24 kwietnia Ministerstwo Cyfryzacji opublikowało na swojej stronie prezentację dotyczącą projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz niektórych innych ustaw. Nowelizacja ustawy skupia się na wytycznych dyrektywy NIS2, Krajowym Planie Odbudowy i Zwiększaniu Odporności oraz Toolbox 5G, który stanowi zestaw środków dotyczących minimalnej harmonizacji i standaryzacji rozwiązań cyberbezpieczeństwa sieci 5G na poziomie Unii Europejskiej. Celem ustawy jest znaczące wzmocnienie ochrony obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni.
Ustawa wprowadza zmiany w zakresie:
- podmiotów kluczowych i ważnych,
- zespołów CSIRT,
- systemu S46 i Pojedynczego Punktu Kontaktowego,
- wprowadzenia polecenia zabezpieczającego
- nadzoru i środków egzekwowania przepisów przez organy właściwe ds. cyberbezpieczeństwa,
kompetencji Ministra Cyfryzacji, - zmiany obowiązków Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa,
instytucji dostawcy wysokiego ryzyka.
Od tego czasu prowadzone były konsultacje projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, które zakończone zostaną 24 maja br. Sam projekt wraz z dokumentami towarzyszącymi dostępny jest tutaj.
Projekt ustawy wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. Urz. UE L 333 z 27.12.2022, str. 80) oraz stanowi kamień milowy reformy C3.1. Krajowego Planu Odbudowy i Zwiększania Odporności. Termin wdrożenia dyrektywy NIS2 upływa 17 października 2024 r.
Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązuje od 1 sierpnia 2018 r. Od tego czasu obraz cyberprzestrzeni znacząco się zmienił. Jak czytamy w Ocenie Skutków Regulacji projektu, zmiany wprowadzone przez dyrektywę NIS 2 oraz pojawiające się nowe cyberzagrożenia powodują konieczność stosownych zmian w KSC.
NIS 2 i KSC – Kogo obejmą nowe przepisy?
Zmiany swoim zasięgiem obejmą ponad 38.000 podmiotów, w tym prawie 28.000 z sektora administracji publicznej oraz prawie 1300 z obszaru ochrony zdrowia.
Nowe przepisy będą dotyczyć nie tylko dużych organizacji, ale również tych, które zatrudniają co najmniej 50 osób lub osiągają roczny przychód wynoszący co najmniej 10 mln EUR.
Przepisy mają wejść w życie w ciągu miesiąca od opublikowania w Dzienniku Ustaw RP. Podmioty objęte zakresem nowych regulacji będą miały 6 miesięcy na dostosowanie swojej działalności do nowych wymogów. Projekt nakłada na firmy szereg nowych obowiązków, za których niespełnienie przewidziane są wielomilionowe kary finansowe.
Rada Ministrów może określić szczegółowe wymagania dla każdego sektora, w drodze rozporządzenia, oddzielnie dla danego rodzaju działalności, jednak w większości przypadków będą to następujące obowiązki:
- Stworzenie, wdrożenie i rozwijanie systemów zarządzania bezpieczeństwem informacji zgodnie z normami ISO 27001 oraz ISO 22301.
- Wdrożenie zabezpieczeń chroniących przed incydentami cyberbezpieczeństwa, zgodnie z analizą ryzyka i najnowszym stanem wiedzy.
- Zgłaszanie incydentów do organu nadzorczego (wczesne ostrzeżenie w terminie 12/24 godzin, zgłoszenie w ciągu 72 godzin) oraz powiadamiania własnych użytkowników o incydentach.
- Wdrożenie nowej, bardziej rozbudowanej dokumentacji dotyczącej cyberbezpieczeństwa.
- Przeprowadzanie audytu wstępnego w ciągu 12 miesięcy i regularnych audytów bezpieczeństwa co dwa lata przez osoby o odpowiednich kompetencjach oraz udostępniania wyników audytów organowi regulacyjnemu w ciągu 3 dni od ich otrzymania.
- Rejestracja w krajowym systemie informatycznym S46 oraz wymiany informacji za jego pośrednictwem.
- Zarządzania ryzykiem w łańcuchu dostawców usług ICT.
- Zapewnienie pracownikom dostępu do wiedzy pozwalającej na zrozumienie cyberzagrożeń i cyberbezpieczeństwa.