Zakończono prace nad zmianą w KSC. Wprowadzono istotne zmiany w kontekście ochrony polskiej infrastruktury przed cyberatakami

Ministerstwo Cyfryzacji poinformowało, że prace nad projektem ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) zostały zakończone. Projekt ustawy wprowadza ważne modyfikacje w zarządzaniu bezpieczeństwem cyfrowym w naszym kraju. 

Wicepremier i minister cyfryzacji Krzysztof Gawkowski pokreślił, że to znaczące wydarzenie w kontekście cyberbezpieczeństwa Polski: „Nowa ustawa o KSC stworzy ramy prawne, które pozwolą jeszcze lepiej chronić strategiczne sektory przed atakami w sieci, a także wzmocnić mechanizmy nadzoru i kontroli. Jestem pewien, że nowe przepisy szybko przełożą się na wzrost poziomu bezpieczeństwa i lepszą ochronę naszych obywateli oraz kluczowych sektorów gospodarki”.

Projekt nowelizacji ustawy o KSC uwzględnia między innymi nowe zasady nadzoru i kontroli nad istotnymi podmiotami, w skład których wchodzą m.in. banki, firmy telekomunikacyjne i te związane z sektorem energetycznym. Wprowadzono możliwość wyznaczania jednego organu wiodącego do sprawowania nadzoru, co usprawni współpracę i umożliwia szybsze reagowanie na zagrożenia oraz przepływ informacji.

Nowelizacja przewiduje dokładne zasady dotyczące urzędników monitorujących. Będą oni wykonywali powierzone im zadania przez czas określony, nie dłuższy niż miesiąc. Podmiot kluczowy będzie musiał być wcześniej powiadomiony o oględzinach systemów IT.

Ustawa dodaje do wachlarza środków bezpieczeństwa procedurę przeprowadzania kontroli doraźnych, np. na wniosek urzędnika monitorującego, alarmującym, że podmiot może naruszać przepisy ustawy które pozwolą na natychmiastowe działania w przypadku zagrożenia.

Projekt przewiduje ponadto nowe zasady nakładania kar pieniężnych, których wysokość będzie zależała od szeregu kryteriów, w tym rodzaju i skali naruszenia, czasu jego trwania, ale także możliwości finansowych podmiotu i poziomu współpracy z organami nadzoru. Jednocześnie złagodzone zostały przepisy dotyczące okresowej kary pieniężnej.

Warto podkreślić, że w trakcie konsultacji społecznych swoje stanowisko do projektu przedstawiło 215 interesariuszy. Ministerstwo Cyfryzacji uwzględniło około 70% z ich propozycji, które mają usprawnić nadzór i jeszcze bardziej zwiększyć przejrzystość przepisów. Zmiany te zostały wprowadzone na podstawie szczegółowej analizy uwag zebranych od podmiotów publicznych, firm oraz ekspertów rynku.

„Przygotowaliśmy przemyślane rozwiązania, które usprawnią nadzór nad kluczowymi podmiotami systemu cyberbezpieczeństwa w Polsce. Wsłuchaliśmy się uważnie w głos przedstawicieli podmiotów publicznych, firm oraz ekspertów rynku podczas konsultacji społecznych. Uwzględniliśmy większość uwag, co pokazuje naszą otwartość na dialog i chęć doskonalenia przepisów. Dzięki temu wprowadziliśmy poprawki, które jeszcze bardziej wzmacniają skuteczność ustawy” – dodaje Paweł Olszewski, wiceminister cyfryzacji.

Co dalej z projektem zmiany w ustawie o KSC?

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa trafi teraz do dalszego procedowania przez właściwe komitety Rady Ministrów, a następnie zostanie skierowany do rozpatrzenia przez Radę Ministrów. Równolegle projekt zostanie przekazany do Komisji Wspólnej Rządu i Samorządu Terytorialnego. Projekt ma zostać przekazany do prac w sejmowych jeszcze w tym roku.

Prawdopodobnie tak będzie przebiegał teraz terminarz prac nad wprowadzeniem zmian w KSC (graf. Ministerstwo Cyfryzacji)

Ministerstwo podało prawdopodobny terminarz procedowania ustawy. Ze zrozumiałych przyczyn, wprowadzenie zmian zapisanych w projekcie ustawy jest dość kontrowersyjne. Zasady w niej wprowadzone wykraczają bowiem poza regulacje wynikające z NIS2 i tzw. Toolbox 5G.