Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa
Unijna Dyrektywa NIS 2 w terminie do 17. 10.2024 r. miała zostac zaimplementowana w krajach członkowskich w tym oczywiście Polski. W dniu 07 października pojawił się drugi projekt ustawy o krajowym systemie cyberbezpieczeństwa. Uwzględnia ona częściowo uwagi zgłoszone w ramach konsultacji publicznych oraz międzyresortowych. Nadal otwarte pozostaje jednak pytanie o datę jej wejścia i końcowy kształt. Wskazywana data 31.12.2024 r. staje się raczej coraz bardziej nierealny. Możemy jednak dokonać analizy zmian wprowadzonych przez Ministerstwo Cyfryzacji względem pierwszego projektu ustawy z dnia 23 kwietnia br.
Co zmieni nowelizacja ustawy o KSC?
1. Wydłużone terminy dla podmiotów kluczowych i ważnych
Nowelizacja ustawy znacząco wpływa na terminy realizacji obowiązków przez podmioty kluczowe i ważne. Przede wszystkim wydłużono czas na dokonanie rejestracji w wykazie podmiotów. Obecnie, zgodnie z projektem ustawy, podmioty te mają 3 miesiące od wejścia w życie ustawy na złożenie wniosku o wpis w wykazie, co jest zmianą w stosunku do poprzedniej wersji projektu, która przewidywała 2 miesiące.
2. Audyty cyberbezpieczeństwa – zmiany w obowiązkach
Jedną z kluczowych zmian jest ograniczenie obowiązku przeprowadzania audytów wyłącznie do podmiotów kluczowych. Jednak w ustawie znajduje się zapis, iż „ Organ właściwy do spraw cyberbezpieczeństwa w przypadku wystąpienia incydentu poważnego lub innego naruszenia przepisów ustawy przez podmiot kluczowy lub podmiot ważny, może nakazać temu podmiotowi, w drodze decyzji, przeprowadzenie zewnętrznego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, wraz z określeniem terminu przekazania kopii raportu z przeprowadzonego audytu i wskazaniem rodzaju podmiotów uprawnionych do przeprowadzenia audytu. Organ właściwy do spraw cyberbezpieczeństwa może również określić zakres audytu”. Podmioty ważne zatem również w określonych warunkach mogą zostać objęte obowiązkiem wykonania audytu. Ponadto, wydłużono terminy dotyczące realizacji audytów – podmioty kluczowe muszą przeprowadzić pierwszy audyt w ciągu 24 miesięcy od wejścia w życie ustawy, a kolejne audyty mają odbywać się co 36 miesięcy.
3. System zarządzania bezpieczeństwem informacji
Nowy projekt ustawy utrzymuje obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji dla podmiotów kluczowych i ważnych. Zgodnie z nowelizacją, podmioty te muszą wdrożyć odpowiednie środki techniczne i organizacyjne w swoich systemach IT, aby zapewnić ciągłość działania i bezpieczeństwo. Czas na wdrożenie tego obowiązku wynosi 6 miesięcy od wejścia w życie ustawy. Z projektu usunięto jednak domniemanie zgodności z wymogami w przypadku spełniania norm ISO/IEC 27001 oraz ISO/IEC 22301, co jest istotną zmianą.
4. Kary finansowe – brak istotnych zmian
Projekt nie wprowadza większych zmian w zakresie wysokości kar finansowych dla podmiotów kluczowych i ważnych, ale rozszerzono katalog sytuacji, w których mogą zostać nałożone kary. Kary te mogą wynosić do 10 mln EUR lub 2% rocznego przychodu w przypadku podmiotów kluczowych, a w przypadku podmiotów ważnych – do 7 mln EUR lub 1,4% przychodu. W skrajnych przypadkach, jeśli naruszenie zagrozi bezpieczeństwu państwa, kary mogą sięgać nawet 100 mln zł.
Zakres podmiotowy nowelizacji
Nowelizacja wprowadza zmiany dotyczące kryteriów uznania podmiotów za kluczowe i ważne. Teraz za podmioty kluczowe uznaje się jedynie duże przedsiębiorstwa działające w sektorach kluczowych, podczas gdy za podmioty ważne – średnie przedsiębiorstwa działające w tych samych sektorach. Dodatkowo zmodyfikowano sektor produkcyjny, przenosząc niektóre branże do kategorii podmiotów ważnych, co jest zgodne z systematyką dyrektywy NIS 2.
Nowe regulacje dla podmiotów publicznych
Projekt nowelizacji ustawy o KSC wprowadza nowe przepisy dotyczące podmiotów publicznych. Organy administracji rządowej oraz jednostki samorządowe będą mogły wyznaczać jednostki odpowiedzialne za realizację obowiązków związanych z cyberbezpieczeństwem. W ten sposób możliwe będzie wspólne wykonywanie zadań przez różne podmioty publiczne, co ma na celu zwiększenie efektywności i koordynacji działań w obszarze cyberbezpieczeństwa.
Podsumowanie
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to krok w stronę dostosowania polskich przepisów do wymogów dyrektywy NIS 2, a także wzmocnienia ochrony przed zagrożeniami w cyberprzestrzeni.
Zmiany obejmują zarówno wydłużenie terminów realizacji obowiązków przez podmioty kluczowe i ważne, jak i uproszczenia w zakresie audytów bezpieczeństwa oraz zarządzania systemami IT.
Właściwe dostosowanie się do nowych regulacji pomoże uniknąć surowych kar finansowych i zapewnić wysoki poziom bezpieczeństwa w organizacjach.