Obowiązkiem jest także zawarcie analizy treści wydanych przez Pełnomocnika Rządu ds. Projekt nowelizacji zawiera propozycję mechanizmu uznania za dostawcę wysokiego ryzyka określonego dostawcy sprzętu lub oprogramowania dla szczególnego rodzaju podmiotów gospodarczych i społecznych. W szczególności chodzi tutaj, zgodni z uzasadnieniem do projektu, o sytuację zagrożenia bezpieczeństwa kluczowych podmiotów w Polsce, a przez to w konsekwencji także funkcjonowaniu państwa. Proponowana procedura jest odpowiedzią na zidentyfikowane tak na poziomie krajowym, jak i unijnym, ryzyka związane choćby z rozwojem sieci 5G, niskiej jakości lub nieadekwatnie zabezpieczonych względem zagrożeń produktów i rozwiązań, a także coraz poważniejszych cyberzagrożeń.

Inne istotne zmiany w zakresie kar pieniężnych

Takie rozwiązanie zapewnia elastyczność i pozwala dopasować zabezpieczenia do charakteru i skali działania organizacji. Podmioty kluczowe i ważne będą przekazywać informacje o incydentach za pomocą systemu S46 bezpośrednio do odpowiednich zespołów CSIRT. Powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia w poszczególnych obszarach. Pozwolą też zbudować bazę wiedzy o zagrożeniach i podatnościach danego sektora.

Jest to istotna zmiana w stosunku do obecnie obowiązujących przepisów, które nie przewidują takiej konieczności. Do tej pory powstały dwa takie zespoły – CSIRT KNF (dla sektora finansowego) oraz Centrum e-Zdrowia (dla sektora ochrony zdrowia). Nowelizacja wprowadza zupełnie nowe brzmienie art. 5, definiując podmiot kluczowy i podmiot ważny. W nowym podejściu podmiot kluczowy to nie tylko organizacja świadcząca usługi kluczowe, ale także dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, rejestry domen najwyższego poziomu (TLD) czy kwalifikowani dostawcy usług zaufania. Podmiotem kluczowym może być również podmiot publiczny wskazany w załączniku do ustawy lub jednostka państwowa.

„Nie możemy cyberbezpieczeństwa oddzielić od strefy informacji, bo jest ona powiązana i wykorzystywana do wspólnych celów operacyjnych. Kluczowe jest dla nas zbudowanie ekosystemu cyberbezpieczeństwa, w którym nie będziemy tworzyli podziału na tych ze strefy publicznej i tych ze strefy prywatnej. Każdy z tych elementów musi działać wspólne i w porozumieniu” – podkreślił minister cyfryzacji, wspominając o weekendowych incydentach, jak opisywany na naszych łamach atak na właściciela serwisu Supergrosz. W zakresie produktów, usług lub procesów ICT nabytych w drodze postępowań na gruncie przepisów prawa zamówień publicznych ogólny termin na wycofanie ich nie ulega  zmianie i wynosi 7 lat od dnia ogłoszenia decyzji lub udostępnienia o niej informacji. Natomiast różni się w zakresie produktów, usług i procesów wykorzystywanych do wykonywania funkcji krytycznych dla bezpieczeństwa sieci i usług – wynosi on 5 lat.

Cyberbezpieczeństwo to dziś nie tylko obowiązek czy modny slogan, ale fundament stabilności i rozwoju. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa może zacząć obowiązywać już w najbliższych miesiącach, a nowe przepisy – jak zostaną uchwalone, mają wejść w życie już po upływie miesiąca od dnia ich ogłoszenia. Ma to być instytucja prawna umożliwiająca reakcję na incydent krytyczny.

Artykuły powiązane

Nowe przepisy przeformułowują niektóre z obszarów, które mają zostać określone w Strategii – m. Dodany został zapis o konieczności wskazania mechanizmu służącego określeniu istotnych zasobów i szacowaniu ryzyka. Jednocześnie, szef resortu cyfryzacji zwrócił uwagę na problem luki kompetencyjnej, a także potrzebę przeznaczenia większej ilości środków na wykształcenie kompetencji cyfrowych, wiedzy o cyberzagrożeniach oraz higieny cyfrowej w społeczeństwie. Jednym z przykładów jest zastrzeżenie numeru PESEL – spośród 10 mln użytkowników mObywatela, tylko 6 mln wykonało tę czynność – oraz testy wewnętrzne Ministerstwa. Na początku pierwszego tygodnia listopada, w Kancelarii Prezesa Rady Ministrów odbyło się VI Seminarium Cyberbezpieczeństwa Infrastruktury Krytycznej.

• Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) służy wdrożeniu na polskim gruncie unijnej dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii w skrócie NIS2 – red..
• Celem jest bezpieczna i stabilna cyberprzestrzeń – dla wszystkich obywateli i całej gospodarki.
• Nowe przepisy pozwolą szybciej reagować na zagrożenia i lepiej chronić obywateli, instytucje i firmy.
• Od polecenia zabezpieczającego nie przysługuje wniosek o ponowne rozpatrzenie sprawy, aczkolwiek skargę na nie można wnieść do sądu administracyjnego.
• Jest to istotna zmiana w stosunku do obecnie obowiązujących przepisów, które nie przewidują takiej konieczności.

Dotychczas posiadanie certyfikacji ISO często uznawano za wystarczające do spełnienia wymagań ustawy, jednak nowe przepisy mogą wymagać dodatkowych sektorowych wytycznych dostosowanych do specyfiki danej branży. Rada Ministrów przyjęła projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, przedłożony przez Ministra Cyfryzacji. Decyzję o uznaniu danego dostawcy za dostawcę wysokiego ryzyka będzie wydawał minister cyfryzacji. Takie decyzje będą wynikiem wieloetapowego, transparentnego postępowania administracyjnego, w którym uczestniczyć będzie Kolegium do Spraw Cyberbezpieczeństwa, a także – opcjonalnie – organizacje społeczne oraz Urząd Ochrony Konkurencji i Konsumentów.

Ustawa wprowadza zmiany w zakresie:

Jednym z takich rozwiązań jest przyznanie organowi właściwemu kompetencji do nadania decyzji o wymierzeniu kary rygoru natychmiastowej wykonalności w całości lub w części. Może on jednak skorzystać z tego uprawnienia jedynie w przypadku, gdy wymaga tego ochrona bezpieczeństwa lub porządku publicznego. W przeciwieństwie do obecnie obowiązujących przepisów ustawy, które przewidują, że Strategia ustalana jest na okres pięciu lat, z możliwością wprowadzenia zmian w okresie jej obowiązywania, w nowelizacji nie wskazano okresu, na który ma ona zostać uchwalona. Przy doborze nakazów lub zakazów z powyższego katalogu niezbędne jest uwzględnienie adekwatności środków, co w szczególności powinno wynikać z analizy przeprowadzanej przez ministra we współpracy z ZIK. Jeżeli potrzebujecie wsparcia w audytach, testach bezpieczeństwa lub wdrożeniu niezbędnych systemów zgodnych z nowymi przepisami, nasz zespół inżynierów służy pomocą.

Gawkowski: wierzę, że nowelizacja KSC trafi do prezydenta do końca roku

Zgodnie z postanowieniami projektu ustawy Minister Cyfryzacji może, po konsultacji z zespołem incydentów krytycznych wydać taki akt w formie decyzji generalnej, czyli w konkretnej sprawie, ale z rodzajowo określonymi adresatami. Podmiot w odpowiedzi może niezwłocznie, nie później niż w terminie 7 dni od dnia poinformowania o wstępnych ustaleniach, przedstawić organowi swoje stanowisko. Następnie ten może albo uwzględnić stanowisko podmiotu i odstąpić od zastosowania środków egzekwowania przepisów, albo odrzucić to stanowisko i zastosować takie środki. Zasadnicza różnica w nadzorze nad podmiotami kluczowymi i ważnymi dotyczy jego charakteru. Informatyzacji udostępnia wykaz usług Fundusze ETF mają najwyższy odsetek obrotów będących przedmiotem obrotu w ciemności raport ESMA świadczonych przez podmioty kluczowe i ważne, stosowany w systemie S46, w Biuletynie Informacji Publicznej na swojej stronie. Takie zespoły mają wspierać podmioty kluczowe i ważne w obszarze przyjmowania zgłoszeń i reagowania na incydenty.

• Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa zawiera rozbudowany – w porównaniu do obecnej wersji – rozdział dotyczący nadzoru i kontroli.
• Dopuszcza się jednak wykonanie takiej oceny na zlecenie organu właściwego do spraw cyberbezpieczeństwa, co wypełnia wprowadzone dyrektywą NIS 2 przepisy dotyczące tzw.
• Tak jak do tej pory operatorzy usług kluczowych, tak i inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata.
• W przypadku wystąpienia incydentu krytycznego minister właściwy do spraw informatyzacji może fakultatywnie wydać w drodze decyzji polecenie zabezpieczające.
• Dzięki nim najważniejsze usługi będą działały pewniej i bez przerw, a dane osobowe przetwarzane przez podmioty kluczowe i ważne będą lepiej chronione.
• Ocenę aktualnych zabezpieczeń, wdrożenie adekwatnych procedur (np. reagowania na incydenty).

Od momentu uznania za podmiot kluczowy lub ważny, organizacja ma 6 miesięcy na spełnienie nowych obowiązków

Kierowników podmiotów leczniczych nie ma świadomości, z jakimi konsekwencjami będzie się dla nich wiązało wejście w życie nowelizacji. Z drugiej strony, jak wskazuje Polskie Towarzystwo Koordynowanej Ochrony Zdrowia (PTKOZ), w ocenie skutków regulacji dołączonej do projektu w ogóle nie przewidziano kosztów, z jakimi będzie musiał zmierzyć się sektor zdrowotny – a te mogą okazać się wysokie. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa trafiła do Sejmu i jest szansa, że zostanie przyjęta w ciągu najbliższych dwóch miesięcy. Wpłynie ona istotnie na szpitale, kierownicy podmiotów medycznych na razie nie przygotowują się jednak na jej skutki – a te mogą być dotkliwe również w kontekście finansowym. Minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanym jako Toolbox 5G.

stopka Ministerstwo Cyfryzacji

Ustawa stanowi implementację dyrektywy NIS 2, wprowadzając szereg istotnych zmian w krajowym systemie cyberbezpieczeństwa. Nowe przepisy obejmują szerszy zakres podmiotów, wprowadzają bardziej rygorystyczne wymagania dotyczące zarządzania ryzykiem i zgłaszania incydentów, a także przewidują surowsze sankcje za naruszenia. 21 października Rada Ministrów przyjęła projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Jesteśmy co raz bliżej wdrożenia Dyrektywy NIS2 do polskiego prawa.Nowe przepisy to znaczący krok w stronę wzmocnienia bezpieczeństwa cyfrowego i wszystko wskazuje na to, że mogą one zacząć obowiązywać w najbliższym czasie. Warto już teraz być przygotowanym na nadchodzące zmiany – tak by nie być niczym zaskoczonym.Jakie organizacje znajdą się w gronie podmiotów objętych nowymi przepisami? Kolejnym nowym środkiem wprowadzonym w projekcie nowelizacji jest możliwość wydania polecenia zabezpieczającego.

Ministerstwo Cyfryzacji informuje jednak, że prace nad projektem będą kontynuowane w I kwartale 2025 r. Biorąc pod uwagę dotychczasowe opóźnienia i potrzebę uchwalenia ustawy przez Parlament, można się spodziewać, że znowelizowana ustawa o KSC zacznie obowiązywać nie wcześniej niż w połowie bieżącego roku. Nowe sektorowe zespoły CSIRT będą aktywnie wspierać przedsiębiorców – pomogą w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach i zapewnią szkolenia. Kluczowa będzie przy tym współpraca i budowanie wzajemnego zaufania między podmiotami kluczowymi i podmiotami ważnymi z danego sektora a zespołem CSIRT. W drodze polecenia zabezpieczającego można będzie nakazać danej grupie podmiotów określone zachowanie przeciwdziałające incydentowi krytycznemu – np. „zainstaluj poprawkę bezpieczeństwa”, „wycofaj oprogramowanie”, „przeprowadź szacowanie ryzyka”.