Sejm uchwalił nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa

Sejm uchwalił nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS2. Nowe przepisy znacząco rozszerzają zakres regulacji, wzmacniają instytucje odpowiedzialne za reagowanie na incydenty i nakładają dodatkowe obowiązki na kluczowe podmioty gospodarki.

Rozszerzenie systemu i nowe sektory

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa istotnie poszerza katalog sektorów objętych regulacją. Do systemu włączono m.in. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczną, a także produkcję i dystrybucję chemikaliów oraz żywności. Zmiana ta ma zwiększyć odporność cyfrową obszarów szczególnie wrażliwych z punktu widzenia bezpieczeństwa państwa i ciągłości świadczenia usług.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa to kompleksowa regulacja, która ma wzmocnić ochronę obywateli i instytucji przed cyberzagrożeniami – powiedział Krzysztof Gawkowski, wicepremier i minister cyfryzacji.

Jak podkreślił, nowe przepisy wprowadzają jasne zasady odpowiedzialności oraz realnie zwiększają stabilność usług i ochronę danych.

Wraz z rozszerzeniem zakresu regulacji powstaną sektorowe zespoły CSIRT, które będą odpowiadać za obsługę incydentów w konkretnych branżach. Ma to poprawić skuteczność reagowania oraz umożliwić budowę wyspecjalizowanej wiedzy o zagrożeniach i podatnościach charakterystycznych dla danego sektora.

Większe kompetencje instytucji państwa

Nowe przepisy wzmacniają rolę organów odpowiedzialnych za cyberbezpieczeństwo. Ministrowie właściwi dla poszczególnych sektorów, Komisja Nadzoru Finansowego oraz Prezes Urzędu Komunikacji Elektronicznej zyskają m.in. możliwość wydawania ostrzeżeń, nakładania obowiązku przeprowadzenia audytów bezpieczeństwa czy wyznaczania urzędnika monitorującego realizację obowiązków przez podmioty kluczowe.

Minister Cyfryzacji będzie mógł wydawać polecenia zabezpieczające w sytuacji incydentów krytycznych oraz prowadzić programy edukacyjne z zakresu cyberbezpieczeństwa. Wzmocniona zostanie także rola Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, który otrzyma uprawnienia do wydawania rekomendacji, żądania informacji oraz zlecania badań.

Nowelizacja rozszerza Strategię Cyberbezpieczeństwa RP na wszystkie sektory z podmiotami kluczowymi i ważnymi oraz wprowadza Krajowy plan reagowania na incydenty i sytuacje kryzysowe – powiedział Paweł Olszewski, wiceminister cyfryzacji.

Nowe obowiązki dla firm i dostawców

Dyrektywa NIS2 wprowadza podział na podmioty kluczowe i ważne, działające m.in. w energetyce, transporcie, bankowości czy gospodarce wodnej. Na podmioty te nałożono obowiązek wdrożenia adekwatnych środków technicznych i organizacyjnych oraz osobistą odpowiedzialność kierownictwa za realizację zadań z zakresu cyberbezpieczeństwa. Zgłaszanie incydentów zostanie uproszczone dzięki systemowi S46, który umożliwi bezpośrednią komunikację z zespołami CSIRT.

Ustawa wprowadza również procedurę uznania firmy za dostawcę wysokiego ryzyka. W takich przypadkach podmioty istotne dla funkcjonowania państwa nie będą mogły korzystać z jego produktów, a już wykorzystywany sprzęt lub usługi będą musiały zostać wycofane w ciągu 7 lat.

Sejm przyjął także poprawki przewidujące dwuletni okres przejściowy przed nakładaniem kar administracyjnych oraz udział przedstawiciela Prezydenta RP w pracach nad krajowym planem reagowania na incydenty. Ma to umożliwić firmom i instytucjom realne przygotowanie się do nowych wymagań.