Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa - podstawowe informacje
Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązuje do 1 sierpnia 2018 r.
Te kilka lat z perspektywy cyberprzestrzeni to jednak bardzo wiele. Ilość incydentów w cyberprzestrzeni ciągle rośnie, a ich sprawcy używają coraz bardziej zaawansowanych metod ataku. Co więcej, zagrożenia dotyczą nie tylko podmiotów prywatnych, ale także podmiotów publicznych. Z racji tego, że coraz więcej procesów w organizacjach jest przenoszonych do cyberprzestrzeni incydenty mogą godzić w podstawowe dobra obywateli UE, począwszy od dostępu do wody, poprzez wywóz śmieci, aż do produkcji i dystrybucji żywności. Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa jest krokiem w kierunku wdrożenia dyrektywy NIS2 (Network and Information Systems Directive 2) do polskiego prawa. Obejmuje ona szereg istotnych zmian, które mają na celu zwiększenie poziomu ochrony cyberprzestrzeni w Polsce do poziomu, jaki jest oczekiwany na całym obszarze UE.
Nowelizacja jest szczególnie istotna w kontekście rosnących napięć międzynarodowych i grup przestępczych wspieranych przez niektóre aparaty państwowe.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) w Polsce wprowadza kilka kluczowych zmian, które mają na celu poprawę ochrony cyberprzestrzeni w kraju. Oto najważniejsze z tych zmian:
1. Rozszerzenie katalogu podmiotów zobowiązanych do wdrażania środków cyberbezpieczeństwa.
Nowelizacja rozszerza katalog podmiotów, które muszą wdrażać środki cyberbezpieczeństwa. Zobacz rozdział: Zakres podmiotowy – kogo dotyczy nowelizacja?
2. Obowiązek samodzielnej rejestracji w wykazie prowadzonym przez Ministerstwo Cyfryzacji.
Podmioty działające w sektorach wskazanych w ustawie muszą samodzielnie ocenić, czy nowe przepisy będą się do nich stosować, a następnie samodzielnie zarejestrować się w wykazie prowadzonym przez Ministerstwo Cyfryzacji.
3. Wdrożenia systemu zarządzania bezpieczeństwem informacji.
Podmioty istotne i podmioty ważne będą musiały wdrożyć system zarządzania bezpieczeństwem informacji dla procesów wpływających na świadczenie usług.
Chodzi tutaj m.in. o rozwiązania polegające na:
- prowadzeniu systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem;
- wdrożeniu odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażeniu podmiotu na ryzyka
- zarządzaniu incydentami
- stosowaniu środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi
4. Wprowadzenie odpowiedzialności kierownika podmiotu kluczowego lub ważnego.
Zgodnie z projektem ustawy kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa przez podmiot kluczowy lub podmiot ważny, nawet jeżeli powierzył zadania w tym zakresie innej osobie.
5. Obowiązki dotyczące raportowania incydentów:
Zostają wprowadzone bardziej szczegółowe i rygorystyczne przepisy dotyczące raportowania incydentów cyberbezpieczeństwa. Podmioty zobowiązane będą musiały raportować o incydentach w określonym czasie i formie, co ma na celu szybszą reakcję na zagrożenia.
6. Audyty bezpieczeństwa.
Zgodnie z projektem podmiot kluczowy lub podmiot ważny ma obowiązek zapewnić przeprowadzenie, na własny koszt, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi i przedstawić właściwemu organowi sprawozdanie z tego audytu.
7. Wzmocnienie roli organów nadzoru.
Nowelizacja wzmacnia rolę i uprawnienia organów nadzoru nad systemem cyberbezpieczeństwa, w tym m.in. Ministerstwa Cyfryzacji i Agencji Bezpieczeństwa Wewnętrznego. Organy te będą miały większe możliwości monitorowania i egzekwowania przepisów dotyczących cyberbezpieczeństwa.
8. Wprowadzenie sankcji za nieprzestrzeganie przepisów.
Nowelizacja przewiduje sankcje za nieprzestrzeganie przepisów dotyczących cyberbezpieczeństwa. Sankcje mogą obejmować kary finansowe oraz inne środki mające na celu wymuszenie przestrzegania przepisów.
