Radio Szczecin
Fot. pixabay.com / iAmMrRob (CC0 domena publiczna)
Prezydent Karol Nawrocki poinformował w czwartek, że podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, która wprowadza m.in. nowe obowiązki dla podmiotów kluczowych i ważnych. Wysłał ją jednak do Trybunału Konstytucyjnego w trybie kontroli następczej.
Prezydent ocenił na nagraniu opublikowanym w serwisie X, że nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wzmacnia mechanizmy obronne, poprawia współpracę instytucji i pozwala eliminować dostawców wysokiego ryzyka.
Dodał, że podpisał nowelę, ponieważ „bezpieczeństwo nie ma barw partyjnych”.
Karol Nawrocki zwrócił jednak uwagę, że musiał zareagować na głos przedsiębiorców, którzy postrzegają zawarte w noweli obowiązki, „jako nadmiarowe i nieproporcjonalne”.
Poinformował, że w związku z tym skierował wniosek do Trybunału Konstytucyjnego o kontrolę następczą przepisów.
Z komunikatu opublikowanego na stronie prezydenta wynika, że wątpliwości głowy państwa budzi objęcie ustawą 18 branż gospodarki pogrupowanych w podmioty kluczowe i ważne. Zdaniem prezydenta, „rozszerzenie to nie wynika z przepisów europejskich, a jest samodzielną inicjatywą rządu”.
Nawrocki ma też zastrzeżenia dot. przepisów regulujących zasady uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz zasady wydawania tzw. poleceń zabezpieczających.
„Przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania, i bez zabezpieczenia środków finansowych na ten cel” - podał prezydent.
Jego zdaniem wadliwy też jest system podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych, z punktu widzenia gwarancji proceduralnych oraz w zakresie ochrony sądowej. Nawrocki wskazał również, że przewidziany ustawą system kar jest restrykcyjny, a ich wysokość „ma wręcz charakter samodzielnych środków karnych”.
Wicepremier i minister cyfryzacji Krzysztof Gawkowski, odnosząc się decyzji prezydenta napisał, że „oczywiście uznał, zapewne dzięki podszeptom zagranicznych lobbystów, że warto dalej rzucać Polsce kłody pod nogi i część przepisów skierował do swoich sprzymierzeńców z Trybunału Konstytucyjnego”.
Wskazał, że dla wielu firm i instytucji oznacza to życie w ciągłej niepewności, konieczność odwlekania inwestycji czy gotowość na różnego rodzaju spory prawne. Dodał, że państwo już „umie radzić sobie z taką destrukcją” i będzie szybko oraz sprawnie wdrażać nowe rozwiązania, które daje nowelizacja KSC.
Jak wynika z wpisu Gawkowskiego ustawa o KSC, to „wielki krok w stronę większego bezpieczeństwa Polski w cyberprzestrzeni”.
„Zyskają obywatele, instytucje i firmy” - dodał.
Wiceminister cyfryzacji Paweł Olszewski, który był odpowiedzialny za przygotowanie nowelizacji, także na platformie X napisał, że „mimo kolejnej zagrywki z Trybunałem Konstytucyjnym, po 6 latach Polska ma nowoczesny Krajowy System Cyberbezpieczeństwa”. Jego zdaniem dzięki tym przepisom, Polska staje się znacznie trudniejszym celem w cyberprzestrzeni. „Nie możemy pozwolić sobie na półśrodki” - podkreślił.
W nowelizacji ustawy o KSC wśród sektorów kluczowych znalazły się: energia, transport, ochrona zdrowia, bankowość i infrastruktura rynków finansowych, zaopatrzenie w wodę, infrastruktura cyfrowa, a także niewystępujące do tej pory w KSC: ścieki, zarządzanie ICT (infrastrukturą teleinformatyczną) i przestrzeń kosmiczna.
Do sektorów kluczowych zaliczono też podmioty publiczne, w tym urzędy, samorządy, szkoły, szpitale i instytuty badawcze.
Natomiast do sektorów ważnych, według noweli, należą: usługi pocztowe; gospodarowanie odpadami; dostawcy usług cyfrowych; produkcja i dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; produkcja, w tym m.in. wyrobów medycznych, komputerów, urządzeń elektrycznych, pojazdów samochodowych, przyczep i naczep.
