Uprzejmie informujemy, że do konsultacji publicznych został skierowany projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.

Projektowana ustawa ma na celu wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. Urz. UE L 333 z 27.12.2022 str. 80).

Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych określony w dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 194 z 19.07.2016, str. 1), zwanej dalej „dyrektywą NIS 1”, na podmioty kluczowe i podmioty ważne. Ponadto rozszerzeniu uległ katalog sektorów objętych dyrektywą. Dyrektywa NIS 2 nakłada również szereg obowiązków na podmioty kluczowe i podmioty ważne. Jako podstawowy obowiązek należy wskazać stosowanie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.

Do tej pory zostały utworzone tylko dwa sektorowe zespoły cyberbezpieczeństwa – CSIRT KNF i CSIRT Centrum e-Zdrowie. W pozostałych sektorach gospodarki brakuje zespołów wspierających przedsiębiorców w reagowaniu na incydenty. Utworzenie tych zespołów przewiduje Inwestycja C3.1.1 KPO Cyberbezpieczeństwo – CyberPL, infrastruktura przetwarzania danych oraz optymalizacja infrastruktury służb państwowych odpowiedzialnych za bezpieczeństwo. Planowana jest realizacja projektu pod nazwą „utworzenie lub rozwój przynajmniej 5 sektorowych Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT)”.

Nowelizacja ustawy o KSC polega w szczególności na:

• rozszerzeniu katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki (ścieki, zarządzanie ICT, przestrzeń kosmiczna, poczta, produkcja, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności);
• nałożeniu obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe i podmioty ważne w cyberbezpieczeństwie, dotyczące w szczególności stosowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych, zgodne z dyrektywą NIS 2; 
• wprowadzeniu odpowiedzialności kierownika podmiotu kluczowego lub podmiotu ważnego za realizację zadań z zakresu cyberbezpieczeństwa – kierownik takiego podmiotu będzie odpowiedzialny za realizację tych zadań przez dany podmiot; w przypadku niewywiązania się z tych zadań na kierownika będą mogły być nałożone kary; kierownik będzie obowiązany również do przejścia stosownego szkolenia z zakresu cyberbezpieczeństwa;
• wprowadzeniu możliwości zgłaszania incydentów przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, zwanego dalej „ministrem”, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego;
• utworzeniu zespołów CSIRT sektorowych w poszczególnych sektorach gospodarki, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa;
• wzmocnieniu kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa, polegających na możliwości wydawania ostrzeżeń, wyznaczania urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy albo podmiot ważny, nakazywanie przeprowadzenia oceny bezpieczeństwa systemu informacyjnego, nakazywanie przeprowadzenia audytu bezpieczeństwa;
• wprowadzeniu nowych kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe i podmioty ważne, m. in. za nie wdrożenie systemu zarządzania bezpieczeństwem informacji czy nie zarejestrowanie się w wykazie podmiotów kluczowych i podmiotów ważnych;
• wprowadzeniu Krajowego Planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;

Projekt ustawy służy również realizacji celów Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–2024, zwanej dalej „Strategią”, jakimi są podniesienie poziomu odporności na cyberzagrożenia oraz poziomu ochrony informacji w sektorach: publicznym, militarnym i prywatnym. Projekt realizuje także cel szczegółowy Strategii, odnoszący się do rozwoju krajowego systemu cyberbezpieczeństwa poprzez ewaluację przepisów prawa dotyczących cyberbezpieczeństwa. Ponadto, projekt realizuje cele Strategii w odniesieniu do zapewnienia bezpieczeństwa łańcucha dostaw sprzętu lub oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa.

Szczegóły dotyczące proponowanych zmian w prawnych zawarte są w uzasadnieniu oraz Ocenie Skutków Regulacji (OSR), które wraz z projektem aktu prawnego znajdują się w załączeniu.

Link do informacji szczegółowych (zawierające 4 załączniki do OSR): https://legislacja.rcl.gov.pl/projekt/12384504/katalog/13055201#13055201

Uprzejmie prosimy o przekazywanie ewentualnych uwag, opinii i stanowisk do projektu w terminie do 21 maja 2024 r. na adres: szkop@pracodawcy.pl.