标签:
Kierowników podmiotów leczniczych nie ma świadomości, z jakimi konsekwencjami będzie się dla nich wiązało wejście w życie nowelizacji. Z drugiej strony, jak wskazuje Polskie Towarzystwo Koordynowanej Ochrony Zdrowia (PTKOZ), w ocenie skutków regulacji dołączonej do projektu w ogóle nie przewidziano kosztów, z jakimi będzie musiał zmierzyć się sektor zdrowotny – a te mogą okazać się wysokie. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa trafiła do Sejmu i jest szansa, że zostanie przyjęta w ciągu najbliższych dwóch miesięcy. Wpłynie ona istotnie na szpitale, kierownicy podmiotów medycznych na razie nie przygotowują się jednak na jej skutki – a te mogą być dotkliwe również w kontekście finansowym. Minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanym jako Toolbox 5G.
Oprócz opisanych wyżej zmian, w nowelizacji wprowadzono dodatkowe przepisy dotyczące FX HedgePool pasuje do pierwszych kwartalnych transakcji IMM z BNP Paribas i Standard Chartered kar pieniężnych, które mają służyć zwiększeniu ich skuteczności i egzekwowalności. „To jest ten element, który dzisiaj jest bardzo ważny dlatego, że incydenty w dużej skali są najmniej zaopiekowane też na poziomie europejskim” – wyjaśnił, wspominając o przyjęciu przez Radę Unii Europejskiej w marcu Deklaracji warszawskiej. Według wicepremiera, takie sytuacje pokazują wystarczająco, że potrzebny jest wspólny system do komunikacji, zarządzania wiedzą i reagowania.
W przypadku uznania za HRV podmioty kluczowe i ważne mają obowiązek wycofania typów produktów, rodzajów usług i procesów ICT, objętych decyzją ministra, nie później niż 7 lat od dnia ogłoszenia decyzji lub udostępnienia o niej informacji. Z kolei w przypadku określonych przedsiębiorców telekomunikacyjnych ten termin ulega skróceniu do 4 lat i obejmuje również produkty, usługi i procesy ujęte w wykazie kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług17. Wszystkie te podmioty mają także zakaz wprowadzania do użytkowania rzeczonych produktów, usług i procesów objętych decyzją.
Subtelna zmiana tytułu rozdziału 2 z „Identyfikacja i rejestracja operatorów usług kluczowych” na „Identyfikacja i rejestracja podmiotów kluczowych i podmiotów ważnych” jest odzwierciedleniem głębszej reformy krajowego systemu cyberbezpieczeństwa. Eliminuje konieczność administracyjnego uznawania operatorów usług kluczowych i wprowadza precyzyjne, automatyczne kryteria określania podmiotów kluczowych i ważnych. Nowe podejście zwiększa przejrzystość regulacji i obejmuje szerszy zakres organizacji, co znacząco wpływa na sposób wdrażania wymagań cyberbezpieczeństwa.
Nowelizacja odchodzi jednak od tej zasady i wprowadza samoidentyfikację podmiotów kluczowych i ważnych, nakładając na nie obowiązek samodzielnej rejestracji w wykazie prowadzonym przez ministra właściwego do spraw informatyzacji. Ostateczna analiza treści nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa będzie możliwa dopiero po jej oficjalnej publikacji, jednak już teraz można wskazać kluczowe zmiany i ich potencjalne konsekwencje. Nowe przepisy znacząco rozszerzają zakres podmiotów objętych regulacjami, zaostrzają obowiązki w zakresie zarządzania ryzykiem i bezpieczeństwem informacji oraz wzmacniają mechanizmy nadzoru i egzekwowania zgodności. Wzrost kar finansowych i dodatkowe wymagania dla kierownictwa organizacji wskazują na rosnącą wagę cyberbezpieczeństwa jako priorytetu dla państwa i firm.
Zgodnie z projektem nowelizacji minister właściwy do spraw informatyzacji udostępnia w swoim Biuletynie Informacji Publicznej minimalne wymagania techniczne i funkcjonalne korzystania z systemu S46. Jednocześnie przepisy nakładają obowiązek na podmioty kluczowe i ważne zapewnienia zgodności ze wspomnianymi wymaganiami i mają na to 3 miesiące od ich udostępnienia. Projekt nowelizacji ustawy, podobnie jak dyrektywa NIS 2, zakłada samoidentyfikację podmiotów, które zobowiązane są następnie złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych.
Ministerstwo Cyfryzacji informuje jednak, że prace nad projektem będą kontynuowane w I kwartale 2025 r. Biorąc pod uwagę dotychczasowe opóźnienia i potrzebę uchwalenia ustawy przez Parlament, można się spodziewać, że znowelizowana ustawa o KSC zacznie obowiązywać nie wcześniej niż w połowie bieżącego roku. Nowe sektorowe zespoły CSIRT będą aktywnie wspierać przedsiębiorców – pomogą w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach i zapewnią szkolenia. Kluczowa będzie przy tym współpraca i budowanie wzajemnego zaufania między podmiotami kluczowymi i podmiotami ważnymi z danego sektora a zespołem CSIRT. W drodze polecenia zabezpieczającego można będzie nakazać danej grupie podmiotów określone zachowanie przeciwdziałające incydentowi krytycznemu – np. „zainstaluj poprawkę bezpieczeństwa”, „wycofaj oprogramowanie”, „przeprowadź szacowanie ryzyka”.
