W ramach krajowego systemu cyberbezpieczeństwa znajdzie się więcej przedsiębiorstw – z sektorów gospodarki, które dotychczas nie wchodziły w jego skład.
To jedna ze zmian, jaką wprowadzi nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC). Zgodnie z informacją zamieszczoną w wykazie prac legislacyjnych i programowych Rady Ministrów nowela ma stanowić implementację dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (tj. 2022/2555; dalej: NIS2). Zwiększa ona poziom bezpieczeństwa cybernetycznego w Unii Europejskiej. W tym celu wprowadza środki zarządzania ryzykiem oraz obowiązki sprawozdawczości i wymiany informacji w kluczowych sektorach.
Zgodnie z wymaganiami NIS2 nowelizacja ustawy o KSC rozszerzy katalog podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki. W wykazie prac rządu ich nie określono, jednak unijna regulacja uwzględnia m.in. telekomunikację, usługi pocztowe i kurierskie, usługi chmury obliczeniowej i centrów danych, gospodarkę ściekami i odpadami oraz administrację publiczną. W ramach KSC pozostaną też nadal m.in. energetyka, transport i ochrona zdrowia.
Zgodnie z dyrektywą NIS2 w skład KSC powinny wejść wszystkie średnie (od 50 do 250 pracowników) i duże podmioty działające w tych sektorach (wcześniej to państwa członkowskie wyznaczały takie przedsiębiorstwa).
Oprócz znacznego rozszerzenia grona firm podlegających obowiązkom cyberbezpieczeństwa, nowe przepisy zwiększą też wymogi w tym zakresie. Dyrektywa wprowadza m.in. konieczność zabezpieczenia łańcuchów dostaw i szyfrowania danych. W odniesieniu do raportowania incydentów cyberbezpieczeństwa także zajdą zmiany. Zgłaszaniu do odpowiednich zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) będzie bowiem podlegało więcej zdarzeń – co ma sprecyzować planowana nowelizacja. Powoła ona także sektorowe CSIRT.
Planowany termin przyjęcia projektu przez Radę Ministrów to III kw. br. Dyrektywa NIS2 musi zostać wdrożona do 17 października br. Przepisy te powinny być stosowane od 18 października br.©℗
