Nowelizacja ustawy o KSC coraz bliżej Sejmu. Będą nowe obowiązki dla firm i administracji

W serwisie Rządowego Centrum Legislacji opublikowano szóstą w tej kadencji wersję projektu nowelizacji ustawy o KSC. Przepisy mające na celu zwiększenie cyberbezpieczeństwa wynikają m.in. z unijnej regulacji NIS2, której transpozycji należało dokonać do 17 października 2024 roku.

Nowelizacja KSC jest implementacją dyrektywy NIS2
Jak zapewnić cyberbezpieczeństwo sieci 5G?
Jak często trzeba będzie przeprowadzać audyt cyberbezpieczeństwa?

Ministerstwo Cyfryzacji chce, aby projekt zmiany ustawy o krajowym systemie cyberbezpieczeństwa trafił do Sejmu jeszcze przed wakacjami. Jest na to szansa, bo rządowe prace nad nowelizacją (tj. Dz.U. z 2024 r. poz. 1077 i 1222; dalej: KSC) zbliżają się do finału. Najnowsza wersja projektu została skierowana do prac w Stałym Komitecie Rady Ministrów.

Nowelizacja KSC jest implementacją dyrektywy NIS2

Projektowane przepisy wdrażają unijną dyrektywę NIS2 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa. Rozszerza ona grono sektorów gospodarki objętych obowiązkami w zakresie cyberbezpieczeństwa. Do dotychczasowych – m.in. energii, transportu, zdrowia, bankowości – dojdą takie sektory, jak poczta, produkcja i doprowadzenie wody. W sumie obowiązki wynikające z KSC obejmą ok. 38 tys. podmiotów – określanych jako kluczowe lub ważne – z 18 sektorów gospodarki oraz administrację publiczną.

Część projektowanych przepisów budzi kontrowersje. Organ właściwy ds. cyberbezpieczeństwa (odpowiedni dla danego sektora, może to być np. minister energii) będzie mógł m.in. wstrzymać albo ograniczyć koncesję firmy czy też wstrzymać w całości albo w części jej działalność. Takie sankcje mogą być konsekwencją niezastosowania się do nakazu lub decyzji organu cyberbezpieczeństwa.

Jak zapewnić cyberbezpieczeństwo sieci 5G?

Innym obszarem budzącym wiele dyskusji są rozwiązania związane z wdrożeniem tzw. toolboxu – tj. przyjętymi w Unii Europejskiej narzędziami oceny ryzyka dostawców sprzętu do sieci 5G i ograniczeń wobec dostawców wysokiego ryzyka (HRV). Projekt przewiduje tu zakaz zaopatrywania się w firmach, które decyzją ministra cyfryzacji zostaną uznane za dostawców wysokiego ryzyka. Wcześniej kupione od HRV produkty, usługi lub procesy związane z technologiami informacyjno-telekomunikacyjnymi (ICT) trzeba będzie zastąpić innymi. Opisane rozwiązania utrzymano w wersji projektu przekazanej SKRM.

Jak często trzeba będzie przeprowadzać audyt cyberbezpieczeństwa?

Nowością w obecnym projekcie są natomiast przepisy upoważniające ministra cyfryzacji do udzielenia wsparcia finansowego – w ramach programów rządowych, unijnych lub innych – na realizację projektów z zakresu cyberbezpieczeństwa. Mogą to być m.in. projekty, których celem jest tworzenie i rozwój produktów, usług oraz procesów ICT z zakresu cyberbezpieczeństwa; zapewnianie cyberbezpieczeństwa w danej jednostce organizacyjnej czy rozwój kompetencji cyberbezpieczeństwa.

Ponadto złagodzono wymagania odnośnie do przeprowadzania, na własny koszt, okresowego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi. Poprzednio ten obowiązek miał objąć podmioty kluczowe i ważne, a audyty miały się odbywać co dwa lata. Obecnie dotyczy to tylko podmiotów kluczowych, a okres ważności wydłużono do trzech lat. W dalszym ciągu audyt będzie mógł przeprowadzać podmiot posiadający odpowiednią akredytację.

Audyt będzie też mógł nakazać organ właściwy do spraw cyberbezpieczeństwa. Decyzja taka będzie podlegała natychmiastowemu wykonaniu. Podmiotowi kluczowemu można będzie zlecić dodatkowy audyt w każdym czasie, natomiast podmiotowi ważnemu w przypadku wystąpienia poważnego incydentu lub naruszenia przepisów ustawy.