Projekt zmian w treści Ustawy o Krajowym Systemie Cyberbezpieczeństwa wreszcie trafi do konsultacji. Ostateczny termin uchwalenia przepisów wdrażających unijne regulacje cyber mija 17 października br. Co zmieni Ustawa o KSC?
Projekt zmian w treści Ustawy o Krajowym Systemie Cyberbezpieczeństwa (Ustawa o KSC) ma w końcu trafić do konsultacji – zapowiedziało w środę Ministerstwo Cyfryzacji.
Ustawa o KSC to wdrożenie do polskiego systemu prawnego przepisów unijnej dyrektywy NIS2, której celem jest ujednolicenie regulacji cyberbezpieczeństwa w państwach członkowskich do wspólnego poziomu, pozwalającego na sprawną koordynację działań i podejmowanych środków zwiększających cyberodporność – to szczególnie ważne w kontekście obecnej sytuacji geopolitycznej.
Dodatkowo, Ustawa o KSC niejako wymusza na Polsce przygotowanie krajowej strategii cyberbezpieczeństwa, co także ma duże znaczenie w związku ze zmieniającą się sytuacją na arenie międzynarodowej.
Co zmieni Ustawa o KSC?
Przepisy Ustawy o Krajowym Systemie Cyberbezpieczeństwa według szefa resortu cyfryzacji Krzysztofa Gawkowskiego przyniosą ogromne zmiany.
To rozszerzenie budżetu Funduszu Cyberbezpieczeństwa do poziomu 250 mln zł (obecnie wynosi on 100 mln zł), a także najważniejsze z punktu widzenia bezpieczeństwa narodowego kwestie dotyczące dostawców nowych technologii, sprzętu i oprogramowania.
Z rynku wyeliminowane mają być firmy, które nie gwarantują cyberbezpieczeństwa. Ich usługi, sprzęt i oprogramowanie nie będą mogły być używane przez instytucje kluczowe z punktu widzenia bezpieczeństwa Polski, takie jak np. administracja państwowa, sektor finansowy czy telekomunikacyjny.
Podmioty, które obecnie korzystają z infrastruktury zbudowanej z użyciem komponentów od dostawców nie gwarantujących cyberbezpieczeństwa, będą miały 7 lat na ich wymianę – chyba, że zaliczają się do grupy podmiotów krytycznych (wówczas czas ten skrócony jest do 4 lat).
Kto będzie ryzykownym dostawcą?
Firmy, wobec których takim orzeczeniem zakończy się procedura wszczynana przez ministra cyfryzacji (organ), który będzie musiał poinformować o tym prokuratora generalnego i prezesa Urzędu Ochrony Konkurencji i Konsumentów. Procedura będzie prowadzona przez kolegium ds. bezpieczeństwa opiniujące to, czy dany dostawca jest czy nie jest dostawcą wysokiego ryzyka. Na podstawie tej opinii organ będzie wydawał decyzję, od której przysługuje odwołanie.
W dokumencie opublikowanym przez Komisję Europejską 15 czerwca 2023 r. czytamy, iż kwestia dostawców wysokiego ryzyka jest kluczowa z punktu widzenia unijnych organów, chcących zwiększyć bezpieczeństwo sieci łączności na poziomie całej Unii Europejskiej.
Firmy, które wymienia KE, to podmioty pochodzenia chińskiego – koncerny Huawei i ZTE. Jak wskazuje Komisja, ich wyeliminowanie z rynku infrastruktury 5G lub ograniczenie ich obecności, jest uzasadnione i spełnia wymogi tzw. 5G Toolbox – wytycznych dotyczących bezpieczeństwa sieci łączności nowej generacji, które stanowią punkt wyjścia dla kwestii oceny ryzyka łańcucha dostaw w przepisach krajowych.
“Komisja uznaje, że Huawei i ZTE faktycznie prezentują wyższe ryzyko, niż inni dostawcy 5G” – napisano. Jak dodano, bezpieczeństwo sieci 5G jest jednym ze znaczących priorytetów KE i ważnym komponentem strategii bezpieczeństwa całej UE.