Zgodnie z nowelizacją, firmy muszą same ocenić, czy spełniają kryteria dla podmiotu kluczowego lub podmiotu ważnego. Jeśli odpowiedź jest pozytywna - będą zobowiązane zarejestrować się w wykazie podmiotów KSC i będą mieć na to 6 miesięcy od samoidentyfikacji. Niezgłoszenie się do systemu rodzi ryzyko nałożenia kar.
Nowela przewiduje, że organizacje z sektorów kluczowych i ważnych będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem, w tym wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami.
Obowiązkowe będzie też zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty oraz stosowanie środków ograniczających wpływ incydentów. Środki te to np. regularne aktualizacje oprogramowania, czy niezwłoczne podejmowanie działań po dostrzeżeniu zagrożenia.
Podmioty objęte KSC będą musiały również wdrożyć środki techniczne i organizacyjne proporcjonalne do oszacowanego ryzyka, które powinny być dostosowane m.in. do wielkości organizacji. Wśród tych środków nowela wymienia polityki i procedury cyberbezpieczeństwa, kontrolę dostępu do systemów, bezpieczne środki komunikacji, zawierające uwierzytelnianie wieloskładnikowe czy szkolenia dla pracowników.
Wdrożone środki mają zapewniać bezpieczeństwo ludzi, środowiska, zasobów podmiotu oraz łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych – PAP). Mają też zapewnić ciągłość działania podmiotu i możliwość świadczenia usług w przypadku wystąpienia incydentu.
Nowela zakłada, że podmioty kluczowe i ważne będą przekazywać sobie nawzajem informacje o incydentach, cyberzagrożeniach i podatnościach za pomocą systemu s46. Ponadto podmioty kluczowe będą miały obowiązek przeprowadzenia na własny koszt, co najmniej raz na 3 lata, audytu bezpieczeństwa.
Podmioty kluczowe i ważne będą mieć 12 miesięcy na dostosowanie się do przepisów - od dnia wejścia w życie ustawy nowelizacji.
Nowela przewiduje również utworzenie sektorowych zespołów CSIRT, które będą wspierać podmioty objęte KSC w obsłudze incydentów cyberbezpieczeństwa.
Zgodnie z ustawą zostanie wprowadzony również Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Ma go uchwalić Rada Ministrów w ciągu 6 miesięcy od dnia wejścia w życie noweli.
Minister cyfryzacji będzie mógł natomiast wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego. W jego ramach może np. nakazać podmiotowi przeprowadzenie analizy ryzyka czy zabezpieczenie określonych informacji.
Nowela wprowadza termin „incydent poważny”, czyli taki, który powoduje lub może spowodować: poważne obniżenie jakości; przerwanie ciągłości świadczenia usługi; straty finansowe; lub też taki, który wpływa na inne osoby i jednostki przez wywołanie poważnej szkody.
Podmioty kluczowe i ważne będą musiały zgłaszać tego typu incydenty do odpowiedniego CSIRT-u, w ciągu 72 godzin od wykrycia. Natomiast w ciągu 24 godzin będą musiały zgłosić do CSIRT-u sektorowego „wczesne ostrzeżenie”. Podmioty KSC zostały też zobowiązane do powiadomienia o incydencie poważnym użytkowników usług - jeśli ten incydent ma negatywny wpływ na świadczenie usług.
Za nieprzestrzeganie przepisów na przedsiębiorców objętych KSC będą nakładane kary pieniężne. Kara na podmioty kluczowe może wynieść 2 proc. przychodów firmy; minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł). Natomiast kary na podmioty ważne mogą wynieść 1,4 proc. przychodów firmy; min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł).
Niezależnie od limitów za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.
Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
W trakcie prac sejmowych nad ustawą przyjęto zmiany, które doprecyzowały wybrane rozwiązania.
Jedna z nich wprowadziła obowiązek udziału przedstawiciela prezydenta w rządowych pracach nad uchwałą Rady Ministrów w sprawie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę.
Kolejna przewidywała, że administracyjne kary pieniężne za brak realizacji obowiązków wynikających z nowelizacji ustawy o KSC będą mogły być nakładane po raz pierwszy po upływie 2 lat od dnia wejścia w życie noweli. Rozwiązanie to ma umożliwić podmiotom objętym regulacją odpowiednie przygotowanie się do nowych wymagań.
