Od polecenia zabezpieczającego nie przysługuje wniosek o ponowne rozpatrzenie sprawy, aczkolwiek skargę na nie można wnieść do sądu administracyjnego. Termin na to wynosi 2 miesiące od dnia, w którym decyzja została ogłoszona w dzienniku urzędowym ministra właściwego do spraw informatyzacji. Sama procedura opiniowania jest wieloetapowa i zakłada przede wszystkim, jako pierwszy krok, Diaceutycy wygrywa 5-letni kontrakt z nieznanych globalnych przedsiębiorstw naukowych powołanie przez przewodniczącego Kolegium zespołu opiniującego spośród przedstawicieli członków tego organu. Każda wybrana osoba przygotowuje stanowisko w zakresie swojej właściwości, przekazywane następnie do całego zespołu. Projekt sporządzonej opinii jest następnie uzgadniany na posiedzeniu Kolegium, a po przeprowadzeniu tego procesu gotowy dokument trafia do ministra właściwego ds.

• Audyt taki powinien być przeprowadzany co najmniej raz na dwa lata, jednak pierwszy musi zostać jednak przeprowadzony w ciągu 12 miesięcy od wejścia w życie ustawy lub od momentu spełnienia kryteriów uznania za podmiot kluczowy lub ważny​.
• Oprócz opisanych wyżej zmian, w nowelizacji wprowadzono dodatkowe przepisy dotyczące kar pieniężnych, które mają służyć zwiększeniu ich skuteczności i egzekwowalności.
• Przejawia się to choćby wyłączeniem wymogu spełnienia poszczególnych obowiązków wynikających z nowelizacji ustawy o KSC przez podmioty z sektora bankowego i infrastruktury rynków finansowych.
• Ustawa o KSC (ustawa o krajowym systemie cyberbezpieczeństwa) to polska ustawa, która implementuje dyrektywę NIS do polskiego porządku prawnego.
• Informacje uzyskane w wyniku oceny stanowić będą tajemnicę prawnie chronioną, a CSIRT nie będzie mógł wykorzystać ich do realizacji innych ustawowych zadań.
• Zdziwienie przedstawicieli Biura Legislacyjnego Sejmu wzbudził jednak zapis art. 4 ust.

Wejście w życie przepisów o certyfikacji z zakresu cyberbezpieczeństwa nie spowoduje, że nie będzie już można wydawać certyfikatów prywatnych. One nadal pozostaną i osoby/podmioty zainteresowane będą mogły kontynuować ich wydawanie czy też ubieganie się o nie. Obok certyfikatów prywatnych pojawi się jednak dodatkowo możliwość certyfikacji przez jednostki akredytowane w ramach prawnych ustanowionych przez państwo. Co istotne, nowe przepisy nie nakładają żadnych dodatkowych obowiązków na podmioty niezainteresowane uczestnictwem w systemie certyfikacji.

Wspólne wykonywanie obowiązków przez podmioty publiczne (art. 16c i nast. nowelizowanej ustawy o KSC)

Podmioty kluczowe i ważne będą obowiązane korzystać z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach. Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu. – Przed nami dużo pracy w zakresie współpracy z jednostkami administracji wszystkich szczebli oraz z sektorem prywatnym. Cyberbezpieczeństwo dotyka właściwie każdego elementu funkcjonowania wszystkich dużych usług. Zależy nam na zbudowaniu kompleksowego systemu, który będzie chronił instytucje, firmy oraz przede wszystkim obywateli – dodaje Paweł Olszewski, sekretarz stanu w Ministerstwie Cyfryzacji.

Według znowelizowanej wersji przepisów, karze pieniężnej może podlegać kierownik podmiotu kluczowego lub ważnego za niewykonanie wskazanych w ustawie obowiązków, jeżeli przemawia za tym czas, zakres lub charakter naruszenia. Zwiększeniu ulega również maksymalna kwota kary możliwej do wymierzenia – do 600% otrzymywanego przez kierownika wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. Po pierwsze, znacząco zwiększone zostały górne granicy kary możliwej do nałożenia na podmiot kluczowy lub ważny. W znowelizowanej wersji ustawy, na podmiot, który dopuści się tego rodzaju naruszeń, organ może nałożyć karę w maksymalnej wysokości aż do 100 milionów złotych.

Zakres podmiotowy – zmiany w stosunku do wersji projektu nowelizacji ustawy o KSC z 23 kwietnia 2024 r.

Świadczył usługi telekomunikacyjne dla wskazanych w ustawie podmiotów. Zagwarantować uruchomienie bezpiecznej sieci telekomunikacyjnej wykorzystywanej na potrzeby realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego przez kluczowe urzędy i podmioty działające w kraju. Projektowana nowelizacja ma też zagwarantować uruchomienie bezpiecznej sieci telekomunikacyjnej wykorzystywanej w administracji państwowej, w tym na potrzeby obronności i bezpieczeństwa państwa. Przedstawiona wersja nowelizacji zmienia zasady stosowania środków nadzoru, dając organowi właściwemu ds. Cyberbezpieczeństwa większą autonomię w wydawaniu decyzji, takich jak wstrzymanie koncesji czy pozwolenia na prowadzenie działalności. Wcześniej decyzje te wymagały zaangażowania sądu lub innych organów, co mogło wydłużać reakcję na potencjalne zagrożenia.

W ich ramach możliwe będzie wydawanie polskich certyfikatów dla tych produktów i usług, które nie podlegają regulacjom unijnym – wskazano. Temat z powrócił w projekcie ustawy o ochronie ludności, ale obecnie nie jest na tym etapie co np. Zagadnienie certyfikacji, gdzie można było wyjąć rozdział z dawnego projektu, opatrzyć nagłówkiem i przetworzyć w projekt osobnej ustawy. O ile wiemy, że certyfikacja jest nam bardzo potrzebna, to OSSB jest przedsięwzięciem bardzo ważnym, ale w naszym rozumieniu wymaga także dodatkowej pracy koncepcyjnej nad tym, co chcemy przez wprowadzenie instytucji Operatora Strategicznej Sieci Bezpieczeństwa osiągnąć. Dopóki dysponowaliśmy czasem – jak podczas poprzedniej próby nowelizacji, wydawało się to ambitnym, ale właściwym i realnym scenariuszem.