21 października br. rząd Donalda Tuska przyjął projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Nowe przepisy mają wzmocnić odporność infrastruktury informatycznej w Polsce i dostosować prawo krajowe do unijnej dyrektywy NIS 2 oraz wytycznych tzw. Toolboxa 5G. Minister cyfryzacji Krzysztof Gawkowski poinformował o decyzji rządu na platformie X, podkreślając, że przyjęcie projektu to ważny krok w kierunku zwiększenia bezpieczeństwa cyfrowego państwa.
Nowelizacja przygotowana przez Ministerstwo Cyfryzacji nakłada na podmioty kluczowe i ważne bardziej rygorystyczne obowiązki w zakresie zarządzania ryzykiem oraz zgłaszania incydentów bezpieczeństwa. Każda organizacja z tych grup będzie musiała wyznaczyć osobę odpowiedzialną za cyberbezpieczeństwo – za niewywiązanie się z zadań przewidziane są kary. Incydenty będą zgłaszane przez dedykowany system teleinformatyczny ministra cyfryzacji do właściwych zespołów CSIRT sektorowych i krajowych.
Projekt rozszerza katalog podmiotów objętych krajowym systemem cyberbezpieczeństwa o nowe sektory, takie jak zarządzanie ICT, poczta, gospodarka ściekowa, przestrzeń kosmiczna, a także produkcja i dystrybucja chemikaliów oraz żywności. Minister cyfryzacji uzyska prawo wskazywania dostawców wysokiego ryzyka – zarówno w oparciu o kryteria techniczne, jak i nietechniczne. Sprzęt takich dostawców będzie musiał zostać wycofany z infrastruktury podmiotów kluczowych i ważnych w ciągu 7 lat, a w przypadku operatorów telekomunikacyjnych w ciągu 4 lat.
Nowelizacja przewiduje także utworzenie sektorowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), które będą wspierać podmioty w obsłudze i analizie incydentów. Powstanie również krajowy plan reagowania na sytuacje kryzysowe w cyberprzestrzeni. Minister cyfryzacji będzie mógł wydawać polecenia zabezpieczające, nakazujące podjęcie określonych działań w celu ograniczenia skutków incydentu krytycznego.
W uzasadnieniu projektu podkreślono, że dynamiczny rozwój usług publicznych dostępnych online oraz rosnąca liczba cyberataków wymagają coraz większych inwestycji w ochronę systemów IT. Zmieniająca się sytuacja geopolityczna i rosnące znaczenie infrastruktury krytycznej sprawiają, że konieczne jest dalsze wzmacnianie krajowego systemu cyberbezpieczeństwa.
Obowiązująca obecnie ustawa o KSC pochodzi z 2018 roku i nie implementuje jeszcze przepisów dyrektywy NIS 2, której termin wdrożenia upłynął 18 października 2024 roku. Nowelizacja ma nie tylko uzupełnić te braki, ale przede wszystkim podnieść poziom bezpieczeństwa cyfrowego w Polsce.
Czytaj także:
