Ministerstwo Cyfryzacji zakończyło prace nad projektem ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która wprowadza ważne modyfikacje w zarządzaniu bezpieczeństwem cyfrowym w Polsce. Zgodnie z zapowiedziami, przedstawiło dziś główne jego założenia na konferencji prasowej.
To 18. wersja nowelizowanej od kilku lat ustawy o KSC, która ma wprowadzić zapisy dyrektywy NIS2 oraz Toolbox 5G (zestaw środków dotyczącego minimalnej harmonizacji i standaryzacji na poziome UE rozwiązań cyberbezpieczeństwa sieci 5G). Wiele wskazuje, że będzie ona tą, której zapisy będą wprowadzane w życie. Jak podkreślali podczas konferencji minister cyfryzacji Krzysztof Gawkowski oraz wiceminister Paweł Olszewski, konsultacje publiczne były bardzo szerokie (w tym publiczna dyskusja na Stadionie Narodowym) i resort bardzo poważnie odniósł się do wnoszonych uwag.
W trakcie konsultacji społecznych swoje stanowisko do projektu przedstawiło 215 interesariuszy. Zgłosili oni 1567 uwag, a Ministerstwo Cyfryzacji uwzględniło około 70 proc. z ich propozycji. Wśród uwzględnionych zmian znalazło się m.in doprecyzowanie kryteriów klasyfikacji podmiotów kluczowych i ważnych oraz wydłużenie czasu na zgłoszenie wczesnego ostrzeżenia przez przedsiębiorców telekomunikacyjnych z 12h na 24h
Dla operatorów istotne jest, że zapisy o dostawcach wysokiego ryzyka (DWR) pozostają praktycznie bez zamian w stosunku do poprzedniego projektu. Jak wyjaśnił Krzysztof Gawkowski – nie we wszystkich kwestiach resort chciał przystać na proponowane zmiany i kompromis. Jedną z takich kwestii, gdzie był bezkompromisowy, były właśnie przepisy o DWR. Jest to bowiem, według resortu, jedna z kluczowych kwestii dla zapewnia cyberbezpieczeństwa państwa i obywateli.
Przypomnijmy, że zgodnie z projektowanymi przepisami w poprzedniej wersji (nowa nie został jeszcze udostępniona przez RCL, ale według słów przedstawicieli MC tu się nic nie zmienia) wskazanie dostawcy (sprzętu lub oprogramowania) wysokiego ryzyka ma następować na skutek postępowania, które będzie mógł wszcząć minister właściwy do spraw informatyzacji, w celu ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego.
Na usunięcie takiego sprzętu lub oprogramowania podmioty uznane za kluczowe i ważne będą mieć siedem lat. Jednak przedsiębiorcy telekomunikacyjni, których roczne przychody z tytułu wykonywania działalności telekomunikacyjnej w poprzednim roku obrotowym były wyższe od kwoty 10 mln złotych, będą to musieli zrobić w cztery lata – przepis ten dotyczy urządzeń odpowiedzialnych za krytyczne usługi dla bezpieczeństwa sieci.
Minister Gawkowski nie zgadza się z twierdzeniem, że operatorzy nie będą mieli na wycofanie urządzeń od DWR wystarczająco dużo czasu. De facto nowelizacja KSC najwcześniej przyjęta zostanie dopiero w przyszłym roku i automatycznie czas na dostosowanie tych wymogów się wydłuża (trudno też twierdzić, że te przepisy są zaskoczeniem).
Resort przewiduje, że do końca tego roku projektem tym zajmować się będzie rząd (uzgodnienia międzyresortowe). Jednocześnie zostanie skierowany on do Komisji Wspólnej Rządu i Samorządu Terytorialnego. Do końca tego roku akt ten powinien zostać przyjęty przez Radę Ministrów i skierowany do parlamentu. Potem wszystko już w rękach Sejmu i Senatu. Wiadomo jednak, że prace w parlamencie nad nim powinny pójść sprawnie (podobnie jak ostatnio z PKE), bo przepisy dyrektywy NIS 2 państwa unijne powinny zaimplementować już w połowie października tego roku. Polska jest więc tu już spóźniona.
Ministerstwo szacuje, że przepisom KSC będzie podlegać kilkadziesiąt tysięcy podmiotów w Polsce (uznane za podmioty kluczowe i ważne).
Najważniejsze zmiany, które według Ministerstwa Cyfryzacji wprowadza projekt nowelizacji ustawy o KSC:
- Nowe zasady nadzoru i kontroli: Projekt wprowadza bardziej przejrzyste zasady nadzoru nad podmiotami kluczowymi i ważnymi, w tym bankami, firmami telekomunikacyjnymi i sektorem energetycznym. Wprowadzono możliwość wyznaczania jednego organu wiodącego do sprawowania nadzoru, co usprawni współpracę i szybsze reagowanie na zagrożenia, a także zmniejszy uciążliwości w stosunku do podmiotów nadzorowanych.
- Kontrole doraźne: nowością jest procedura przeprowadzania kontroli doraźnych, które pozwolą na natychmiastowe działania w przypadku zagrożenia. Kontrole te będą mogły być przeprowadzane m.in. po zgłoszeniu przez urzędnika monitorującego, że podmiot może naruszać przepisy ustawy.
- Kary pieniężne: projekt przewiduje nowe zasady nakładania kar pieniężnych. Wysokość kar będzie zależała od szeregu kryteriów, w tym rodzaju i skali naruszenia, czasu jego trwania, ale także możliwości finansowych podmiotu i poziomu współpracy z organami nadzoru. Złagodzone zostały przepisy dotyczące okresowej kary pieniężnej.
- Urzędnik monitorujący: wprowadzone zmiany przewidują dokładne zasady dotyczące urzędników monitorujących. Będą oni wykonywali powierzone im zadania przez czas określony, nie dłuższy niż miesiąc. Podmiot kluczowy będzie musiał być wcześniej powiadomiony o oględzinach systemów IT.
