Finansowanie Krajowego Systemu Cyberbezpieczeństwa w pierwszym roku wyniesie 300 mln zł - Gawkowski
Finansowanie Krajowego Systemu Cyberbezpieczeństwa w pierwszym roku jego funkcjonowania wyniesie 300 mln zł - poinformował podczas konferencji prasowej wicepremier, minister cyfryzacji Krzysztof Gawkowski. Dodał, że w kolejnych latach obowiązywania systemu kwota będzie rosła.
"Udało się obudować ustawę dobrymi ramami finansowymi, jest ważnym elementem tego, że mamy przepisy i ich finansowanie. W pierwszym roku 300 mln zł, w kolejnych latach finansowanie oczywiście będzie rosło" - powiedział wicepremier.
"W 2025 roku wydajemy rekordowe środki na cyberbezpieczeństwo w sferze cywilnej i wojskowej, to ponad 4 mld zł. Jestem przekonany, że w kolejnych latach te środki będą podobne, bo po prostu ochrona cyberprzestrzeni kosztuje i tak jak kosztuje bezpieczeństwo wojskowe, armia, tak musi kosztować cyberbezpieczeństwo" - dodał.
Ponadto dodał, że z finansowania będą korzystały między innymi jednostki ministerialne, które jak wskazał będą ewoluowały własny system cyberbezpieczeństwa.
"(Te jednostki - PAP) oczywiście muszą mieć pieniądze i muszą mieć etaty i o tym też myślimy i też będziemy to realizowali, bo nie ma dobrego cyberbezpieczeństwa bez ludzi" - wyjaśnił Gawkowski.
"Po wielu latach, (...) to dzisiaj 7 lat, przyjęliśmy bardzo ważne prawo, Krajowy System Cyberbezpieczeństwa(...). To jest kolejny krok w budowaniu polskiego cyberbezpieczeństwa, we wzmacnianiu odporności każdego obywatela" - dodał.
Dodał, że w III kw. 2025 roku w polskim systemie odnotowano już 500 tys. incydentów cyberbezpieczeństwa. W całym 2024 roku doszło do ok. 600 tys. takich zdarzeń.
"Moim celem będzie, żeby jak najszybciej przeprocedować tę ustawę. Najpewniej trafi to już na okres, kiedy marszałkiem będzie, wicemarszałek (Włodzimierz - PAP) Czarzasty (...). Będziemy dążyli do tego, żeby była to jedna z pierwszych ustaw, którą pan marszałek da do pierwszego czytania" - powiedział odpowiedzialny za projekt wiceminister cyfryzacji, Paweł Olszewski.
"W komisji te prace, mam nadzieję, będą trwały w trybie ciągłym (...), aby jak najszybciej ustawa poszła do Senatu i trafiła do prezydenta na biurko do podpisu. Powiem szczerze, ja rozumiem bardzo dobrze politykę, ale nie zrozumiałbym, że prezydent jest w stanie zawetować ustawę, która gwarantuje i zapewnia bezpieczeństwo Polek, Polaków i państwa polskiego w dobie wojny, którą mamy za granicami i wojny, którą mamy w cyberprzestrzeni w Polsce" - dodał.
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa zakłada m.in wzmocnienie kompetencji organów i instytucji, utworzenie sektorowych zespołów CESIRT, sprawniejsze zgłaszanie incydentów oraz możliwość identyfikacji dostawców wysokiego ryzyka.
Projekt ustanawia również dwa sektory - kluczowe i ważne.
Do sektorów ważnych zalicza się zbiorowe odprowadzanie ścieków, zarządzanie usługami ICT oraz przestrzeń kosmiczną.
W skład sektorów ważnych wchodzą - usługi pocztowe, inwestycje energetyki jądrowej, produkcja i dystrybucja chemikaliów, produkcja w ujęciu ogólnym, dostawcy usług cyfrowych, badania naukowe oraz gospodarowanie odpadami.
Podmioty, w tym firmy, zakwalifikowane jako podmioty kluczowe lub ważne w krajowym systemie cyberbezpieczeństwa będą musiały wprowadzić rozwiązania techniczne i organizacyjne dopasowane do swojej wielkości. Trzeba będzie dokładnie sprawdzić infrastrukturę, przeanalizować procesy i procedury wewnętrzne oraz przeszkolić pracowników.
Każdy z podmiotów będzie musiał stworzyć system zarządzania bezpieczeństwem informacji, w tym: regularnie oceniać ryzyko wystąpienia incydentów; wprowadzić rozwiązania techniczne i organizacyjne odpowiednie do poziomu ryzyka; zbierać informacje o cyberzagrożeniach i podatnościach systemów używanych do świadczenia usług; zarządzać incydentami; stosować środki, które zapobiegają incydentom i ograniczają ich wpływ na bezpieczeństwo systemów.
Nowelizacja KSC implementuje do polskiego prawodawstwa dyrektywę NIS2, która odeszła od sztywnych wymogów bezpieczeństwa na rzecz podejścia opartego na analizie ryzyka. Każdy podmiot objęty jej postanowieniami musi sam przeprowadzić taką analizę i dopasować zabezpieczenia do wykrytego ryzyka. Takie rozwiązanie zapewnia elastyczność i pozwala dopasować zabezpieczenia do charakteru i skali działania organizacji.
Nowe sektorowe zespoły CSIRT będą aktywnie wspierać przedsiębiorców – pomogą w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach i zapewnią szkolenia. Kluczowa będzie przy tym współpraca i budowanie wzajemnego zaufania między podmiotami kluczowymi i podmiotami ważnymi z danego sektora, a zespołem CSIRT.
Decyzję o uznaniu danego dostawcy za dostawcę wysokiego ryzyka będzie wydawał minister cyfryzacji. Takie decyzje będą wynikiem wieloetapowego, transparentnego postępowania administracyjnego, w którym uczestniczyć będzie Kolegium do Spraw Cyberbezpieczeństwa, a także, opcjonalnie, organizacje społeczne oraz Urząd Ochrony Konkurencji i Konsumentów.
W efekcie wydanej decyzji podmioty szczególnie istotne dla funkcjonowania państwa nie będą mogły wprowadzać do swoich systemów określonych rodzajów produktów i usług ICT pochodzących od dostawcy wysokiego ryzyka, a jeśli takie posiadają będą obowiązane do ich wycofania, co do zasady, w ciągu 7 lat. Co ważne, dostawca, który nie zgadza się z decyzją, będzie mógł złożyć skargę do sądu administracyjnego. (PAP Biznes)
mcb/ gor/
