Ministerstwo Cyfryzacji zakończyło prace nad projektem ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wprowadza ważne modyfikacje w zarządzaniu bezpieczeństwem cyfrowym w Polsce. Tym samym prace nad nowelizacją, które trwają już jakieś 4 lata, weszły w nowy etap.

Jak zapewnia resort, projekt zmieniono uwzględniając uwagi ekspertów. Ma on też odpowiadać na rosnące zagrożenia cyberatakami i potrzeby rynku.

„Nowa ustawa o KSC stworzy ramy prawne, które pozwolą jeszcze lepiej chronić strategiczne sektory przed atakami w sieci, a także wzmocnić mechanizmy nadzoru i kontroli” – twierdzi wicepremier i minister cyfryzacji Krzysztof Gawkowski.

Najważniejsze zmiany w nowym projekcie nowelizacji ustawy o KSC:

1 Nowe zasady nadzoru i kontroli
Według zapewnień, projekt wprowadza bardziej przejrzyste zasady nadzoru nad podmiotami kluczowymi i ważnymi (definiuje je dyrektywa NIS2), w tym bankami, firmami telekomunikacyjnymi i sektorem energetycznym. Będzie można wyznaczyć jeden organ wiodący do sprawowania nadzoru, co ma usprawnić współpracę i reagowanie na zagrożenia, a także zmniejszyć uciążliwości dla nadzorowanych firm.

2 Kontrole doraźne
Nowością są kontrole doraźne, które pozwolą na natychmiastowe działania w przypadku zagrożenia. Będą mogły być przeprowadzane m.in. po zgłoszeniu przez urzędnika monitorującego, że firma może naruszać przepisy ustawy.

3 Kary pieniężne
Projekt przewiduje nowe zasady nakładania kar. Ich wysokość będzie zależała od szeregu kryteriów, w tym rodzaju i skali naruszenia, czasu jego trwania, ale także możliwości finansowych podmiotu i poziomu współpracy z organami nadzoru. Złagodzone zostały przepisy dotyczące okresowej kary pieniężnej.

4 Urzędnik monitorujący
Sprecyzowano zasady dotyczące urzędników monitorujących. Będą oni wykonywali powierzone im zadania przez czas określony nie dłuższy niż miesiąc. Podmiot kluczowy będzie musiał być wcześniej powiadomiony o oględzinach systemów IT.

Inne istotne zmiany:

  • zmiany w definicji dostawców usług zarządzanych w zakresie cyberbezpieczeństwa
  • doprecyzowanie kryteriów klasyfikacji podmiotów kluczowych i ważnych
  • status podmiotu kluczowego i ważnego będzie badany raz w roku przy sporządzaniu sprawozdania finansowego
  • audyt cykliczny co 3 lata (poprzednio co 2 lata) wyłącznie dla podmiotów kluczowych
  • wydłużenie czasu na zgłoszenie wczesnego ostrzeżenia przez przedsiębiorców telekomunikacyjnych z 12 godz. na 24 godz.
  • wdrożenie Toolbox 5G (zestaw środków dotyczący minimalnej harmonizacji i standaryzacji na poziome UE rozwiązań cyberbezpieczeństwa sieci 5G)

Dostawca wysokiego ryzyka zostaje
Z informacji wynika, że w projekcie pozostają paragrafy dotyczące dostawcy wysokiego ryzyka, które uznaje się za uderzające przede wszystkim w Huawei. Nowelizacja KSC przewiduje usunięcie sprzętu i oprogramowania takiej firmy, uznanej za ryzykownego dostawcę, w ciągu najpóźniej 7 lat z infrastruktury teleinformatycznej.

W konsultacjach społecznych według ministerstwa swoje stanowisko do projektu przedstawiło 215 interesariuszy, a resort uwzględnił około 70 proc. z propozycji.

Dokument zostanie skierowany do rozpatrzenia przez komitety Rady Ministrów oraz do Komisji Wspólnej Rządu i Samorządu Terytorialnego. Do Sejmu ma trafić jeszcze w tym roku.