Poprzednia wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma wejść w życie po upływie miesiąca od dnia ogłoszenia.
Edycja tekstu: Jacek Rujna
Dodał, że podpisał nowelę, ponieważ „bezpieczeństwo nie ma barw partyjnych”.
Karol Nawrocki zwrócił jednak uwagę, że musiał zareagować na głos przedsiębiorców, którzy postrzegają zawarte w noweli obowiązki, „jako nadmiarowe i nieproporcjonalne”.
Poinformował, że w związku z tym skierował wniosek do Trybunału Konstytucyjnego o kontrolę następczą przepisów.
Z komunikatu opublikowanego na stronie prezydenta wynika, że wątpliwości głowy państwa budzi objęcie ustawą 18 branż gospodarki pogrupowanych w podmioty kluczowe i ważne. Zdaniem prezydenta, „rozszerzenie to nie wynika z przepisów europejskich, a jest samodzielną inicjatywą rządu”.
Nawrocki ma też zastrzeżenia dot. przepisów regulujących zasady uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz zasady wydawania tzw. poleceń zabezpieczających.
„Przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania, i bez zabezpieczenia środków finansowych na ten cel” - podał prezydent.
Jego zdaniem wadliwy też jest system podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych, z punktu widzenia gwarancji proceduralnych oraz w zakresie ochrony sądowej. Nawrocki wskazał również, że przewidziany ustawą system kar jest restrykcyjny, a ich wysokość „ma wręcz charakter samodzielnych środków karnych”.
Wicepremier i minister cyfryzacji Krzysztof Gawkowski, odnosząc się decyzji prezydenta napisał, że „oczywiście uznał, zapewne dzięki podszeptom zagranicznych lobbystów, że warto dalej rzucać Polsce kłody pod nogi i część przepisów skierował do swoich sprzymierzeńców z Trybunału Konstytucyjnego”.
Wskazał, że dla wielu firm i instytucji oznacza to życie w ciągłej niepewności, konieczność odwlekania inwestycji czy gotowość na różnego rodzaju spory prawne. Dodał, że państwo już „umie radzić sobie z taką destrukcją” i będzie szybko oraz sprawnie wdrażać nowe rozwiązania, które daje nowelizacja KSC.
Jak wynika z wpisu Gawkowskiego ustawa o KSC, to „wielki krok w stronę większego bezpieczeństwa Polski w cyberprzestrzeni”.
„Zyskają obywatele, instytucje i firmy” - dodał.
Wiceminister cyfryzacji Paweł Olszewski, który był odpowiedzialny za przygotowanie nowelizacji, także na platformie X napisał, że „mimo kolejnej zagrywki z Trybunałem Konstytucyjnym, po 6 latach Polska ma nowoczesny Krajowy System Cyberbezpieczeństwa”. Jego zdaniem dzięki tym przepisom, Polska staje się znacznie trudniejszym celem w cyberprzestrzeni. „Nie możemy pozwolić sobie na półśrodki” - podkreślił.
W nowelizacji ustawy o KSC wśród sektorów kluczowych znalazły się: energia, transport, ochrona zdrowia, bankowość i infrastruktura rynków finansowych, zaopatrzenie w wodę, infrastruktura cyfrowa, a także niewystępujące do tej pory w KSC: ścieki, zarządzanie ICT (infrastrukturą teleinformatyczną) i przestrzeń kosmiczna.
Do sektorów kluczowych zaliczono też podmioty publiczne, w tym urzędy, samorządy, szkoły, szpitale i instytuty badawcze.
Natomiast do sektorów ważnych, według noweli, należą: usługi pocztowe; gospodarowanie odpadami; dostawcy usług cyfrowych; produkcja i dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; produkcja, w tym m.in. wyrobów medycznych, komputerów, urządzeń elektrycznych, pojazdów samochodowych, przyczep i naczep.
Zgodnie z nowelizacją, firmy muszą same ocenić, czy spełniają kryteria dla podmiotu kluczowego lub podmiotu ważnego. Jeśli odpowiedź jest pozytywna - będą zobowiązane zarejestrować się w wykazie podmiotów KSC i będą mieć na to 6 miesięcy od samoidentyfikacji. Niezgłoszenie się do systemu rodzi ryzyko nałożenia kar.
