Ministerstwo Cyfryzacji zaprezentowało projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa, który ma istotnie wzmocnić ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni. Uwzględnia także przepisy unijnej dyrektywy NIS2, do implementacji, której Polska jest zobowiązana. Nowe regulacje mają zostać przyjęte jeszcze w tym roku.
Obecna ustawa dotycząca cyberbezpieczeństwa została stworzona w 2018 roku. W ciągu ostatnich 6 lat świat cybernetyczny uległ wielu zmianom – zarówno pozytywnym, jak i negatywnym. Dlatego Ministerstwo zdecydowało się na nowelizację, która ma za zadanie poprawić bezpieczeństwo Polski w cyberprzestrzeni.
Projekt ustawy został także zaktualizowany pod względem definicji, które obowiązują według unijnej dyrektywy NIS2. Przykładowo dotychczasowe pojęcie “cyberbezpieczeństwo” zostaje zastąpione przez “bezpieczeństwo systemów informacyjnych”. Modyfikacji uległo też wiele ważnych terminów, takich jak definicja incydentu poważnego, dostawcy dostarczania sieci dostarczania treści, dostawcy usług chmurowych, dostawcy usług DNS i wiele innych.
“Zmiany w Krajowym Systemie Cyberbezpieczeństwa to dla nas priorytetowy projekt na ten rok. Przez ostatnie lata wiele zmieniło się w krajobrazie cyberprzestrzeni, a wyzwań jest coraz więcej biorąc pod uwagę liczbę incydentów i ich konsekwencje. Jesteśmy zdeterminowani, aby wprowadzić nowe prawo szybko, ale zachowując odpowiedni okres dla przedsiębiorców do dostosowania się do regulacji” – podkreślił Krzysztof Gawkowski, wicepremier, minister cyfryzacji.
Ustawa wprowadza zmiany w zakresie:
- podmiotów kluczowych i ważnych;
- zespołów CSIRT;
- systemu S46 i Pojedynczego Punktu Kontaktowego;
- nadzoru i środków egzekwowania przepisów przez organy właściwe ds. cyberbezpieczeństwa;
- kompetencji Ministra Cyfryzacji;
- zmiany obowiązków Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa;
- instytucji dostawcy wysokiego ryzyka.
Ważne zmiany dotyczą przede wszystkim podmiotów kluczowych i ważnych. Podejście oparte na ryzyku zostanie wprowadzone dla tysięcy nowych podmiotów. Te będą musiały na nowych zasadach zgłaszać poważne incydenty do jednostek CSIRT w ściśle określonym w ustawie trybie. Dodatkowo będzie na nich ciążył obowiązek przeprowadzania regularnych audytów bezpieczeństwa co 2 lata.
Zmieni się również sposób identyfikacji obu rodzaju podmiotów, które do tej pory były wyznaczane na podstawie decyzji administracyjnej. Według nowelizacji podmioty miałyby dokonywać samorejestracji np. na dedykowanej stronie internetowej.
Do nowych podmiotów kluczowych i ważnych dołączą takie sektory, jak:
- ścieki;
- zarządzanie usługami ICT;
- przestrzeń kosmiczna;
- usługi pocztowe;
- gospodarowanie odpadami;
- produkcja, wytwarzanie i dystrybucja chemikaliów;
- produkcja, przetwarzanie i dystrybucja żywności;
- produkcja;
- badania naukowe.
Kompetencje organów rządowych
Według ustawy zmianie mają ulec również role ministerialnych organów. Minister ds. informatyzacji ma przede wszystkim prowadzić wykaz podmiotów kluczowych i ważnych. Będzie również odpowiedzialny za przygotowywanie i monitorowanie wykonania
Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie
na dużą skalę.
Rolą Pełnomocnika Rządu ds. Cyberbezpieczeństwa będzie zlecanie przeprowadzania badań i ekspertyz, tworzenie zespołów roboczych oraz koordynacja Połączonego Centrum Operacji w Cyberprzestrzeni i współpraca z innymi organami państwowymi.
Z kolei Kolegium ds. Cyberbezpieczeństwa ma zająć się rozbudową składu, zakresu zadań, kompetencji przewodniczącnego i usprawnieniem funkcjonowania Kolegium.
Inne istotne zmiany, jakie zostaną dokonane w projekcie dotyczą:
- rozszerzenia zakresu Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej;
- wprowadzenia nowego dokumentu strategicznego – pn. Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;
- doprecyzowania zadań organów państwa w obszarze cyberbezpieczeństwa;
- wyznaczenia CSIRT NASK do pełnienia roli krajowego koordynatora w ramach skoordynowanego ujawniania podatności (CVD).
Projekt ustawy został opublikowany na stronie Biuletynu Informacji Publicznej. Konsultacje publiczne potrwają do 24 maja 2024 r.