Naruszenie przepisów na podmioty kluczowe i podmioty ważne może zostać nałożona kara pieniężna w wysokości:
- do 10 milionów euro lub 2% przychodów osiągniętych w poprzednim roku obrotowym, ale nie mniej niż 20 000 zł – w przypadku podmiotów kluczowych,
- do 7 milionów euro lub 1,4% przychodów osiągniętych w poprzednim roku obrotowym, nie mniej niż 15 000 zł – w przypadku podmiotów ważnych.
9. Nowe mechanizmy współpracy międzynarodowej.
W ustawie pojawiają się nowe mechanizmy współpracy międzynarodowej w zakresie cyberbezpieczeństwa, co ma na celu lepszą koordynację działań z innymi krajami i organizacjami międzynarodowymi.
Te zmiany mają na celu zwiększenie poziomu ochrony przed cyberzagrożeniami oraz usprawnienie systemu reagowania na incydenty związane z cyberbezpieczeństwem w Polsce.
Kontekst - NIS2
Czym jest NIS2?
NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148) to zaktualizowana wersja dyrektywy NIS, która została wprowadzona przez Unię Europejską w celu zwiększenia poziomu cyberbezpieczeństwa na terenie całej wspólnoty. Dyrektywa NIS2 wprowadza nowe, bardziej rygorystyczne wymagania dotyczące ochrony sieci i systemów informatycznych oraz zarządzania ryzykiem cybernetycznym.
Dyrektywa NIS2 obowiązuje wszystkie państwa UE od 16 stycznia 2023 r. Termin jej wdrożenia do polskiego prawa to 17 października 2024 r.
Cele NIS2
- Zwiększenie poziomu ochrony: Wzmocnienie środków ochrony sieci i systemów informacyjnych.
- Zarządzanie ryzykiem: Promowanie podejścia opartego na zarządzaniu ryzykiem i analizie zagrożeń.
- Wzmocniona współpraca: Poprawa współpracy pomiędzy państwami członkowskimi UE w zakresie reagowania na incydenty cyberbezpieczeństwa.
- Obowiązki raportowania: Wprowadzenie bardziej rygorystycznych wymogów raportowania incydentów cyberbezpieczeństwa.
Zakres podmiotowy - kogo dotyczy nowelizacja?
PODMIOTY KLUCZOWE:
- Energia
- Transport
- Bankowość i infrastruktura rynków finansowych
- Ochrona zdrowia
- Zaopatrzenie w wodę pitną i jej dystrybucja
- Ścieki
- Infrastruktura cyfrowa
- Zarządzanie usługami ICT
- Przestrzeń kosmiczna
- Administracja publiczna
- Produkcja, wytwarzanie i dystrybucja chemikaliów
- Produkcja, przetwarzanie i dystrybucja żywności
- Produkcja (m.in. wyrobów medycznych, komputerów, urządzeń elektrycznych, samochodów)
PODMIOTY WAŻNE:
- Usługi pocztowe
- Gospodarowanie odpadami (m.in. zbieranie odpadów, transport odpadów, przetwarzanie odpadów)
- Dostawcy usług cyfrowych
- Badania naukowe
Czy nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa dotyczy mojego podmiotu?
Nowe obowiązki nie będą dotyczyć wszystkich firm. Konieczność przystosowania się do nowych przepisów będzie uzależniona od wielkości przedsiębiorstwa – ustawa będzie obowiązywać tylko duże i średnie przedsiębiorstwa. Ponadto, ustawie będą podlegać niektóre firmy niezależnie od wielkości. Należą do nich m.in. dostawcy kwalifikowanych usług zaufania oraz operatorzy komunikacji elektronicznej. Ponadto, to że Państwa przedsiębiorstwo znajduje się na liście branż wymienionych w Ustawie nie musi jeszcze świadczyć o tym, że będą nałożone na Państwa nowe obowiązki. W tym zakresie konieczne jest dokonanie szczególnej analizy.
Ile mam czasu na przygotowanie się do nowych regulacji?
Ministerstwo Cyfryzacji planuje, że ustawa wejdzie w życie w czwartym kwartale tego roku. Nie oznacza to jednak, że wszystkie obowiązki będą musiały być natychmiast spełnione.
Podmioty, które już teraz spełniają kryteria uznania za kluczowe lub ważne, będą miały 6 miesięcy na dostosowanie się do nowych przepisów od momentu wejścia ustawy w życie. Natomiast podmioty, które zostaną uznane za kluczowe lub ważne dopiero po wejściu ustawy w życie, będą miały 6 miesięcy na spełnienie tych wymagań od momentu uznania ich za takie podmioty.
