Zmiany mają na celu wzmocnienie odporności państwa oraz organizacji publicznych i prywatnych na rosnące zagrożenia w cyberprzestrzeni, a także poprawę zdolności reagowania na incydenty cyberbezpieczeństwa. Projekt ustawy trafi teraz do Senatu, który ma 30 dni na jej rozpatrzenie.
Rozszerzenie KSC na nowe sektory gospodarki
Nowelizacja przewiduje objęcie krajowym systemem cyberbezpieczeństwa kolejnych sektorów uznanych za szczególnie wrażliwe. Do katalogu podmiotów KSC włączono m.in. usługi pocztowe, odprowadzanie ścieków, produkcję i dystrybucję chemikaliów oraz żywności, a także sektor kosmiczny. Zmiany te mają zwiększyć poziom ochrony cyfrowej w obszarach kluczowych dla funkcjonowania państwa.
Sektorowe zespoły CSIRT
Ustawa przewiduje rozwój sektorowych zespołów CSIRT, których zadaniem będzie wsparcie podmiotów w reagowaniu na incydenty cyberbezpieczeństwa. Zespoły te mają również gromadzić i analizować informacje o zagrożeniach oraz podatnościach charakterystycznych dla poszczególnych sektorów, co ma przełożyć się na skuteczniejsze działania prewencyjne.
Nowe kompetencje organów odpowiedzialnych za cyberbezpieczeństwo
Nowelizacja wzmacnia uprawnienia organów właściwych do spraw cyberbezpieczeństwa, w tym ministrów nadzorujących poszczególne sektory, Komisji Nadzoru Finansowego oraz Prezesa Urzędu Komunikacji Elektronicznej.
Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego, czy Prezes UKE) będą mogły:wydawać ostrzeżenia, wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy, nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.Minister Cyfryzacji będzie mógł wydawać m.in. polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa.Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa zyska nowe uprawnienia. Będzie on mógł:wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów KSC; żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań; kupować oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.
Podmioty kluczowe i ważne
Implementacja dyrektywy NIS2 wprowadza podział na podmioty kluczowe i podmioty ważne działające w strategicznych sektorach, takich jak energetyka, transport, bankowość czy wodociągi. Nałożono na nie obowiązek stosowania adekwatnych środków technicznych i organizacyjnych oraz zwiększoną odpowiedzialność kierownictwa za realizację zadań z zakresu cyberbezpieczeństwa. Usprawniono również zasady zgłaszania incydentów do zespołów CSIRT.
Nowe obowiązki dla przedsiębiorców
Podmioty objęte KSC będą zobowiązane do przeanalizowania swoich zasobów, identyfikacji zagrożeń cybernetycznych, przeglądu obowiązujących procedur oraz zapewnienia odpowiednich szkoleń pracowników. Wymagania te mają być dostosowane do wielkości podmiotu oraz charakteru świadczonych usług.
Procedura uznania dostawców wysokiego ryzyka
Ustawa wprowadza procedurę uznania dostawcy za wysokiego ryzyka, której celem jest eliminacja niebezpiecznych produktów i usług z kluczowych systemów państwa. Decyzje w tym zakresie będą podejmowane w ramach wieloetapowego postępowania administracyjnego. Podmioty istotne dla funkcjonowania państwa nie będą mogły korzystać z rozwiązań dostawców uznanych za wysokiego ryzyka, a w przypadku ich posiadania – będą zobowiązane do ich stopniowego wycofania.
Uchwalenie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa stanowi istotny krok w kierunku wzmocnienia odporności cyfrowej państwa oraz zwiększenia odpowiedzialności organizacji za zarządzanie ryzykiem cybernetycznym. Dowiedz się więcej na gov.pl
Dalszy przebieg procesu legislacyjnego
Po uchwaleniu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa przez Sejm, projekt przechodzi kolejne etapy procesu legislacyjnego:
Senat RP – ustawa trafia do Senatu, który ma 30 dni na jej rozpatrzenie. Senat może przyjąć ustawę bez zmian, zaproponować poprawki lub podjąć uchwałę o jej odrzuceniu.
Sejm (ponowne rozpatrzenie) – w przypadku wniesienia poprawek lub odrzucenia ustawy przez Senat, Sejm ponownie głosuje nad stanowiskiem Senatu.
Prezydent RP – Po przedstawieniu ustawy Prezydentowi do podpisu, Prezydent ma 21 dni na jej podpisanie, skierowanie do Trybunału Konstytucyjnego albo podjęcie decyzji o jej zawetowaniu.
