Rząd przyjął projekt nowelizacji ustawy o KSC, wdrażający unijną dyrektywę NIS2

Celem zmian jest skuteczniejsza ochrona obywateli, instytucji i firm przed rosnącymi zagrożeniami cyfrowymi oraz zwiększenie odporności państwa na cyberataki. „Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco wzmacnia nasze możliwości obrony. Nowe przepisy pozwolą szybciej reagować na zagrożenia i lepiej chronić obywateli, instytucje i firmy. Dzięki nim Polska będzie bardziej odporna na cyberataki i przygotowana na wyzwania przyszłości” – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.

Projekt rozszerza katalog podmiotów krajowego systemu cyberbezpieczeństwa o branże dotąd poza jego zakresem, m.in.: usługi pocztowe, gospodarkę wodno-ściekową, przemysł chemiczny, produkcję żywności czy sektor kosmiczny. Powstaną też nowe zespoły CSIRT odpowiedzialne za reagowanie na incydenty w poszczególnych sektorach i budowanie wiedzy o zagrożeniach.

Więcej kompetencji dla instytucji

Projekt ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo naszego kraju, zyskają nowe kompetencje.

Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego czy Prezes UKE) będą mogły:

• wydawać ostrzeżenia,
• wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy,
• nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa.

Wzrosną także kompetencje ministra cyfryzacji. Będzie on mógł wydawać decyzje w sprawie identyfikacji dostawcy wysokiego ryzyka oraz polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa.

Również Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa zyska nowe uprawnienia. Będzie on mógł:

• wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów KSC;
• żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań;
• kupować oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa.

Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.

Nowe obowiązki dla firm

Dyrektywa NIS2 wprowadziła podział na podmioty kluczowe i ważne – to znaczy takie, które działają w ramach obszarów szczególnie istotnych dla prawidłowego funkcjonowania państwa. Są to podmioty z sektorów kluczowych (m.in. energetyka, transport, bankowość czy dostarczanie wody pitnej) oraz ważnych (np. usługi pocztowe czy produkcja).

Projektowane przepisy nałożą na takie podmioty nowe obowiązki. Będą one musiały stosować odpowiednie środki techniczne, operacyjne i organizacyjne, by skutecznie zarządzać ryzykiem dla bezpieczeństwa sieci i systemów informatycznych (zgodnie z wymogami dyrektywy). Wprowadzona zostanie także odpowiedzialność kierownika podmiotu za realizację zadań z zakresu cyberbezpieczeństwa. Kierownik będzie zobowiązany do odbycia szkolenia w tym zakresie, a w razie niewywiązania się z obowiązków – będzie mógł ponieść karę.

Nowe regulacje mają także usprawnić zgłaszanie incydentów. Podmioty kluczowe i ważne będą przekazywać informacje o incydentach za pomocą systemu S46 bezpośrednio do odpowiednich zespołów CSIRT.

Ustawa wprowadzi również nowe kary pieniężne, m.in. za brak wdrożenia systemu zarządzania bezpieczeństwem informacji lub niezarejestrowanie się w wykazie podmiotów kluczowych i ważnych.

Aby spełnić nowe wymagania, podmioty, w tym firmy, zakwalifikowane jako podmioty kluczowe lub ważne w krajowym systemie cyberbezpieczeństwa będą musiały wprowadzić rozwiązania techniczne i organizacyjne dopasowane do swojej wielkości. Trzeba będzie dokładnie sprawdzić infrastrukturę, przeanalizować procesy i procedury wewnętrzne oraz przeszkolić pracowników.

Każdy z podmiotów będzie musiał stworzyć system zarządzania bezpieczeństwem informacji, w tym:

• regularnie oceniać ryzyko wystąpienia incydentów,
• wprowadzić rozwiązania techniczne i organizacyjne odpowiednie do poziomu ryzyka,
• zbierać informacje o cyberzagrożeniach i podatnościach systemów używanych do świadczenia usług,
• zarządzać incydentami,
• stosować środki, które zapobiegają incydentom i ograniczają ich wpływ na bezpieczeństwo systemów.

Dyrektywa NIS2 odeszła od sztywnych wymogów bezpieczeństwa na rzecz podejścia opartego na analizie ryzyka. Każdy podmiot objęty jej postanowieniami musi sam przeprowadzić taką analizę i dopasować zabezpieczenia do wykrytego ryzyka. Takie rozwiązanie zapewnia elastyczność i pozwala dopasować zabezpieczenia do charakteru i skali działania organizacji.

Nowe sektorowe zespoły CSIRT będą aktywnie wspierać przedsiębiorców – pomogą w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach i zapewnią szkolenia. Kluczowa będzie przy tym współpraca i budowanie wzajemnego zaufania między podmiotami kluczowymi i podmiotami ważnymi z danego sektora a zespołem CSIRT.

Eliminacja dostawców wysokiego ryzyka

Postępowanie w sprawie uznania dostawcy za dostawcę wysokiego ryzyka ma umożliwić wyeliminowanie niebezpiecznego sprzętu i usług z kluczowych dla funkcjonowania państwa systemów informatycznych. Podobne przepisy wprowadziła już większość państw Unii Europejskiej.

Decyzję o uznaniu danego dostawcy za dostawcę wysokiego ryzyka będzie wydawał minister cyfryzacji. Takie decyzje będą wynikiem wieloetapowego, transparentnego postępowania administracyjnego, w którym uczestniczyć będzie Kolegium do Spraw Cyberbezpieczeństwa, a także – opcjonalnie – organizacje społeczne oraz Urząd Ochrony Konkurencji i Konsumentów.

W efekcie wydanej decyzji podmioty szczególnie istotne dla funkcjonowania państwa nie będą mogły wprowadzać do swoich systemów określonych rodzajów produktów i usług ICT pochodzących od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania – co do zasady – w ciągu 7 lat. Co ważne, dostawca, który nie zgadza się z decyzją, będzie mógł złożyć skargę do sądu administracyjnego.

Załączona poniżej infografika przedstawia szczegółowy schemat postępowania w sprawie uznania za dostawcę wysokiego ryzyka.

Odporna Polska cyberprzestrzeń

Nowelizacja rozszerzy zakres Strategii Cyberbezpieczeństwa RP i wprowadzi Krajowy plan reagowania na incydenty dużej skali. Nowe przepisy mają zapewnić ciągłość działania najważniejszych usług i lepszą ochronę danych obywateli – wzmacniając fundamenty bezpiecznej, nowoczesnej i odpornej cyfrowo Polski.