Nowa wersja ustawy o KSC. Co zawiera?

W poniedziałek 7 października 2024 r. Ministerstwo Cyfryzacji ogłosiło zakończenie prac nad ustawą o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Co znajduje się w nowej wersji przepisów?
Wiceminister cyfryzacji Paweł Olszewski / Fot. X/CYFRA_GOV_PL
Wiceminister cyfryzacji Paweł Olszewski / Fot. X/CYFRA_GOV_PL

W poniedziałek 7 października 2024 r. Ministerstwo Cyfryzacji ogłosiło zakończenie prac nad ustawą o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Co znajduje się w nowej wersji przepisów?

W poniedziałek 7 października 2024 r. Ministerstwo Cyfryzacji ogłosiło zakończenie prac nad ustawą o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Prace nad przepisami trwały bardzo długo – w ciągu całego procesu doczekaliśmy się kilkunastu wersji proponowanych zmian.

Co zawiera najnowsza wersja ustawy o KSC?

Poniedziałkowej prezentacji najnowszej wersji ustawy o KSC towarzyszy zapewnienie ze strony Ministerstwa, że zmiany w niej wprowadzone mają na celu wzmocnienie zarządzania cyberbezpieczeństwem w Polsce, a także zwiększenie odpowiedzialności podmiotów przetwarzających dane za ten proces, jak i usprawienie reagowania na incydenty cyberbezpieczeństwa na poziomie krajowym.

W ustawie rozszerzono definicje związane z cyberbezpieczeństwem, w tym – w kontekście pojęć takich, jak „incydent poważny”, „cyberzagrożenie”, czy też podmiotów kluczowych i podmiotów ważnych.

Jak mówił wiceminister cyfryzacji Paweł Olszewski, w procesie prac nad ustawą uwzględniono też wiele postulatów, które wpłynęły podczas konsultacji publicznych zapisów tej regulacji. Wpłynęło ponad 1500 uwag, według polityka – ok. 70 proc. z nich zostało uwzględnionych.

Obowiązki podmiotów kluczowych i ważnych

Te ostatnie objęte zostały nowym obowiązkiem – dotyczy on wdrażania systemów zarządzania bezpieczeństwem informacji, w tym – systematycznego szacowania ryzyka i wdrożenia odpowiednich środków technicznych jak i organizacyjnych – to dla przykładu plany ciągłości działania, czy plany dotyczące zarządzania incydentami.

Podmioty kluczowe i ważne zobowiązane zostały też do ciągłego monitorowania swoich systemów informacyjnych, jak i do zgłaszania incydentów właściwym organom (CSIRT).

Kierownictwo podmiotów kluczowych i ważnych zaś objęte zostało odpowiedzianością za wdrożenie i nadzór systemów zarządzania cyberbezpieczeństwem, a także zapewnienia odpowiedniej edukacji (szkoleń) kadrom, jak i zapewnienia zgodności działań z przepisami obowiązującego prawa.

Dodatkowo, podmioty kluczowe i ważne będą musiały zostać zarejestrowane w specjalnym wykazie prowadzonym przez ministra właściwego ds. informatyzacji. Rejestr ten ma na celu zidentyfikowanie tych podmiotów, jak i wymianę informacji pomiędzy nimi, jak i organami odpowiedzialnymi za cyberbezpieczeństwo w kraju.

Wymiana informacji i szersza współpraca

Ustawa kładzie duży nacisk na kwestie wymiany informacji o cyberzagrożeniach między podmiotami, które przekłada się na usprawnienie zarządzania cyberbezpieczeństwem i na faktyczne zwiększenie poziomu bezpieczeństwa na terytorium kraju.

Rozszerzone zostają obowiązki CSIRT NASK, CSIRT MON i CSIRT GOV, w tym – te dotyczące współpracy pomiędzy podmiotami KSC jak i organami ścigania.

CSIRT-y będą miały nowe zadania. Zaliczają się do nich przeprowadzanie oceny bezpieczeństwa systemów informacyjnych podmiotów KSC, a także m.in. udział w pracach Zespołu ds. Cyberbezpieczeństwa.

Krajowy plan reagowania na incydenty

Ustawa wprowadza Krajowy Plan Reagowania na Incydenty i Sytuacje Kryzysowe w Cyberbezpieczeństwie na Dużą Skalę.

Określa on cele i tryb zarządzania incydentami i procesami w czasie kryzysu w razie incydentu na udżą skalę.

Plan definiuje też zadania organów zaangażowanych w zarządzanie kryzysowe w cyberbezpieczeństwie, jak i procedury zarządzania kryzysowego w cyberprzestrzeni, a także zasady współpracy między podmiotami sektora publicznego i prywatnego w czasie kryzysu.

Kary finansowe

W ustawie o KSC znajdziemy też zapisy o karach finansowych dla podmiotów KSC i ich kierownictwa za naruszanie przepisów tej regulacji. Zostały one zwiększone w stosunku do poprzednich wersji ustawy.

Wprowadzono też nowe kary pieniężne, które dotyczą naruszenia obowiązków w zakresie zarządzania bezpieczństwem informacji i zgłaszania incydentów.

Co dalej z ustawą?

Jak czytamy na stronie internetowej resortu cyfryzacji, projekt nowelizacji ustawy o KSC trafi do właściwych komitetów Rady Ministrów, a następnie rozpatrzony zostanie na rządzie. Do prac w Sejmie ustawa ma trafić jeszcze w tym roku.

Total
0
Shares
Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Powiązane teksty
Czytaj dalej

Twitter zbanował Trumpa jako ostatni. Jako pierwszy wyniósł go wcześniej do władzy

W piątek na swoim blogu firmowym Twitter poinformował, że zdecydował się permanentnie zablokować konto ustępującego prezydenta USA Donalda Trumpa. Profil @realDonaldTrump zgromadził rzeszę ponad 88 mln obserwujących i przez wiele ostatnich lat był dla swojego autora nie tylko tubą propagandową, ale i narzędziem uprawiania specyficznej, twitterowej dyplomacji.
Total
0
Share