Zmiany w Krajowym Systemie Cyberbezpieczeństwa. Senat podjął kluczową decyzję

Potrzebny podpis prezydenta. Senat przyjął nową ustawę o cyberbezpieczeństwie, która wprowadza w Polsce unijne przepisy i nowe zasady ochrony sieci 5G. Ustawa nakłada dodatkowe obowiązki na firmy z ważnych sektorów, pozwala ministrowi wskazywać „dostawców wysokiego ryzyka” i określa, kiedy ich sprzęt musi być usunięty. Teraz dokument trafi do podpisu prezydenta. Za uchwaleniem ustawy głosowało 75 senatorów, pięciu było przeciw, nikt nie wstrzymał się od głosu.

Wdrożenie unijnej dyrektywy NIS 2 i Toolbox 5G

Nowelizacja ma na celu implementację do polskiego prawa unijnej dyrektywy NIS 2 dotyczącej cyberbezpieczeństwa oraz tzw. Toolboxu 5G , czyli unijnego dokumentu odnoszącego się do bezpieczeństwa sieci 5G .

Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych, wprowadzając kategorie „podmiotów kluczowych” oraz „podmiotów ważnych”.

Czytaj także: Krajowy system cyberbezpieczeństwa. Rząd zaostrza przepisy

Nowe sektory objęte regulacjami

NIS 2 rozszerza katalog sektorów objętych obowiązkami z zakresu cyberbezpieczeństwa.

Obok energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę i infrastruktury cyfrowej, dyrektywa obejmuje także ścieki, zarządzanie ICT , p rzestrzeń kosmiczną , usługi pocztowe , produkcję i dystrybucję chemikaliów oraz produkcję i dystrybucję żywności .

Czytaj także: Polska toczy wojnę w cyberprzestrzeni. „W 99 proc. odpieramy ataki”

Dostawca wysokiego ryzyka i nowe kompetencje ministra

Przepisy przewidują rozszerzenie uprawnień ministra właściwego do spraw informatyzacji. Będzie on mógł wskazać dostawcę wysokiego ryzyka na podstawie kryteriów technicznych i nietechnicznych, po konsultacjach z prokuraturą, stroną społeczną oraz kolegium do spraw cyberbezpieczeństwa .

Decyzja ministra będzie mogła zostać zaskarżona do sądu administracyjnego.

Sprzęt dostawcy uznanego za wysokiego ryzyka będzie musiał zostać usunięty z systemów podmiotów kluczowych i ważnych w okresie od czterech do siedmiu lat .

Czytaj także: „Raport specjalny”: Seria tajemniczych pożarów to nie przypadek

Nowe obowiązki dla firm

Nowelizacja nakłada na podmioty kluczowe i ważne – m.in. z sektorów energii, zdrowia, bankowości, produkcji czy zaopatrzenia w wodę – szereg nowych obowiązków. Obejmują one m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT oraz regularną ocenę ryzyka wystąpienia incydentów.

Zaległe wdrożenie unijnych przepisów

Obowiązująca dotąd ustawa o Krajowym Systemie Cyberbezpieczeństwa pochodzi z 2018 roku i nie zawierała przepisów implementujących dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 roku.

Wejście w życie

Ustawa ma wejść w życie po upływie miesiąca od dnia ogłoszenia.

Czytaj także: „Nie ma sygnałów o zagrożeniu polskich lotnisk”. Minister cyfryzacji uspokaja