W piątek Sejm przyjął nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażającej dyrektywę NIS2.
Podczas piątkowego posiedzenia w kolejnych głosowaniach po godz. 17.30 przyjęto projekt nowelizacji ustawy o KSC pochodzącej z 2018 roku. Projekt nowelizacji, który miał być przyjęty za kadencji poprzedniego Sejmu, w zaaprobowano w jego 21. wersji i 4. wersji projektu obecnego rządu. Nowelizacja wprowadza przepisy dyrektywy NIS 2, której termin wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r. i Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Przyjęty projekt trafi do Senatu a następnie zostanie przedłożony do podpisu Prezydenta.
Kwadrans poprawek i przyjęcie projektu
Podczas posiedzenia, odrzucono najpierw w głosowaniu wniosek o odrzucenie projektu w całości, a następnie przyjęto poprawki wprowadzajace m.in. definicję CSIRT czy bezpieczeństwa systemów informatycznych, „dostawca sieci dostarczania treści”, „dostawca chmury obliczeniowej”, „dostawca usługi centrum przetwarzania danych”, „dostawca usług zarządzanych w zakresie cyberbezpieczeństwa”. Przyjęto także poprawkę o udziale przedstawiciela Prezydenta RP w pracach nad rządowym planem reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Inna poprawka dotyczy obowiązku ministra cyfryzacji do publikacji w Biuletynie Informacji Publicznej w ciągu trzech miesięcy od wejścia w życie ustawy zestawienia dokumentów normalizacyjnych.
Jedną z ciekawych przyjętych poprawek jest także obniżenie wysokości kary nakładanej na kierownika podmiotu kluczowego lub ważnego za niedopełnienie przez organizację obowiązków wynikajacych z ustawy z 300% do 100% ekwiwalentu urlopowego. Odrzucono za to poprawkę, która zakładała stosowanie kar administracyjnych za brak realizacji obowiązków dopiero w ciągu dwóch lat po wejściu w życie ustawy.
Łącznie głosowano 17 poprawek zgłoszonych przez różne kluby, po czym nastąpiło głosowanie nad projektem: przy 407 głosach za, 10 przeciw i 17 wstrzymujących się przyjęto projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Sektorowe CSiRT-y
Przypomnijmy, że w myśl przyjętej noweli, katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki, takie jak np. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności.
Nowe zespoły CSIRT będą wspierać obsługę incydentów w kolejnych sektorach gospodarki aby poprawić skuteczność reagowania na cyberzagrożenia i budować bazę wiedzy o zagrożeniach oraz podatnościach danego sektora. Nowelizacja rozszerza Strategię Cyberbezpieczeństwa RP na wszystkie sektory z podmiotami kluczowymi i ważnymi oraz wprowadza Krajowy plan reagowania na incydenty i sytuacje kryzysowe.
Jak przypomina komunikat ministerstw cyfryzacji, projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje. Organy właściwe ds. cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego, czy Prezes UKE) będą mogły:
- wydawać ostrzeżenia,
- wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy,
- nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.
Minister Cyfryzacji będzie mógł wydawać m.in. polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Przypomnijmy tylko, że było to jedną z osi sporu przy pierwszej próbie nowelizacji uKSC w 2022 r.
Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa będzie mógł:
- wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów IT podmiotów KSC;
- żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań;
- kupować oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.
CSIRT-y poziomu krajowego zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty. Funkcjonujące już Połączone Centrum Operacyjne Cyberbezpieczeństwa stanie się punktem wymiany informacji o cyberzagrożeniach, incydentach i podatnościach.
Podmioty kluczowe i ważne oraz nowe obowiązki
Dyrektywa NIS2 wprowadza podział na podmioty kluczowe i ważne, działające w strategicznych sektorach państwa: energetyka, transport, bankowość, czy wodociągi. Nowe przepisy nakładają na nie obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, zwiększających bezpieczeństwo systemów informatycznych, oraz odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa. Zgłaszanie incydentów będzie się odbywało bezpośrednio do zespołów CSIRT przez system S46.
Podmioty kluczowe i podmioty ważne będą musiały wdrożyć rozwiązania techniczne i organizacyjne z zakresu cyberbezpieczeństwa, aby chronić swoje dane i infrastrukturę przed cyberzagrożeniami. Rozwiązania te będą musiały być dopasowane do wielkości podmiotu oraz charakteru świadczonych usług. W ramach dostosowania podmioty te będą zobowiązane do przeanalizowania swoich zasobów, identyfikacji cyberzagrożeń, przeglądu obowiązujących procedur oraz przeszkolenia pracowników.
DWR: nerwy na ostatniej prostej
Procedura uznania za dostawcę wysokiego ryzyka nieoczekiwanie powróciła na ostatniej prostej prac nad projektem. O próbach lobbingu wśród posłów ze strony przede wszystkich chińskich dostawców technologii, w tym przede wszystkmi Huawei, informował podczas spotkania z dziennikarzami na pocz. grudnia ub. roku m.in. Michał Kanownik, prezes Zarządu Związku Cyfrowa Polska (ZIPSEE), a z-ca dyrektora departamentu cyfryzacji MC, Marcin Wysocki, wyraził się nawet, że kwestia przyjęcia lub wyrzucenia z projektu procedury dostawców wysokiego ryzyka będzie rzeczywistym probieżem tego, czy jesteśmy kolonią czy jesteśmy w stanie zadbać o minimum cybersuwerenności.
Postępowanie w sprawie uznania dostawcy za wysokiego ryzyka pozwoli wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Takie decyzje będzie podejmował Minister Cyfryzacji przy współudziale Kolegium do Spraw Cyberbezpieczeństwa w ramach transparentnego, wieloetapowego postępowania administracyjnego.
Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania w ciągu 7 lat, co wydaje się okresem niezwykle długim biorąc pod uwagę cykl życia np. obecnych rozwiązań i urządzeń sieciowych. Dostawca, który nie zgadza się z decyzją, będzie mógł wnieść skargę do sądu administracyjnego.
Zwraca uwagę, że ze względu na wagę problemu, do komunikatu MC o uchwaleniu nowelizacji został dołączony także dokument o DWR oraz kluczowych dezinformacjach związanych z procedurą.
Na łamach ITwiz częśto informowaliśmy o postępach prac i poszczególnych rozwiązaniach. W związku z zakończeniem pewnej epoki, możemy przypomnieć nadal aktualne i ciekawe teksty: o różnicach uKSC i NIS2 mecenas Agnieszki Wachowskiej z kancelari TKP, i efektach konsultacji spoecznych projektu, czy z całkiem zamierzchłej historii założenia pierwszego projektu nowelizacji.