Nowela przewiduje, że organizacje z sektorów kluczowych i ważnych będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem, w tym wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami.
Obowiązkowe będzie też zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty oraz stosowanie środków ograniczających wpływ incydentów. Środki te to np. regularne aktualizacje oprogramowania, czy niezwłoczne podejmowanie działań po dostrzeżeniu zagrożenia.
Podmioty objęte KSC będą musiały również wdrożyć środki techniczne i organizacyjne proporcjonalne do oszacowanego ryzyka, które powinny być dostosowane m.in. do wielkości organizacji. Wśród tych środków nowela wymienia polityki i procedury cyberbezpieczeństwa, kontrolę dostępu do systemów, bezpieczne środki komunikacji, zawierające uwierzytelnianie wieloskładnikowe czy szkolenia dla pracowników.
Wdrożone środki mają zapewniać bezpieczeństwo ludzi, środowiska, zasobów podmiotu oraz łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych – PAP). Mają też zapewnić ciągłość działania podmiotu i możliwość świadczenia usług w przypadku wystąpienia incydentu.
Nowela zakłada, że podmioty kluczowe i ważne będą przekazywać sobie nawzajem informacje o incydentach, cyberzagrożeniach i podatnościach za pomocą systemu s46. Ponadto podmioty kluczowe będą miały obowiązek przeprowadzenia na własny koszt, co najmniej raz na 3 lata, audytu bezpieczeństwa.
Podmioty kluczowe i ważne będą mieć 12 miesięcy na dostosowanie się do przepisów - od dnia wejścia w życie ustawy nowelizacji.
Nowela przewiduje również utworzenie sektorowych zespołów CSIRT, które będą wspierać podmioty objęte KSC w obsłudze incydentów cyberbezpieczeństwa.
Zgodnie z ustawą zostanie wprowadzony również Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Ma go uchwalić Rada Ministrów w ciągu 6 miesięcy od dnia wejścia w życie noweli.
Minister cyfryzacji będzie mógł natomiast wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego. W jego ramach może np. nakazać podmiotowi przeprowadzenie analizy ryzyka czy zabezpieczenie określonych informacji.
Nowela wprowadza termin „incydent poważny”, czyli taki, który powoduje lub może spowodować: poważne obniżenie jakości; przerwanie ciągłości świadczenia usługi; straty finansowe; lub też taki, który wpływa na inne osoby i jednostki przez wywołanie poważnej szkody.
Podmioty kluczowe i ważne będą musiały zgłaszać tego typu incydenty do odpowiedniego CSIRT-u, w ciągu 72 godzin od wykrycia. Natomiast w ciągu 24 godzin będą musiały zgłosić do CSIRT-u sektorowego „wczesne ostrzeżenie”. Podmioty KSC zostały też zobowiązane do powiadomienia o incydencie poważnym użytkowników usług - jeśli ten incydent ma negatywny wpływ na świadczenie usług.
Za nieprzestrzeganie przepisów na przedsiębiorców objętych KSC będą nakładane kary pieniężne. Kara na podmioty kluczowe może wynieść 2 proc. przychodów firmy; minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł). Natomiast kary na podmioty ważne mogą wynieść 1,4 proc. przychodów firmy; min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł).
Niezależnie od limitów za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.
Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
W trakcie prac sejmowych nad ustawą przyjęto zmiany, które doprecyzowały wybrane rozwiązania.
Jedna z nich wprowadziła obowiązek udziału przedstawiciela prezydenta w rządowych pracach nad uchwałą Rady Ministrów w sprawie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę.
Kolejna przewidywała, że administracyjne kary pieniężne za brak realizacji obowiązków wynikających z nowelizacji ustawy o KSC będą mogły być nakładane po raz pierwszy po upływie 2 lat od dnia wejścia w życie noweli. Rozwiązanie to ma umożliwić podmiotom objętym regulacją odpowiednie przygotowanie się do nowych wymagań.
Poprzednia wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma wejść w życie po upływie miesiąca od dnia ogłoszenia.
Edycja tekstu: Jacek Rujna
