Prezydent podpisał nowelizację ustawy o KSC, ale wysłał ją do TK (opis)
Prezydent Karol Nawrocki podpisał ustawę o Krajowym Systemie Cyberbezpieczeństwa, ale aspekt noweli dotyczący obowiązków nakładanych na przedsiębiorców skierował do Trybunału Konstytucyjnego z wnioskiem o kontrolę następczą - poinformował prezydent w oświadczeniu w serwisie YouTube.
"Podpisałem ustawę o Krajowym Systemie Cyberbezpieczeństwa. Żyjemy w epoce, w której wojna nie zawsze zaczyna się od wystrzału. Czasem zaczyna się od kliknięcia. Liczba cyberataków rośnie dramatycznie. Bezpieczeństwo cyfrowe jest dziś elementem bezpieczeństwa państwa. Ta ustawa wzmacnia mechanizmy obronne, poprawia współpracę instytucji i pozwala eliminować dostawców wysokiego ryzyka" - powiedział prezydent Karol Nawrocki.
"Bezpieczeństwo nie ma barw partyjnych. Dlatego tę ustawę podpisałem, choć muszę także zareagować na głos przedsiębiorców, którzy uważają, że ustawowe obowiązki stosowane wobec nich są nadmiarowe i nieproporcjonalne. Aspekt ten powinien zbadać Trybunał Konstytucyjny. Dlatego w tej sprawie kieruję wniosek o kontrolę następczą" - dodał.
Katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC)w nowelizacji został rozszerzony o nowe sektory gospodarki, takie jak np. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności. Pozwoli to zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach.
Nowela zakłada, że powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe zwiększą skuteczność reagowania na cyberzagrożenia i pozwolą zbudować bazę wiedzy o zagrożeniach oraz podatnościach danego sektora.
Ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo Polski, zyskają nowe kompetencje, co pozwoli im działać sprawniej i skuteczniej. Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego, czy Prezes UKE) będą mogły: wydawać ostrzeżenia, wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy, nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa. Zgodnie z nowymi przepisami Minister Cyfryzacji będzie mógł wydawać m.in. polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa.
Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa również zyska nowe uprawnienia. Będzie on mógł: wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów KSC; żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań; kupować oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa. Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.
Do ustawy wprowadzono już funkcjonujące Połączone Centrum Operacyjne Cyberbezpieczeństwa, które stanie się punktem wymiany informacji o cyberzagrożeniach, incydentach i podatnościach.
Dyrektywa NIS2 implementowana nowelizacją wprowadza podział na podmioty kluczowe i ważne, działające w strategicznych sektorach państwa, takich jak energetyka, transport, bankowość, czy wodociągi. Nowe przepisy nakładają na nie obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, zwiększających bezpieczeństwo systemów informatycznych, oraz odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa. Usprawnione zostanie też zgłaszanie incydentów – informacje będą przekazywane bezpośrednio do zespołów CSIRT przez system S46.
Podmioty kluczowe i podmioty ważne będą musiały wdrożyć rozwiązania techniczne i organizacyjne z zakresu cyberbezpieczeństwa, aby chronić swoje dane i infrastrukturę przed cyberzagrożeniami. Rozwiązania te będą musiały być dopasowane do wielkości podmiotu oraz charakteru świadczonych usług. W ramach dostosowania podmioty te będą zobowiązane do przeanalizowania swoich zasobów, identyfikacji cyberzagrożeń, przeglądu obowiązujących procedur oraz przeszkolenia pracowników.
Z kolei nowe sektorowe zespoły CSIRT będą wspierać przedsiębiorców, pomagając w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach i zapewnią szkolenia.
Postępowanie w sprawie uznania dostawcy za wysokiego ryzyka pozwoli wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Takie decyzje będzie podejmował Minister Cyfryzacji przy współudziale Kolegium do Spraw Cyberbezpieczeństwa w ramach transparentnego, wieloetapowego postępowania administracyjnego.
Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania w ciągu 7 lat. Dostawca, który nie zgadza się z decyzją, będzie mógł wnieść skargę do sądu administracyjnego. (PAP Biznes)
mcb/ osz/
