W projekcie modyfikacji ustawy o narodowym systemie cyberbezpieczeństwa przewidziane są wysokie sankcje finansowe dla przedsiębiorstw, które naruszają przepisy prawa i stwarzają istotne niebezpieczeństwo dla bezpieczeństwa – poinformował PAP wicepremier i minister ds. cyfryzacji Krzysztof Gawkowski. Najwyższa kara w takich sytuacjach wynosi 100 mln zł.
Nowe powinności: od energetyki po produkcję artykułów spożywczych
W minionym tygodniu do Parlamentu wpłynął projekt zmiany ustawy o krajowym systemie cyberbezpieczeństwa (KSC), który implementuje w naszym kraju dyrektywę NIS 2. Projekt zakłada, iż przedsiębiorstwa z branż strategicznych i istotnych (czyli m.in. energetyki, ochrony zdrowia, sektora bankowego, wytwórstwa, aprowizacji w wodę), będą miały szereg nowych zobowiązań związanych z bezpieczeństwem w cyberprzestrzeni. Obowiązkowe będzie między innymi wdrożenie systemu zarządzania bezpieczeństwem informacyjnym, zagwarantowanie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych – PAP) oraz regularne szacowanie ryzyka wystąpienia incydentów.
Projekt przewiduje, że przedsiębiorstwom z branż objętych KSC za niedopełnienie obowiązków będą grozić kary pieniężne. W sytuacjach, gdy podmiot strategiczny lub istotny będzie łamać przepisy i jednocześnie stwarzać poważne niebezpieczeństwo m.in. dla obronności czy życia ludzkiego, kara może sięgnąć nawet 100 mln zł. Jest to maksymalny próg przewidziany w projekcie w takich okolicznościach.
Gawkowski: Celem jest zwycięstwo w wojnie hybrydowej
– Kary ujęte w nowelizacji stanowią elementy przymuszania do tego, by firmy, instytucje publiczne, państwo i obywatele traktowali bezpieczeństwo w cyberprzestrzeni bardzo poważnie – zaakcentował w rozmowie z PAP wicepremier i zwierzchnik Ministerstwa Cyfryzacji.
– Surowe kary są przeznaczone dla tych, którzy nie przestrzegają regulacji i mogą spowodować poważne zagrożenie dla bezpieczeństwa. Jeżeli nikt nie będzie przekraczał prawa, nie będzie żadnych kar – dodał.
Zapewnił, że „państwo nie będzie nadmiernie karało” przedsiębiorców.
Jak zaznaczył, modyfikacja ustawy o krajowym systemie cyberbezpieczeństwa ma za zadanie zapewniać ochronę w razie sytuacji kryzysowych w cyberprzestrzeni. – Ma dawać pewność, że wojna hybrydowa z Rosją, czy z innymi państwami zostanie wygrana; że nie zabraknie energii elektrycznej w gniazdku czy wody z kranu u obywateli. Ma dawać bezpieczeństwo firmom i podmiotom publicznym – podkreślił.
Podmioty „kluczowe” i „ważne”. Jakie wartości kar?
Modyfikacja ustawy o KSC ma na celu wdrożenie w Polsce unijnej dyrektywy NIS 2 w kwestii cyberbezpieczeństwa oraz Toolbox 5G, innymi słowy unijnego dokumentu odnoszącego się do bezpieczeństwa sieci 5G. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług strategicznych i dostawców usług cyfrowych na „podmioty kluczowe” i „podmioty ważne”. Wprowadza również nowe sektory, które są objęte obowiązkami związanymi z cyberbezpieczeństwem. Obok sektorów energetyki, transportu, ochrony zdrowia, sektora bankowego, infrastruktury rynków finansowych, aprowizacji w wodę, infrastruktury cyfrowej, w dyrektywie NIS 2 dodano następujące sektory: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, wytwarzanie i dystrybucję chemikaliów oraz wytwarzanie i dystrybucję żywności.
Za nieprzestrzeganie przepisów na przedsiębiorców z tych sektorów będą nakładane kary: co do zasady na podmioty kluczowe o wysokości minimalnej 20 tys. zł, a maksymalnej 10 mln euro (ok. 42,4 mln zł); a na podmioty ważne – min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł). Kara może również wynieść 2 proc. przychodów przedsiębiorcy osiągniętych w poprzednim roku obrotowym – w przypadku podmiotów kluczowych; a w przypadku podmiotów ważnych – 1,4 proc. przychodów.
100 mln zł kary – kiedy grozi najwyższa sankcja?
Niezależnie od ograniczeń, za niezastosowanie się do polecenia organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień zwłoki. Taka kara grozi np. za niedopełnienie polecenia podjęcia określonych działań dotyczących obsługi incydentu poważnego czy też za niezrealizowanie audytu.
Natomiast kara do 100 mln zł będzie dotyczyć sytuacji, w której zostanie zidentyfikowane, że podmiot kluczowy albo ważny narusza przepisy ustawy, a jednocześnie powoduje bezpośrednie i poważne niebezpieczeństwo cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje ryzyko wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
W uzasadnieniu projektu noweli resort cyfryzacji podkreślił, że jeśli naruszenie przepisów łączy się z poważnymi konsekwencjami dla państwa i jego obywateli, sankcje powinny być „adekwatnie wysokie”. Ma to na celu powstrzymanie danej firmy od kolejnych naruszeń. Jak zaznaczyło MC, jest to istotne, ponieważ obecnie w Polsce obowiązuje drugi stopień alarmowy (BRAVO-CRP), który jest wprowadzany, kiedy istnieje realne prawdopodobieństwo wystąpienia zdarzenia o charakterze terrorystycznym w cyberprzestrzeni, jednakże konkretny cel ataku nie został zidentyfikowany.
Obecna wersja ustawy o KSC pochodzi z 2018 roku i nie zawiera przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego minął 18 października 2024 r.
Monika Blandyna Lewkowicz (PAP)
mbl/ mick/ lm/