Pierwszy audyt będzie musiał zostać przeprowadzony w ciągu 12 miesięcy od spełnienia kryteriów uznania za podmiot kluczowy lub ważny
FAQ
Szacunki Ministerstwa Cyfryzacji wskazują, że nowelizacją zostanie objęte około 38 tys. podmiotów.
Nowe przepisy mają wejść w życie w ciągu 1 miesiąca od opublikowania w dzienniku ustaw. Podmioty objęte zakresem przepisów będą miały 6 miesięcy na dostosowanie swojej działalności do nowych wymogów.
Praktyka wskazuje, że wdrożenie nowych rozwiązań w zakresie cyberbezpieczeństwa jest żmudne i czasochłonne. Najczęściej wiąże się z koniecznością zatrudnienia zespołu zewnętrznych specjalistów, wymiany infrastruktury, zmiany procesów, czy przeszkolenia pracowników. W naszej ocenie dobrze jest dać sobie około roku czasu na przystosowanie się do nowych obowiązków.
Przed nowelizacją status podmiotu kluczowego nabywało się na mocy decyzji administracyjnej. Po nowelizacji status podmiotu kluczowego, lub ważnego organizacja nabędzie z mocy prawa. Oznacza to, że organizacja sama powinna ocenić, czy nowe regulacje jej dotyczą, a jeżeli tak, to zgłosić się / zarejestrować w nowym dedykowanym do tego systemie. Innymi słowy – organizacja sama identyfikuje się jako podmiot kluczowy, lub ważny, a jeżeli tego nie zrobi to naraża się na sankcje.
Jeżeli obecny system zarządzania bezpieczeństwem informacji spełnia wymagania norm PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301 to nie ma takiej konieczności.
Kierownikiem jednostki jest kierownik w rozumieniu art. 3 pkt 6 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2023 r. poz. 120, 295 i 1598) kierujący podmiotem kluczowym lub podmiotem ważnym
Kierownik podmiotu za niewykonywanie obowiązków podlega karze pieniężnej. Kara pieniężna może być wymierzona w kwocie nie większej niż 600% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop
I tak i nie. Przede wszystkim organizacja będzie musiała podjąć adekwatne środki do ryzyka, jakie występuje w organizacji. To będzie oznaczać, że w praktyce realizacja obowiązków, o których mowa w ustawie będzie się różnić, tak jak różnią się między sobą podmioty i występujące w nich ryzyko. Ponadto Rada Ministrów będzie mogła określić dla każdego sektora – w drodze rozporządzenia – szczegółowe wymagania odrębnie dla każdego rodzaju działalności.
To wszystko zależy od organizacji, dotychczasowego podejścia do cyberbezpieczeństwa, stanu obecnej infrastruktury i systemu zarządzania bezpieczeństwem. Koszty należy na ogół raczej szacować w dziesiątkach tysięcy złotych.
Projekt określa minimalny poziom kar finansowych na poziomie 20000 zł w przypadku podmiotów kluczowych oraz 15000 zł w przypadku podmiotów ważnych.
Maksymalnie natomiast za naruszenie przepisów na podmioty kluczowe i podmioty ważne może zostać nałożona kara pieniężna w wysokości:
- do 10 milionów euro lub 2% przychodów osiągniętych w poprzednim roku obrotowym
- do 7 milionów euro lub 1,4% przychodów osiągniętych w poprzednim roku obrotowym
Gdzie znajdę projekty nowych regulacji?
Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, a także przebieg procesu legislacyjnego jest dostępny pod linkiem: https://legislacja.gov.pl/projekt/12384504
W czym możemy Ci pomóc?
Nasza kancelaria oferuje:
wsparcie dla Klientów co do interpretacji poszczególnych przepisów ustawy o krajowym systemie cyberbezpieczeńśtwa i projektu nowelizacji, w tym także tego, czy i w jakim zakresie organizacja jest objęta nowymi regulacjami oraz jakie nowe obowiązki wynikają dla naszych Klientów z tej ustawy.
wsparcie i zastępstwo w postępowaniach administracyjnych prowadzonych na podstawie ustawy o krajowym systemie cyberbezpieczeństwa (np. w przypadku uznania danego dostawcy sprzętu lub oprogramowania za tzw. dostawcę wysokiego ryzyka)