Ministerstwo Cyfryzacji przedstawiło już siódmą wersję projektu zmiany ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC). W ostatni czwartek nowela kolejny raz była przedmiotem prac Stałego Komitetu Rady Ministrów. Nadal jednak nie została skierowana na posiedzenie rządu.

Jakie zmiany przynosi dyrektywa NIS2

Nowelizacja KSC wdroży unijną dyrektywę 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (NIS2). Powiększa ona grono sektorów gospodarki objętych obowiązkami w zakresie cyberbezpieczeństwa. Do dotychczasowych – m.in. energii, transportu, zdrowia, bankowości – dojdą takie sektory, jak poczta, produkcja żywności czy środków chemicznych, doprowadzenie wody. W sumie obowiązki wynikające z KSC obejmą ok. 38 tys. podmiotów – określanych jako kluczowe lub ważne – z 18 sektorów gospodarki oraz administracji publicznej.

W najnowszej wersji projektu doprecyzowano m.in. kryteria wielkościowe przy kwalifikacji podmiotów ważnych, tak aby zgodnie z dyrektywą NIS 2 uwzględnić duże przedsiębiorstwa. Określono ponadto, że organ odpowiedzialny za zarządzanie incydentami i zarządzanie kryzysowe w cyberbezpieczeństwie na dużą skalę będzie koordynował działania organów państwa. Wprowadzono również uprawnienia dla służb specjalnych dotyczące stosowania środków ograniczających wpływ incydentów na bezpieczeństwo realizowanych przez służby zadań.

Nowelizacja KSC nadal budzi kontrowersje

Projektodawca nie zrezygnował z rozwiązań, które budziły kontrowersje. Nowelizacja przewiduje m.in., że organ właściwy ds. cyberbezpieczeństwa (odpowiedni dla danego sektora, może to być np. minister energii) będzie mógł wstrzymać albo ograniczyć koncesję firmy czy też wstrzymać w całości albo w części jej działalność. Takie sankcje mogą być konsekwencją niezastosowania się do nakazu lub decyzji organu.

W razie zastosowania tego środka firmom zagrożonym paraliżem działalności będzie jednak przysługiwała skarga do sądu administracyjnego, która spowoduje zawieszenie stosowania sankcji (to rozwiązanie wprowadzono w jednej z poprzednich wersji). Sąd powinien rozstrzygnąć sprawę w ciągu miesiąca, choć będzie to jedynie termin instrukcyjny.

Problematyczną kwestią pozostają rozwiązania związane z wdrożeniem innych unijnych narzędzi. Chodzi o tzw. toolbox, tj. narzędzia oceny ryzyka dostawców sprzętu do sieci 5G (tzw. toolbox). Zgodnie z projektem będą one miały konsekwencje nie tylko dla branży telekomunikacyjnej, ale dla wszystkich 38 tys. podmiotów objętych KSC. Planowana nowela przewiduje dla nich zakaz zaopatrywania się w firmach, które decyzją ministra cyfryzacji zostaną uznane za dostawców wysokiego ryzyka (HRV). Wcześniej kupione od HRV produkty, usługi lub procesy związane z technologiami informacyjno-telekomunikacyjnymi (ICT) trzeba zaś będzie zastąpić innymi. Jak stwierdza resort cyfryzacji w dodatkowej analizie tych rozwiązań przekazanej SKRM, spośród państw Unii Europejskiej toolbox wdrożyło dotychczas 21, z czego 13 państw zastosowało już przepisy wobec dostawców wysokiego ryzyka.

Ile będzie kosztowała realizacja nowych zasad cyberbezpieczeństwa?

Na obecnym etapie głównym przedmiotem sporu między resortami są jednak kwestie finansowe. Krytyczne wobec projektu jest głównie Ministerstwo Finansów i Gospodarki. W uwagach do siódmej wersji ten resort stwierdza m.in., że na kolejnym posiedzeniu SKRM należy omówić kwestię limitu wydatków z budżetu państwa dla części budżetowej – informatyzacja. Projekt KSC podnosi je z 250 mln zł do ponad 502 mln zł rocznie (plan na lata 2026–2031). MFiG wytyka projektodawcy, że nie przedstawił na to źródła finansowania, co jest „szczególnie ważne wobec decyzji Komisji Europejskiej, zgodnie z którą Polska od lipca 2024 r. została objęta procedurą nadmiernego deficytu”. MC nie uwzględniło tej uwagi, odpierając, że zwiększenie limitu wydatków „jest związane z dodaniem nowych podmiotów jako beneficjentów Funduszu Cyberbezpieczeństwa” oraz koniecznością zapewnienia nowych etatów do jego obsługi.