Prezydent podpisał ustawę o nowelizacji Krajowego Systemu Cyberbezpieczeństwa (uKSC) wdrażającą dyrektywę NIS2.
Prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberpiezpieczeństwa, wdrażającą do naszego systemu prawnego dyrektywę NIS 2. Jednocześnie skierował ją do kontroli następczej w Trybunale Konstytucyjnym.
Cyberbezpieczeństwo poza sporem politycznym
Nowelizację ustawy o KSC z 2018 roku przyjęto po przeciągających się pracach 23 stycznia 2026 roku. Zaaprobowano ostatecznie 21. wersję noweli (projekt miał być przyjęty w ubiegłej kadencji Sejmu), w 4. wersji obecnego rządu. Ustawa podpisana przez Prezydenta wdraża dyrektywę NIS 2 oraz dokument dotyczący bezpieczeństwa sieci 5G Toolbox 5G do polskiego porządku prawnego. Termin implementacji upłynął 18 października 2024 r.
„Żyjemy w epoce, w której wojna nie zawsze zaczyna się od wystrzału. Czasem zaczyna się od kliknięcia. Liczba cyberataków rośnie dramatycznie. Bezpieczeństwo cyfrowe jest dziś elementem bezpieczeństwa państwa. Ta ustawa wzmacnia mechanizmy obronne, poprawia współpracę instytucji i pozwala eliminować dostawców wysokiego ryzyka. Bezpieczeństwo nie ma barw partyjnych.
Dlatego tę ustawę podpisałem, choć muszę także zareagować na głos przedsiębiorców, którzy uważają, że ustawowe obowiązki stosowane wobec nich są nadmiarowe i nieproporcjonalne. Aspekt ten powinien zbadać Trybunał Konstytucyjny, dlatego w tej sprawie skieruję wniosek o kontrolę następczą” – powiedział Prezydent.
„Za naszą wschodnia granicą toczy się wojna kinetyczna a u nas w kraju… toczy się niewidoczna wojna cybernetyczna. Żyjąc, pracując i rozwijając biznes musimy stawiać cyberbezpieczeństwo jako absolutny priorytet. Podpisanie KSC 2.0 to krok w stronę wzmocnienia cyberbezpieczeństwa Polski” – skomentował Jan Kostrzewa, ekspert cyberbezpieczeństwa i członek rady d.s. Nowych Technologii i Cyfryzacji przy Prezydencie RP.
Nowelizacja ekosystemu instytucjonalnego…
Podczas styczniowych głosowań nad projektem ustawy w Sejmie przyjęto m.in. poprawkę o udziale przedstawiciela Prezydenta RP w pracach nad rządowym planem reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Przyjęto także poprawkę obniżającą wysokości kary nakładanej na kierownictwo (zarządy) firm kluczowych i ważnych za niedopełnienie przez organizację obowiązków wynikających z ustawy z 300% do 100% ekwiwalentu urlopowego.
Nowelizacja rozszerza katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) o nowe sektory gospodarki. Dodaje takie sektory jak np. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności.
Nowe zespoły CSIRT będą w tych sektorach wspierać obsługę incydentów i budować bazę wiedzy o zagrożeniach oraz podatnościach. Co więcej, nowelizacja rozszerza Strategię Cyberbezpieczeństwa RP na wszystkie sektory z podmiotami kluczowymi i ważnymi. Wprowadza także Krajowy plan reagowania na incydenty i sytuacje kryzysowe.
W myśl podpisanej dziś przez Prezydenta ustawy, organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje. Organy właściwe ds. cyberbezpieczeństwa danych sektorów (ministrowie, Komisja Nadzoru Finansowego, czy Prezes UKE) będą mogły:
wydawać ostrzeżenia, wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy, nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.
Minister Cyfryzacji będzie mógł wydawać m.in. polecenia zabezpieczające. Dzięki temu ograniczy skutki trwającego incydentu krytycznego.
CSIRT-y poziomu krajowego zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty. Funkcjonujące już Połączone Centrum Operacyjne Cyberbezpieczeństwa stanie się punktem wymiany informacji o cyberzagrożeniach, incydentach i podatnościach.
… i obowiązków
Implementowana wraz z nowelą dyrektywa NIS 2 wprowadza wspomniany już podział na podmioty kluczowe i ważne w strategicznych sektorach państwa. Dotyczy to takich dziedzin jak energetyka, transport, bankowość i wodociągi. Przepisy uznają przy tym zasadę samookreślenia (self-assessment) podmiotów kluczowych i ważnych. Oznacza to, że muszą same deklarować, czy do takiej kategorii należą. Oznacza to obowiązek rejestracji poprzez złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych.
Do podstawowych obowiązków podmiotów kluczowych oraz ważnych należy wdrożenie systemu zarządzania bezpieczeństwem informacji. Polski ustawodawca nie wprowadził wielu różnic w stosunku do dyrektywy NIS2 w kwestii środków zarządzania ryzykiem. Dotyczy to szacowania ryzyka (oraz odpowiednie polityki z tego zakresu), zarządzania incydentami i zapewnienia bezpieczeństwa łańcucha dostaw. Polska ustawa zawęża jednak zakres tego ostatniego obowiązku do dostawców produktów ICT, usług ICT oraz procesów ICT.
