Opóźnienie we wdrożeniu dyrektywy NIS 2
17 października upłynął termin wdrożenia dyrektywy NIS 2, która nakłada na państwa Unii Europejskiej dodatkowe wymogi dotyczące cyberbezpieczeństwa. W Polsce nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma implementować te przepisy, nie została jeszcze uchwalona. Minister Cyfryzacji zapowiedział, że proces ten zakończy się najwcześniej w I kwartale 2025 roku.
Nowa wersja ustawy o Krajowym Systemie Cyberbezpieczeństwa
Na początku października 2023 roku Ministerstwo Cyfryzacji ogłosiło zakończenie prac nad 18. wersją projektu nowelizacji ustawy o KSC. Dokument ten wprowadza zapisy dyrektywy NIS 2 oraz Toolbox 5G, który ma ujednolicić standardy cyberbezpieczeństwa dla sieci 5G w całej Unii Europejskiej. W trakcie konsultacji społecznych 215 interesariuszy zgłosiło swoje uwagi, z których około 70% zostało uwzględnionych. Zmiany obejmują m.in. doprecyzowanie kryteriów klasyfikacji podmiotów kluczowych i ważnych oraz wydłużenie czasu na zgłoszenie cyberincydentu z 12 do 24 godzin.
Konsultacje społeczne zakończone
Konsultacje społeczne projektu ustawy zakończyły się, a obecnie trwają dalsze prace legislacyjne. Projekt skierowano do komitetów Rady Ministrów oraz Komisji Wspólnej Rządu i Samorządu Terytorialnego. Ministerstwo Cyfryzacji planuje, aby ustawa została przyjęta przez Radę Ministrów do końca 2024 roku, a następnie skierowana do parlamentu. Ze względu na opóźnienie we wdrożeniu regulacji NIS 2, proces ten powinien przebiegać sprawnie.
Kluczowe zmiany w ustawie o KSC
Nowe zasady nadzoru i kontroli
Ustawa wprowadza bardziej przejrzyste zasady nadzoru nad podmiotami kluczowymi i ważnymi, w tym bankami, firmami telekomunikacyjnymi i sektorem energetycznym. Wyznaczenie jednego organu nadzorującego ma usprawnić współpracę i przyspieszyć reakcję na zagrożenia.
Kontrole doraźne
Nowością w ustawie są kontrole doraźne, które będą mogły być przeprowadzane natychmiast po zgłoszeniu potencjalnych naruszeń. Mogą one być zainicjowane m.in. przez urzędnika monitorującego.
Kary pieniężne
Projekt wprowadza nowe zasady nakładania kar pieniężnych. Ich wysokość będzie uzależniona od skali naruszenia, czasu trwania oraz poziomu współpracy z organami nadzoru. Złagodzono przepisy dotyczące okresowych kar pieniężnych.
Urzędnik monitorujący
Nowelizacja ustawy precyzuje rolę urzędników monitorujących, którzy będą nadzorować systemy IT podmiotów kluczowych przez określony czas, nie dłuższy niż miesiąc.
Zasady dla dostawców wysokiego ryzyka (DWR)
Szczególne przepisy dotyczą operatorów telekomunikacyjnych i dostawców wysokiego ryzyka (DWR). Ministerstwo Cyfryzacji będzie mogło rozpocząć postępowanie w celu wskazania takich dostawców w kontekście ochrony bezpieczeństwa państwa. Usunięcie sprzętu lub oprogramowania DWR będzie musiało nastąpić w ciągu 4-7 lat, w zależności od wielkości podmiotu.
Wymogi NIS 2 dla przedsiębiorstw
Dyrektywa NIS 2 wprowadza nowe wymagania dotyczące cyberbezpieczeństwa, obejmujące zaawansowane środki techniczne i organizacyjne, analizy ryzyka oraz obowiązek raportowania incydentów w ciągu 24 godzin od ich wykrycia. Nowe regulacje obejmują zarówno podmioty kluczowe, jak i te znajdujące się w ich łańcuchu dostaw, co oznacza, że wymogi mogą dotyczyć także przedsiębiorstw spoza branż bezpośrednio wskazanych w ustawie.
