Prezydent podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), nad którą prace trwały kilka lat i która wywołała szeroką debatę w wielu środowiskach. Nowe przepisy implementują do polskiego porządku prawnego unijną dyrektywę NIS 2 dotyczącą cyberbezpieczeństwa. Termin wdrożenia tych regulacji przez państwa członkowskie UE upłynął 17 października 2024 r. Ministerstwo Cyfryzacji podkreśla, że zmiany mają usprawnić reagowanie na incydenty, poprawić ochronę danych oraz zwiększyć stabilność infrastruktury krytycznej i usług kluczowych dla funkcjonowania państwa.
Kontrowersje wokół ustawy i decyzja o kontroli następczej
Proces legislacyjny towarzyszyły liczne kontrowersje. Część organizacji reprezentujących przedsiębiorców telekomunikacyjnych – m.in. KIKE, Mediakom, Nasza Wizja czy Stowarzyszenie e-Południe – apelowała do Prezydenta o zawetowanie ustawy. Inne środowiska wskazywały, że przyjęcie nowych regulacji jest konieczne dla wzmocnienia odporności państwa na zagrożenia cyfrowe.
Prezydent zdecydował się podpisać ustawę, jednocześnie kierując jej część – dotyczącą obowiązków nakładanych na przedsiębiorców – do Trybunału Konstytucyjnego w trybie kontroli następczej. Oznacza to, że ustawa wejdzie w życie po publikacji w Dzienniku Ustaw, jednak wybrane przepisy zostaną poddane ocenie pod kątem zgodności z Konstytucją. W przypadku stwierdzenia niezgodności Trybunał może je uchylić.
Rozszerzenie zakresu podmiotowego – 18 sektorów gospodarki
Nowelizacja znacząco rozszerza katalog podmiotów objętych regulacją. Obok sektorów takich jak energia, transport, zdrowie, bankowość, infrastruktura rynków finansowych, zaopatrzenie w wodę czy infrastruktura cyfrowa, wprowadzono również m.in. ścieki, zarządzanie ICT, sektor kosmiczny, pocztowy, produkcję i dystrybucję chemikaliów oraz żywności.
Szacuje się, że nowe obowiązki mogą objąć około 38 tysięcy podmiotów zakwalifikowanych jako kluczowe lub ważne. Przepisy nakładają na nie obowiązek wdrożenia adekwatnych środków technicznych i organizacyjnych w celu zabezpieczenia systemów informatycznych oraz wprowadzają odpowiedzialność kadry zarządzającej za realizację zadań z zakresu cyberbezpieczeństwa. Krytycy ustawy wskazują, że tak szerokie rozszerzenie zakresu podmiotowego nie wynika wprost z dyrektywy NIS 2 i stanowi autonomiczną decyzję ustawodawcy krajowego.
Obowiązki organizacyjne i techniczne podmiotów
Ustawa zobowiązuje podmioty kluczowe i ważne do wdrożenie rozwiązań technicznych i organizacyjnych z zakresu cyberbezpieczeństwa, aby chronić swoje dane i infrastrukturę przed cyberzagrożeniami. Rozwiązania te będą musiały być dopasowane do wielkości podmiotu oraz charakteru świadczonych usług. W ramach dostosowania podmioty te będą zobowiązane do przeanalizowania swoich zasobów, identyfikacji cyberzagrożeń, przeglądu obowiązujących procedur oraz przeszkolenia pracowników.
Nowelizacja przewiduje także utworzenie sektorowych zespołów CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w poszczególnych branżach. Ich zadaniem będzie nie tylko reagowanie na zdarzenia, lecz również budowanie bazy wiedzy o zagrożeniach i podatnościach charakterystycznych dla danego sektora.
Usprawnione zostanie też zgłaszanie incydentów – informacje będą przekazywane bezpośrednio do zespołów CSIRT przez system S46, tj. system teleinformatyczny, który wspiera zgłaszanie i obsługę incydentów, wymianę informacji i współpracę pomiędzy uczestnikami Krajowego Systemu Cyberbezpieczeństwa.
Dostawcy wysokiego ryzyka (DWR) i polecenia zabezpieczające
Jednym z najbardziej dyskutowanych elementów nowelizacji są przepisy dotyczące dostawców wysokiego ryzyka (DWR), które mogą dotknąć przede wszystkim chińskich dostawców sprzętu, który jest dość powszechnie wykorzystywany. Postępowanie w sprawie uznania dostawcy za podmiot wysokiego ryzyka ma umożliwić eliminację sprzętu i usług uznanych za potencjalnie niebezpieczne z kluczowych systemów państwa.
Decyzję w tym zakresie będzie podejmował Minister Cyfryzacji przy współudziale Kolegium ds. Cyberbezpieczeństwa, w ramach wieloetapowego postępowania administracyjnego. Podmioty kluczowe i ważne nie będą mogły wprowadzać do systemów produktów dostawcy uznanego za wysokiego ryzyka. W przypadku ich wcześniejszego wdrożenia przewidziano obowiązek wycofania takich rozwiązań w terminie do 7 lat. Dostawca ma prawo do złożenia skargi do sądu administracyjnego.
System kar i okres przejściowy
Za nieprzestrzeganie przepisów ustawy o KSC na przedsiębiorców nią objętych będą nakładane kary: co do zasady na podmioty kluczowe o wysokości minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł); a na podmioty ważne – min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł). Kara może też wynieść 2 proc. przychodów firmy – w przypadku podmiotów kluczowych, a w przypadku podmiotów ważnych – 1,4 proc. przychodów.
Niezależnie od limitów, za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.
Jednocześnie Sejm przyjął poprawkę, zgodnie z którą administracyjne kary pieniężne za brak realizacji obowiązków będą mogły być nakładane po raz pierwszy po upływie dwóch lat od wejścia ustawy w życie. Okres ten ma umożliwić przedsiębiorcom dostosowanie się do nowych wymogów.
