W kwietniu 2024 r. Ministerstwo Cyfryzacji opublikowało projekt nowelizacji obowiązującej w tej chwili ustawy o krajowym systemie cyberbezpieczeństwa („Nowe KSC”). Projekt jest skutkiem przyjęcia unijnej dyrektywy NIS – 2 [1], która utworzyła nowe ramy systemu zapewnienia cyberbezpieczeństwa w Unii Europejskiej. Dyrektywa weszła w życie w styczniu 2023 r. a nowe przepisy mają zostać wdrożone w krajach członkowskich do 17 października 2024. Jakie zmiany planuje wprowadzić polski ustawodawca w związki z wejściem w życie dyrektywy NIS – 2? O tym w dalszej części artykułu.
Przede wszystkim projekt zakłada zmiany w definicjach ustawowych wynikające ze zmian w siatce pojęciowej, które wprowadziła dyrektywa NIS -2. Dyrektywa odeszła od stosowanych do tej pory pojęć „operator usług kluczowych” i „dostawca usług cyfrowych”. Zamiast tego obowiązki wynikające z NIS-2 kierowane są do dwóch kategorii podmiotów – podmiotów kluczowych oraz podmiotów ważnych. Takie samo rozróżnienie wprowadza więc też Nowe KSC. Lista podmiotów kluczowych i ważnych wraz z podziałem na sektory gospodarki, w których działają, została przedstawiona w projekcie w formie załączników. Do grupy podmiotów kluczowych zaliczani będą duzi przedsiębiorcy oraz niektóre inne jednostki (bez względu na ich wielkość), w tym wszystkie podmioty publiczne, które zostały wymienione w załącznikach. Natomiast podmiotami ważnymi będą podmioty wskazane w tych samych załącznikach, które są średnimi przedsiębiorcami (o ile nie kwalifikują się jako podmioty kluczowe) i niektóre inne jednostki. W załącznikach zostały wymienione sektory wrażliwe z punktu widzenia interesu publicznego, takie jak m.in. energetyka, transport, bankowość i rynki finansowe, ochrona zdrowia, administracja publiczna, infrastruktura cyfrowa i zarządzanie usługami ICT czy produkcja niektórych rodzajów towarów.
Nowe KSC zakłada też wprowadzenie procedury samorejestracji podmiotów kluczowych i podmiotów ważnych. w tej chwili obowiązujące brzmienie ustawy przewiduje, iż uznanie za operatora usługi kluczowej następuje w drodze decyzji, na którą można oczekiwać. Po wejściu w życie zmian, podmioty najważniejsze i ważne będą natomiast zobowiązane złożyć elektroniczny wniosek o wpis w specjalnym wykazie prowadzonym przez ministra adekwatnego ds. informatyzacji w terminie 2 miesięcy od spełnienia przez nie przesłanek powodujących nabycie takiego statusu. Przedsiębiorcy będą musieli więc samodzielnie przeprowadzać weryfikację, czy spełniają kryteria do uznania ich za podmioty najważniejsze lub ważne.
Podmioty najważniejsze i ważne mają zostać zobowiązane do wdrożenia systemu zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez te podmioty. w tej chwili obowiązek taki ciąży już na operatorach usług cyfrowych i podmiotach publicznych. Podmioty, które już były zobowiązane wdrożyć system albo wdrożyły go dobrowolnie, będą więc musiały wyłącznie dostosować go do nowych wymogów. System ma zapewnić odpowiednie zarządzanie ryzykiem i wdrożenie niezbędnych w tym celu środków. Obszary, jakie powinien zaadresować ten system, zostały wymienione w Nowym KSC.
Projekt nie wymaga przeprowadzenia certyfikacji zgodności systemu z wyłącznie jedną normą techniczną, ale przewiduje, iż aby wykazać jego zgodność można oprzeć się na popularnych normach ISO dot. systemu bezpieczeństwa informacji i zarządzania ciągłością działania (ISO 27001, ISO 22301). Spełnienie wymagań przywołanych norm będzie traktowane jako równoznacznie ze spełnieniem wymagań Nowego KSC. Natomiast jak najbardziej możliwe jest zapewnienie zgodności z ustawą poprzez wdrożenie systemu zarządzania bezpieczeństwem informacji w oparciu o inne normy czy standardy. System będzie podlegał badaniu w formie audytu przeprowadzanego raz na 2 lata.
Podmioty najważniejsze i ważne zobowiązane są zapewnić odpowiednią obsługę incydentów, w tym ich odpowiednią klasyfikację oraz informowanie adekwatnego CSIRT sektorowego o incydentach uznanych za poważne. W pierwszej kolejności podmioty najważniejsze i podmioty ważne będą zobowiązane do zgłoszenia wczesnego ostrzeżenia o incydencie poważnym niezwłocznie nie później niż w ciągu 24 godzin od momentu jego wykrycia. Następnie w ciągu 72 godzin konieczne będzie zgłoszenie incydentu poważnego wraz z dodatkowymi informacjami obejmującymi m.in. opis wpływu incydentu na świadczone usługi, opis przyczyn incydentu, a także informacje o podjętych dzianiach. Sprawozdanie końcowe z obsługi incydentu poważnego powinno natomiast zostać przekazane w ciągu miesiąca od dnia zgłoszenia incydentu.
Na chwilę obecną nie mamy pewności jakie incydenty będą uważane za poważne. Progi takiej kwalifikacji mają zostać określone przez Radę Ministrów w formie rozporządzenia.
Podmioty najważniejsze i podmioty ważne będą musiały zacząć realizować swojego obowiązki w terminie 6 miesięcy od dnia spełnienia przesłanek do uznania ich za taki podmiot. Termin został jednak wydłużony w przypadku obowiązku przeprowadzenia audytu systemu. Audyt będzie musiał zostać przeprowadzony po raz pierwszy w ciągu 12 miesięcy od dnia spełnienia tych przesłanek.
Odpowiedzialność w zakresie cyberbezpieczeństwa będą ponosić kierownicy podmiotów kluczowych i ważnych (w przypadku spółek kapitałowych będą to członkowie zarządu) nawet, jeżeli obowiązki w tym zakresie delegują innej osobie. Kierownicy powinni przechodzić odpowiednie szkolenia w zakresie cyberbezpieczeństwa raz do roku.
Nowe KSC zakłada nakładanie kar pieniężnych w przypadku niewykonywania obowiązków ciążących na podmiotach kluczowych i podmiotach ważnych. Minimalna wysokość kary dla podmiotu kluczowego została określona na poziomie 20 000 PLN a dla podmiotu ważnego – 15 000 PLN. Jednocześnie kary dla podmiotu kluczowego mają jednak nie przekraczać równowartości 10 000 000 euro lub 2% przychodów osiągniętych przez podmiot najważniejszy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary i równowartości 7 000 000 euro lub 1,4% przychodów dla podmiotu ważnego. Zastosowanie będzie jednak miała kara wyższa. Za niewykonywanie obowiązków określonych w ustawie karze pieniężnej może podlegać także kierownik podmiotu kluczowego lub podmiotu ważnego, a kara na kierownika może zostać nałożona niezależnie od tego, czy ukarano sam podmiot. Maksymalna wysokość kary nałożonej na kierownika ma wynosić 600% otrzymywanego przez niego wynagrodzenia.
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. Urz. UE L 2022/2555 z 27.12.2022)
Artykuł z dnia: 27.05.2024