Ministerstwo Cyfryzacji przedstawiło nowy projekt ustawy dotyczącej krajowego systemu cyberbezpieczeństwa. Regulacje są niezbędne zwłaszcza teraz, gdy liczba incydentów dotyczących cyberbezpieczeństwa stale wzrasta.
Na spotkaniu w ministerstwie poruszono tematy Dyrektywy NIS 2, Toolbox 5G (środki dotyczące minimalnej harmonizacji w ramach UE) oraz Krajowego Planu Odbudowy i Zwiększania Odporności cyfrowej infrastruktury kraju. Minister cyfryzacji Krzysztof Gawkowski przedstawił rys dotyczący tego zagadnienia na najbliższe miesiące. Przepisy mają być też pełną implementacją Dyrektywy NIS 2.
– Chcemy tę ustawę w końcu przeprowadzić. Mówimy o kolosalnej zmianie dla państwa. Potrzebne będą olbrzymie pieniądze z budżetu na cyberbezpieczeństwo – stwierdził minister Gawkowski.
Krajowy system cyberbezpieczeństwa, zgodnie ze słowami ministra, to kluczowa kwestia dla bezpiecznej przyszłości kraju. Każdy dzień zwłoki to droga donikąd. Implementacja przepisów planowana jest w ciągu najbliższego roku. Ustawa ma być przeprocesowana do końca grudnia, a podmioty na dostosowanie stanu faktycznego do nowych przepisów będą miały sześć miesięcy.
W przygotowanych przepisach brak jest instytucji operatora strategicznego. Ten podmiot ma być wprowadzony odrębną ustawą.
Projekt ustawy KSC to dopiero pierwszy krok do zwiększenia bezpieczeństwa kraju. Wiceminister Paweł Olszewski zaznaczył, że ministerstwo planuje szeroko zakrojone konsultacje z podmiotami obecnymi na rynku.
– To kwestia wizualizacji zagrożeń. Zwłaszcza że realia są takie, że w Ukrainie trwa wojna. Zdajemy sobie sprawę, że pracy jest sporo, a wyzwania stoją przed wszystkimi podmiotami na rynku. Nikogo nie chcemy jednak wykluczać. Zależy nam, aby krajobraz bezpieczeństwa był przejrzysty. Bezpieczeństwo ma pierwszeństwo.
Co z wymianą sprzętu wysokiego ryzyka? Minister Gawowski przyznał, że przepisy nie są wymierzone w żadne konkretne przedsiębiorstwa. Założeniem tego działania ma być przede wszystkim naprawa regulacji w praktyce. Kary będą wyznaczone zgodnie z parametrami zawartymi w ustawie. Dla podmiotów kluczowych kary wyniosą 10 mln PLN. Wymiana będzie musiała odbyć się w ciągu 7 lat (4 lat w przypadku sektorów krytycznych). Koszt wymiany nie będzie zwracany podmiotom z budżetu kraju.
Warto też odnotować, że Minister Cyfryzacji będzie informował prokuratora generalnego, że takie naruszenie zostało stwierdzone, a w procesie udział będzie brało Kolegium ds. Cyberbezpieczeństwa. Dostawca usług internetowych będzie mógł odwołać się od decyzji administracyjnej.
– Ustawę piszemy dla bezpieczeństwa Polski. Nie sposób nie brać pod uwagę obecnej geopolityki – dodał minister Gawkowski.
Przepisy KSC zawierają też instrument polecenia zabezpieczającego. Podkreślono, że ma to być narzędzie, które nie blokuje internetu, ale służy w incydentalnych przypadkach, gdy mają miejsce krytyczne podatności. Polecenie będzie wydawane przez ministra cyfryzacji w formie decyzji.
Wiceminister Olszewski zaznaczył, że czas nagli: – Tak naprawdę to dziś startujemy z wdrażaniem KSC. Nadrabiamy stracony czas, gdyż te przepisy powinny być wdrożone już dawno temu. Problem jest jednak realny, o czym alarmują m.in. eksperci z NASK.
Pojawić się ma również ocenia poziomu bezpieczeństwa, które będzie weryfikowane przez jednostki zajmujące się zarządzaniem bezpieczeństwem (m.in. CSIRT).
Wśród planów jest również wprowadzenie programu Bezpieczny Samorząd, który odnosi się do zwiększania świadomości urzędników jednostek samorządu terytorialne. Minister Gawkowski skrytykował również opieszałość poprzedniej władzy, która nie zrealizowała obietnic dotyczących cyberbezpieczeństwa i standaryzacji.
Projekt ustawy został opublikowany. Konsultacje publiczne potrwają do 24 maja 2024 r.
Zobacz też: