W czwartek prezydent Karol Nawrocki zakomunikował, iż zatwierdził zmianę ustawy o krajowym systemie cyberbezpieczeństwa, która wprowadza między innymi nowe zobowiązania dla podmiotów o znaczeniu kluczowym i istotnym. Niemniej jednak, przekazał ją do Trybunału Konstytucyjnego, w procedurze kontroli następczej.
Głowa państwa oceniła w nagraniu zamieszczonym w serwisie X, że aktualizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wzmacnia systemy obronne, usprawnia współpracę instytucji i umożliwia eliminowanie dostawców stanowiących wysokie ryzyko.
Dodał również, że podpisał nowelizację, argumentując, że „bezpieczeństwo jest ponad podziałami partyjnymi”.
Karol Nawrocki podkreślił jednak, że musiał odpowiedzieć na sygnały od przedsiębiorców, którzy uważają obowiązki zawarte w nowelizacji „za zbyt obszerne i nieproporcjonalne”. Oznajmił, że w związku z tym przekazał wniosek do Trybunału Konstytucyjnego o kontrolę następczą tych regulacji.
Z komunikatu zamieszczonego na stronie prezydenta wynika, że powątpiewania głowy państwa budzi włączenie do ustawy 18 sektorów gospodarki, zgrupowanych w podmioty kluczowe i ważne. Zdaniem prezydenta, „rozszerzenie to nie wynika z regulacji europejskich, lecz jest niezależną inicjatywą rządu”.
Nawrocki ma także zastrzeżenia dotyczące przepisów regulujących zasady uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz reguły wydawania tzw. zaleceń zabezpieczających. „Przepisy te ingerują w autonomię działalności gospodarczej, w tym poprzez nałożenie konieczności wymiany sprzętu oraz oprogramowania i to bez rekompensaty, i bez zapewnienia środków finansowych na ten cel” – przekazał prezydent.
Jego zdaniem błędny jest także mechanizm podejmowania decyzji przez organy ds. cyberbezpieczeństwa względem podmiotów kluczowych i ważnych, z punktu widzenia gwarancji proceduralnych, jak również w zakresie ochrony sądowej. Nawrocki zaznaczył też, że przewidziany w ustawie system kar jest surowy, a ich wielkość „ma charakter samodzielnych środków karnych”.
Gwkowski krytykuje decyzję Nawrockiego
Wicepremier i minister ds. cyfryzacji Krzysztof Gawkowski, komentując decyzję prezydenta, napisał, że „oczywiście uznał, z pewnością za podszeptem zagranicznych lobbystów, że warto dalej utrudniać Polsce rozwój i część przepisów skierował do swoich sojuszników z Trybunału Konstytucyjnego”. Zaznaczył, że dla wielu firm i instytucji oznacza to trwanie w niepewności, odkładanie inwestycji i gotowość na różnorodne spory prawne. Dodał, że państwo „umie radzić sobie z taką destrukcją” i bezzwłocznie oraz skutecznie będzie wdrażać nowe rozwiązania, które wprowadza nowelizacja KSC.
Jak wynika z wpisu Gawkowskiego ustawa o KSC, to „istotny krok w kierunku większego bezpieczeństwa Polski w przestrzeni cyfrowej”. „Skorzystają obywatele, instytucje i firmy” – dodał.
Wiceminister ds. cyfryzacji Paweł Olszewski, odpowiedzialny za opracowanie nowelizacji, również na platformie X napisał, że „pomimo kolejnego posunięcia z Trybunałem Konstytucyjnym, po 6 latach Polska posiada nowoczesny Krajowy System Cyberbezpieczeństwa”. Według niego, dzięki tym regulacjom, Polska staje się o wiele trudniejszym celem w cyberprzestrzeni. „Nie możemy sobie pozwolić na rozwiązania połowiczne” – podkreślił.
Co zmienia nowela?
W nowelizacji ustawy o KSC do sektorów kluczowych zaliczono: energetykę, transport, ochronę zdrowia, bankowość i infrastrukturę rynków finansowych, zaopatrzenie w wodę, infrastrukturę cyfrową, jak również nieobecne dotychczas w KSC: gospodarkę ściekami, zarządzanie ICT (infrastrukturą teleinformatyczną) i przestrzeń kosmiczną. Do sektorów kluczowych dołączono też jednostki publiczne, w tym urzędy, samorządy, szkoły, szpitale i instytuty badawcze.
Z kolei do sektorów o znaczeniu istotnym, zgodnie z nowelizacją, wchodzą: usługi pocztowe; gospodarka odpadami; dostarczyciele usług cyfrowych; produkcja i dystrybucja substancji chemicznych; wytwarzanie, obróbka i dystrybucja artykułów spożywczych; produkcja, w tym m.in. artykułów medycznych, komputerów, urządzeń elektrycznych, pojazdów, przyczep i naczep.
Zgodnie z nowelizacją, podmioty gospodarcze muszą same ocenić, czy spełniają kryteria przynależności do podmiotu kluczowego lub istotnego. W przypadku odpowiedzi twierdzącej – będą miały obowiązek rejestracji w ewidencji podmiotów KSC i będą dysponować na to 6 miesiącami od momentu samoidentyfikacji. Niedopełnienie obowiązku zgłoszenia się do systemu pociąga za sobą ryzyko nałożenia sankcji.
Nowelizacja stanowi, że organizacje z sektorów kluczowych i istotnych będą zobowiązane do realizacji szeregu nowych powinności związanych z cyberbezpieczeństwem, w tym do wdrożenia systemu zarządzania bezpieczeństwem informacji, regularnego szacowania ryzyka wystąpienia incydentów i zarządzania incydentami. Konieczne będzie także gromadzenie informacji na temat cyberzagrożeń i słabości na incydenty oraz stosowanie metod ograniczających wpływ incydentów. Do tych metod zalicza się np. regularne aktualizacje oprogramowania, czy natychmiastowe podejmowanie czynności po zauważeniu zagrożenia.
Podmioty podlegające KSC będą także musiały wdrożyć techniczne i organizacyjne środki współmierne do oszacowanego ryzyka, które winny być dostosowane m.in. do wielkości organizacji. Wśród tych środków nowelizacja wymienia zasady i procedury cyberbezpieczeństwa, kontrolę dostępu do systemów, bezpieczne środki komunikacji, obejmujące uwierzytelnianie wieloskładnikowe oraz szkolenia dla pracowników. Wdrożone środki mają zabezpieczać bezpieczeństwo osób, otoczenia, zasobów podmiotu i łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych – PAP). Mają również zapewniać kontynuację działalności podmiotu i możliwość świadczenia usług w przypadku wystąpienia incydentu.
Nowelizacja zakłada, że podmioty kluczowe i ważne będą wymieniać się wzajemnie informacjami na temat incydentów, zagrożeń w cyberprzestrzeni i słabości za pomocą systemu s46. Ponadto podmioty kluczowe będą zobligowane do przeprowadzenia na własny koszt, przynajmniej raz na 3 lata, audytu bezpieczeństwa.
Podmioty kluczowe i ważne będą miały 12 miesięcy na dostosowanie się do regulacji – od dnia wejścia w życie nowelizacji ustawy.
Nowelizacja przewiduje również utworzenie sektorowych zespołów CSIRT, których zadaniem będzie wspieranie podmiotów objętych KSC w obsłudze incydentów cyberbezpieczeństwa.
Zgodnie z ustawą wprowadzony zostanie także Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Ma on być zatwierdzony przez Radę Ministrów w ciągu 6 miesięcy od dnia wejścia w życie nowelizacji. Minister ds. cyfryzacji zyska natomiast uprawnienia do wydawania poleceń zabezpieczających, w których wskaże zachowania ograniczające skutki trwającego incydentu krytycznego. W ramach tych poleceń może na przykład nakazać podmiotowi przeprowadzenie analizy ryzyka lub zabezpieczenie konkretnych informacji.
Nowelizacja wprowadza pojęcie „incydentu poważnego”, definiowanego jako zdarzenie, które powoduje lub może powodować: znaczne pogorszenie jakości; zakłócenie ciągłości świadczonych usług; straty finansowe; lub które ma wpływ na inne osoby i jednostki, wywołując poważne szkody. Podmioty kluczowe i ważne będą zobowiązane zgłaszać tego typu incydenty do odpowiedniego CSIRT-u w ciągu 72 godzin od ich wykrycia. Dodatkowo, w ciągu 24 godzin będą zobowiązane do przesłania do CSIRT-u sektorowego „wczesnego ostrzeżenia”. Podmioty KSC zostały również zobowiązane do poinformowania użytkowników usług o incydencie poważnym, jeśli incydent ten ma negatywny wpływ na świadczenie usług.
Za naruszenie przepisów na przedsiębiorstwa objęte KSC będą nakładane sankcje finansowe. Wysokość kary dla podmiotów kluczowych może sięgnąć 2 proc. przychodów firmy, z minimum 20 tys. zł i maksimum 10 mln euro (ok. 42,4 mln zł). Natomiast kary dla podmiotów ważnych mogą wynieść 1,4 proc. przychodów firmy, z dolną granicą 15 tys. zł i górną 7 mln euro (ok. 20 mln zł).
Niezależnie od tych limitów, za niezastosowanie się do nakazu organu ds. cyberbezpieczeństwa grozi kara od 500 zł do 100 tys. zł za każdy dzień zwłoki. Kara ta może zostać nałożona np. za niewykonanie nakazu podjęcia określonych działań dotyczących obsługi incydentu poważnego lub za nieprzeprowadzenie audytu.
Ustawa przewiduje także kary do 100 mln zł w sytuacji, gdy zostanie stwierdzone, że podmiot kluczowy lub ważny narusza przepisy ustawy, stwarzając bezpośrednie i poważne zagrożenie dla cyberbezpieczeństwa w obszarze obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi, albo powoduje ryzyko wyrządzenia poważnych szkód majątkowych lub poważnych utrudnień w świadczeniu usług.
W trakcie procedury sejmowej nad ustawą zostały przyjęte zmiany, które doprecyzowały niektóre rozwiązania. Jedną z nich jest wprowadzenie obowiązku udziału przedstawiciela prezydenta w rządowych pracach nad uchwałą Rady Ministrów w sprawie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę.
Kolejna zmiana zakładała, że administracyjne kary pieniężne za brak realizacji obowiązków wynikających z nowelizacji ustawy o KSC będą mogły być nakładane po raz pierwszy po upływie 2 lat od dnia wejścia w życie nowelizacji. Celem tego rozwiązania jest umożliwienie podmiotom objętym regulacją odpowiedniego przygotowania się do nowych wymagań.
Poprzednia wersja ustawy o KSC pochodzi z roku 2018 i nie zawiera przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego minął 18 października 2024 r.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma wejść w życie w terminie miesiąca od dnia jej ogłoszenia. (PAP)
mbl/ mick/ mhr/