Senat przyjął przepisy o cyberbezpieczeństwie. Co zawiera ustawa?

Senat w środę przyjął bez poprawek nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, która wprowadza m.in. procedurę dostawcy wysokiego ryzyka. Teraz nowela trafi do prezydenta.

Nowelizacja wdraża unijną dyrektywę NIS 2 i Toolbox 5G
Nowe obowiązki firm z sektorów kluczowych i ważnych

Za przyjęciem ustawy głosowało 75 senatorów, przeciw było 5, nikt nie wstrzymał się od głosu.

Nowelizacja wdraża unijną dyrektywę NIS 2 i Toolbox 5G

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma wdrażać w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na „podmioty kluczowe” i „podmioty ważne”. Wprowadziła także nowe sektory objęte obowiązkami związanymi z cyberbezpieczeństwem. Obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej w dyrektywie NIS 2 dodano następujące sektory: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję i dystrybucję chemikaliów oraz produkcję i dystrybucję żywności.

Nowe przepisy przewidują rozszerzenie kompetencji ministra właściwego do spraw informatyzacji – m.in. będzie on mógł wskazywać dostawcę wysokiego ryzyka. Decyzja taka będzie mogła zostać podjęta według kryteriów technicznych i nietechnicznych, po konsultacjach z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa. Dostawca będzie mógł zaskarżyć decyzję do sądu administracyjnego. Sprzęt dostawcy wysokiego ryzyka będzie musiał być wycofany z systemów podmiotów kluczowych i podmiotów ważnych w ciągu od 4 do 7 lat.

Nowe obowiązki firm z sektorów kluczowych i ważnych

Nowela przewiduje, że firmy z sektorów kluczowych i ważnych (czyli m.in. energii, zdrowia, bankowości, produkcji, zaopatrzenia w wodę) będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem. Obowiązkowe będzie m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych – PAP) oraz regularne ocenianie ryzyka wystąpienia incydentów.

Poprzednia wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.

Ustawa ma wejść w życie po upływie miesiąca od dnia ogłoszenia. (PAP)

Łukasz Dobrzyński