W poniedziałek 7 października 2024 r. Ministerstwo Cyfryzacji ogłosiło zakończenie prac nad ustawą o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Co znajduje się w nowej wersji przepisów?
W poniedziałek 7 października 2024 r. Ministerstwo Cyfryzacji ogłosiło zakończenie prac nad ustawą o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Prace nad przepisami trwały bardzo długo – w ciągu całego procesu doczekaliśmy się kilkunastu wersji proponowanych zmian.
Co zawiera najnowsza wersja ustawy o KSC?
Poniedziałkowej prezentacji najnowszej wersji ustawy o KSC towarzyszy zapewnienie ze strony Ministerstwa, że zmiany w niej wprowadzone mają na celu wzmocnienie zarządzania cyberbezpieczeństwem w Polsce, a także zwiększenie odpowiedzialności podmiotów przetwarzających dane za ten proces, jak i usprawienie reagowania na incydenty cyberbezpieczeństwa na poziomie krajowym.
W ustawie rozszerzono definicje związane z cyberbezpieczeństwem, w tym – w kontekście pojęć takich, jak „incydent poważny”, „cyberzagrożenie”, czy też podmiotów kluczowych i podmiotów ważnych.
Jak mówił wiceminister cyfryzacji Paweł Olszewski, w procesie prac nad ustawą uwzględniono też wiele postulatów, które wpłynęły podczas konsultacji publicznych zapisów tej regulacji. Wpłynęło ponad 1500 uwag, według polityka – ok. 70 proc. z nich zostało uwzględnionych.
Obowiązki podmiotów kluczowych i ważnych
Te ostatnie objęte zostały nowym obowiązkiem – dotyczy on wdrażania systemów zarządzania bezpieczeństwem informacji, w tym – systematycznego szacowania ryzyka i wdrożenia odpowiednich środków technicznych jak i organizacyjnych – to dla przykładu plany ciągłości działania, czy plany dotyczące zarządzania incydentami.
Podmioty kluczowe i ważne zobowiązane zostały też do ciągłego monitorowania swoich systemów informacyjnych, jak i do zgłaszania incydentów właściwym organom (CSIRT).
Kierownictwo podmiotów kluczowych i ważnych zaś objęte zostało odpowiedzianością za wdrożenie i nadzór systemów zarządzania cyberbezpieczeństwem, a także zapewnienia odpowiedniej edukacji (szkoleń) kadrom, jak i zapewnienia zgodności działań z przepisami obowiązującego prawa.
Dodatkowo, podmioty kluczowe i ważne będą musiały zostać zarejestrowane w specjalnym wykazie prowadzonym przez ministra właściwego ds. informatyzacji. Rejestr ten ma na celu zidentyfikowanie tych podmiotów, jak i wymianę informacji pomiędzy nimi, jak i organami odpowiedzialnymi za cyberbezpieczeństwo w kraju.
Wymiana informacji i szersza współpraca
Ustawa kładzie duży nacisk na kwestie wymiany informacji o cyberzagrożeniach między podmiotami, które przekłada się na usprawnienie zarządzania cyberbezpieczeństwem i na faktyczne zwiększenie poziomu bezpieczeństwa na terytorium kraju.
Rozszerzone zostają obowiązki CSIRT NASK, CSIRT MON i CSIRT GOV, w tym – te dotyczące współpracy pomiędzy podmiotami KSC jak i organami ścigania.
CSIRT-y będą miały nowe zadania. Zaliczają się do nich przeprowadzanie oceny bezpieczeństwa systemów informacyjnych podmiotów KSC, a także m.in. udział w pracach Zespołu ds. Cyberbezpieczeństwa.
Krajowy plan reagowania na incydenty
Ustawa wprowadza Krajowy Plan Reagowania na Incydenty i Sytuacje Kryzysowe w Cyberbezpieczeństwie na Dużą Skalę.
Określa on cele i tryb zarządzania incydentami i procesami w czasie kryzysu w razie incydentu na udżą skalę.
Plan definiuje też zadania organów zaangażowanych w zarządzanie kryzysowe w cyberbezpieczeństwie, jak i procedury zarządzania kryzysowego w cyberprzestrzeni, a także zasady współpracy między podmiotami sektora publicznego i prywatnego w czasie kryzysu.
Kary finansowe
W ustawie o KSC znajdziemy też zapisy o karach finansowych dla podmiotów KSC i ich kierownictwa za naruszanie przepisów tej regulacji. Zostały one zwiększone w stosunku do poprzednich wersji ustawy.
Wprowadzono też nowe kary pieniężne, które dotyczą naruszenia obowiązków w zakresie zarządzania bezpieczństwem informacji i zgłaszania incydentów.
Co dalej z ustawą?
Jak czytamy na stronie internetowej resortu cyfryzacji, projekt nowelizacji ustawy o KSC trafi do właściwych komitetów Rady Ministrów, a następnie rozpatrzony zostanie na rządzie. Do prac w Sejmie ustawa ma trafić jeszcze w tym roku.
