W Polsce obowiązuje już ustawa o Krajowym Systemie Cyberbezpieczeństwa (od 1 sierpnia 2018 roku), ale z uwagi na konieczność wdrożenia do niej przepisów unijnej dyrektywy NIS2, niezbędna jest jej nowelizacja. Ministerstwo Cyfryzacji zaprezentowało dziś nowy projekt ustawy o KSC.
Ministerstwo Cyfryzacji zaprezentowało projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa
Znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa rodzi się w bólach. Jej wdrożenie cały czas się opóźnia, ale w końcu pojawiło się światełko w tunelu, ponieważ Ministerstwo Cyfryzacji zaprezentowało dziś projekt ustawy o KSC, a do tego zadeklarowało, że to dla niego priorytetowy projekt na ten rok.
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa jest niezbędna, ponieważ Polska musi wdrożyć przepisy unijnej dyrektywy NIS2, która między innymi uniemożliwia wyznaczanie operatorów usług kluczowych na podstawie decyzji administracyjnej w stosunku do wszystkich podmiotów.
Nowa ustawa o wprowadza również zmiany w zakresie podmiotów kluczowych i ważnych, zespołów CSIRT, systemu S46 i Pojedynczego Punktu Kontaktowego, nadzoru i środków egzekwowania przepisów przez organy właściwe ds. cyberbezpieczeństwa, kompetencji Ministra Cyfryzacji, zmiany obowiązków Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa oraz instytucji dostawcy wysokiego ryzyka.
Na mocy nowej ustawy o Krajowym Systemie Cyberbezpieczeństwa incydenty poważne zgłaszane będą do CSIRT sektorowego w ściśle określonym trybie. Przyjęte rozwiązania mają zapewnić szybkie reagowanie na incydenty poważne i skoordynowane działanie, podczas gdy sprawozdania okresowe i końcowe informacje o incydencie poważnym i jego przebiegu.
Ministerstwo Cyfryzacji objęło zakresem ustawy również nowe sektory: ścieki, zarządzanie usługami ICT, przestrzeń kosmiczna, usługi pocztowe, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, badania naukowe oraz produkcja, przetwarzanie i dystrybucja żywności.
Ponadto znowelizowana ustawa wprowadzi nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej. Podmioty kluczowe i ważne będą obowiązane wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty.
Ustawa o o Krajowym Systemie Cyberbezpieczeństwa wprowadza również procedurę postępowania wobec dostawców wysokiego ryzyka. Wiele osób upatruje w tym możliwości wyeliminowania z biznesu telekomunikacyjnego chińskich producentów, w tym przede wszystkim Huawei i ZTE, aczkolwiek najpierw muszą oni zostać uznani za dostawców wysokiego ryzyka.
Dostawca wysokiego ryzyka będzie wskazywany w drodze decyzji administracyjnej Ministra Cyfryzacji, jeżeli dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi. Po jej wydaniu podmioty, wykorzystujące sprzęt takiego dostawcy, będą miały 4 lub 7 lat na całkowite wycofanie go ze swoich systemów.
Nowelizacja zakłada również między innymi wprowadzenie nowego dokumentu strategicznego pod nazwą „Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę” oraz wyznaczenie CSIRT NASK do pełnienia roli krajowego koordynatora w ramach skoordynowanego ujawniania podatności (CVD) i wzmocnienie uprawnień zespołów CSIRT poziomu krajowego, które przeprowadzają badanie sprzętu lub oprogramowania pod kątem podatności zagrażających bezpieczeństwu narodowemu (otrzymają one licencję ustawową m.in. do analizy kodu oprogramowania).
Kiedy zacznie obowiązywać nowy Krajowy System Cyberbezpieczeństwa?
Ministerstwo Cyfryzacji opublikowało projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw w Biuletynie Informacji Publicznej oraz rozpoczęło konsultacje publiczne, które potrwają do 24 maja 2024 roku. Nie znamy jeszcze planowego terminu przyjęcia znowelizowanej ustawy o KSC, ale – jak już przeczytaliście – Ministerstwo Cyfryzacji chce wyrobić się z tym do końca 2024 roku.
Należy się spodziewać, że w projekcie zostaną wprowadzone zmiany, ponieważ w trakcie konsultacji publicznych mogą pojawić się zastrzeżenia do obecnie przygotowanych przepisów.