Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązuje do 1 sierpnia 2018 r. Od tego czasu obraz cyberprzestrzeni znacząco się zmienił. Aby nadążyć za zmieniającymi się zagrożeniami potrzebna jest skuteczna i precyzyjna nowelizacja obowiązującego obecnie aktu, która ma znacznie wzmocnić system bezpieczeństwa teleinformatycznego na poziomie krajowym. 

– Zmiany w Krajowym Systemie Cyberbezpieczeństwa to dla nas priorytetowy projekt na ten rok. Przez ostatnie lata wiele zmieniło się w krajobrazie cyberprzestrzeni, a wyzwań jest coraz więcej biorąc pod uwagę liczbę incydentów i ich konsekwencje. Jesteśmy zdeterminowani, aby wprowadzić nowe prawo szybko, ale zachowując odpowiedni okres dla przedsiębiorców do dostosowania się do regulacji – podkreślił wicepremier, minister cyfryzacji Krzysztof Gawkowski.  

Projektowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które są objęte przepisami obecnej ustawy o krajowym systemie cyberbezpieczeństwa. Podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług.

– Przed nami dużo pracy w zakresie współpracy z jednostkami administracji wszystkich szczebli oraz z sektorem prywatnym. Cyberbezpieczeństwo dotyka właściwie każdego elementu funkcjonowania wszystkich dużych usług. Zależy nam na zbudowaniu kompleksowego systemu, który będzie chronił instytucje, firmy oraz przede wszystkim obywateli – dodaje Paweł Olszewski, sekretarz stanu w Ministerstwie Cyfryzacji.  

Obecnie celem Krajowego Systemu Cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.  System obejmuje operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.

Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.  

• podmiotów kluczowych i ważnych, 
• zespołów CSIRT, 
• systemu S46 i Pojedynczego Punktu Kontaktowego, 
• nadzoru i środków egzekwowania przepisów przez organy właściwe ds. cyberbezpieczeństwa, 
• kompetencji Ministra Cyfryzacji,
• zmiany obowiązków Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa, 
• instytucji dostawcy wysokiego ryzyka. 

Zgodnie z projektowaną regulacją incydenty poważne zgłaszane będą do CSIRT sektorowego w ściśle określonym trybie:

• wczesne ostrzeżenie o incydencie poważnym:
  • podmiot kluczowy i ważny zgłasza niezwłocznie nie później niż w ciągu 24 godzin od momentu wykrycia incydentu poważnego,
  • przedsiębiorca telekomunikacyjny – niezwłocznie w nie później niż w ciągu 12 godzin od momentu wykrycia incydentu poważnego,
• zgłoszenie incydentu poważnego - niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia;
• w trakcie obsługi incydentu sporządzane jest sprawozdanie okresowe, a po zakończeniu obsługi incydentu sprawozdanie końcowe;
• CSIRT sektorowy przekazuje wczesne ostrzeżenie oraz zgłoszenia niezwłocznie, nie później niż 8 godzin od jego otrzymania, do właściwego CSIRT MON, CSIRT NASK albo CSIRT GOV;
• wczesne ostrzeżenie może zawierać wniosek np. o udzielenie wsparcia technicznego przy obsłudze incydentu.

Rozwiązania zapewniają szybkie reagowanie na incydenty poważne, skoordynowane działanie, a sprawozdania okresowe i końcowe informacje o incydencie poważnym i jego przebiegu.

NIS2 ma bardzo duży zakres podmiotowy. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono więc jako podstawy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie – np. poprzez stronę internetową.

Umożliwi to ich identyfikację oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego, a także zapewni wykonywanie czynności nadzorczych przez organy właściwe do spraw cyberbezpieczeństwa. Takie działanie umożliwi także przekazywanie danych o liczbie tych podmiotów do Komisji Europejskiej i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa.

W projektowanych zmianach nałożono obowiązki na podmioty kluczowe i ważne.

Nowe sektory jakie zostaną objęte zakresem ustawy to:

• ścieki;
• zarządzanie usługami ICT;
• przestrzeń kosmiczna;
• usługi pocztowe;
• gospodarowanie odpadami;
• produkcja, wytwarzanie i dystrybucja chemikaliów;
• produkcja, przetwarzanie i dystrybucja żywności;
• produkcja;
• badania naukowe.

Znowelizowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które są objęte przepisami obecnej ustawy o krajowym systemie cyberbezpieczeństwa. Podmioty kluczowe i ważne będą obowiązane wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty. Odpowiada to zakresowi wymogów, co do środków zarządzania ryzykiem wskazanych w art. 21 dyrektywy NIS2.

Kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację tych zadań przez dany podmiot i w przypadku niewywiązania się z zadań kierownika takiego podmiotu będą mogły być nałożone na niego kary. Kierownik takiego podmiotu będzie obowiązany również do przejścia stosownego szkolenia z zakresu cyberbezpieczeństwa.

Tak jak do tej pory operatorzy usług kluczowych, tak i inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata.

Podmioty kluczowe i ważne będą obowiązane korzystać z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach. Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu.

Instytucja ta wynika z opublikowanego w styczniu 2020 r. zestawu środków dot. minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanym jako Toolbox 5G. Toolbox 5G wymaga transponowania przez kraje członkowskie, które mają wiele swobody co do jego wdrożenia.

Ma to być instytucja prawna umożliwiająca reakcję na incydent krytyczny. Zgodnie z postanowieniami projektu ustawy Minister Cyfryzacji może, po konsultacji z zespołem incydentów krytycznych wydać taki akt w formie decyzji generalnej, czyli w konkretnej sprawie, ale z rodzajowo określonymi adresatami. Zapewniono zaskarżenie do sądu administracyjnego.

W drodze polecenia zabezpieczającego można będzie nakazać danej grupie podmiotów określone zachowanie przeciwdziałające incydentowi krytycznemu – np. „zainstaluj poprawkę bezpieczeństwa”, „wycofaj oprogramowanie”, „przeprowadź szacowanie ryzyka”.

Katalog zachowań, które mogą być nakazane będzie zamknięty i dodatkowo minister będzie musiał wybrać rozwiązanie adekwatne – ta przesłanka jest bardzo istotna zarówno w przypadku stosowania prawa, jak i w trakcie ewentualnej kontroli takiej decyzji przez sąd administracyjny.

• rozszerzenia zakresu Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej;
• wprowadzenia nowego dokumentu strategicznego – pn. Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;
• doprecyzowania zadań organów państwa w obszarze cyberbezpieczeństwa; 
• wyznaczenia CSIRT NASK do pełnienia roli krajowego koordynatora w ramach skoordynowanego ujawniania podatności (CVD); wzmocnienia uprawnień zespołów CSIRT poziomu krajowego, które przeprowadzają badanie sprzętu lub oprogramowania pod kątem podatności zagrażających bezpieczeństwu narodowemu - otrzymają one licencję ustawową m.in. do analizy kodu oprogramowania; zlikwidowania odrębnych wymogów dla wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo w podmiotach krajowego systemu cyberbezpieczeństwa oraz podmiotów świadczących usługi z zakresu cyberbezpieczeństwa.

Projekt ustawy został opublikowany. Konsultacje publiczne potrwają do 24 maja 2024 r. Uwagi do projektu w ramach konsultacji publicznych można przesyłać na adres e-mail sekretariat.dp@cyfra.gov.pl.