Cyberbezpieczeństwo to dziś nie tylko obowiązek czy modny slogan, ale fundament stabilności i rozwoju. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa może zacząć obowiązywać już w najbliższych miesiącach, a nowe przepisy – jak zostaną uchwalone, mają wejść w życie już po upływie miesiąca od dnia ich ogłoszenia. Ma to być instytucja prawna umożliwiająca reakcję na incydent krytyczny.
Zgodnie z postanowieniami projektu ustawy Minister Cyfryzacji może, po konsultacji z zespołem incydentów krytycznych wydać taki akt w formie decyzji generalnej, czyli w konkretnej sprawie, ale z rodzajowo określonymi adresatami. Podmiot w odpowiedzi może niezwłocznie, nie później niż w terminie 7 dni od dnia poinformowania o wstępnych ustaleniach, przedstawić organowi swoje stanowisko. Następnie ten może albo uwzględnić stanowisko podmiotu i odstąpić od zastosowania środków egzekwowania przepisów, albo odrzucić to stanowisko i zastosować takie środki. Zasadnicza różnica w nadzorze nad podmiotami kluczowymi i ważnymi dotyczy jego charakteru. Informatyzacji udostępnia wykaz usług świadczonych przez podmioty kluczowe i ważne, stosowany w systemie S46, w Biuletynie Informacji Publicznej na swojej stronie. Takie zespoły mają wspierać podmioty kluczowe i ważne w obszarze przyjmowania zgłoszeń i reagowania na incydenty.
„Nie możemy cyberbezpieczeństwa oddzielić od strefy informacji, bo jest ona powiązana i wykorzystywana do wspólnych celów operacyjnych. Kluczowe jest dla nas zbudowanie ekosystemu cyberbezpieczeństwa, w którym nie będziemy tworzyli podziału na tych ze strefy publicznej i tych ze strefy prywatnej. Każdy z tych elementów musi działać wspólne i w porozumieniu” – podkreślił minister cyfryzacji, wspominając o weekendowych incydentach, jak opisywany na naszych łamach atak na właściciela serwisu Supergrosz. W zakresie produktów, usług lub procesów ICT nabytych w drodze postępowań na gruncie przepisów prawa zamówień publicznych ogólny termin na wycofanie ich nie ulega zmianie i wynosi 7 lat od dnia ogłoszenia decyzji lub udostępnienia o niej informacji. Natomiast różni się w zakresie produktów, usług i procesów wykorzystywanych do wykonywania funkcji krytycznych dla bezpieczeństwa sieci i usług – wynosi on 5 lat.
W przypadku incydentu poważnego, wyczerpującego znamiona przestępstwa, CSIRT sektorowy przekazuje podmiotowi również informacje o sposobie zgłoszenia organom ścigania. Aby uniknąć nakładania zbędnych obowiązków na podmioty, w niektórych przypadkach minister sam dokona rejestracji podmiotów z grup, które w całości znajdą się w wykazie, np. Przedsiębiorców telekomunikacyjnych, podmiotów krytycznych, dostawców usług zaufania czy podmiotów publicznych. Dane wykorzystane w tym celu będą pochodzić z rejestrów publicznych. Nowe przepisy wzmocnią bezpieczeństwo usług, z których korzystają obywatele. Dzięki nim najważniejsze usługi będą działały pewniej i bez przerw, a dane osobowe przetwarzane przez podmioty kluczowe i ważne będą lepiej chronione.
Zespołowi CSIRT nadano dwa ważne uprawnienia, które są niezbędne do skutecznego przeprowadzenia oceny bezpieczeństwa. Po drugie, CSIRT będzie mógł zyskać dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, a także uzyskać dostęp do całości lub części systemu informacyjnego. To rozwiązanie ma pozwolić na objęcie obowiązkami wynikającymi z ustawy nawet tych podmiotów, które z jakichś względów nie będą chciały samodzielnie zidentyfikować się jako kluczowe lub ważne. Wpisanie do wykazu w ten sposób jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego. Choć termin implementacji dyrektywy NIS 2 upłynął w październiku 2024 r., a według zapowiedzi Ministerstwa Cyfryzacji projekt nowelizacji ustawy o KSC miał trafić to Sejmu na początku 2025 r., to nad projektem wciąż trwają intensywne prace rządowe. Pozostałe zmiany wprowadzone w czwartej wersji projektu nowelizacji mają charakter bardziej kosmetyczny i nie wpływają w znaczący sposób na prawa lub obowiązki podmiotów kluczowych i ważnych.
Informacje uzyskane w wyniku oceny stanowić będą tajemnicę prawnie chronioną, a CSIRT nie będzie mógł wykorzystać ich do realizacji innych ustawowych zadań. Wprowadza się jednak zasadę informowania ministra właściwego do spraw informatyzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa o ujawnionych podczas oceny bezpieczeństwa podatnościach, które mogą występować w systemach informacyjnych innych podmiotów. Co do zasady, może być ona przeprowadzana prze CSIRT GOV, CSIRT MON lub CSIRT NASK po poinformowaniu organu właściwego do spraw cyberbezpieczeństwa o takim zamiarze. Przepisy dopuszczają także możliwość przeprowadzenia oceny bezpieczeństwa przez CSIRT sektorowy za zgodą właściwego CSIRT poziomu krajowego, przy zachowaniu wymogu poinformowania organu właściwego dla danego sektora. Dodatkowo, Rada Ministrów uzyskała kompetencje do określania szczegółowych wymagań dla systemów zarządzania bezpieczeństwem informacji w poszczególnych branżach. Oznacza to, że mogą zostać wprowadzone sektorowe wytyczne dostosowane do specyfiki poszczególnych sektorów gospodarki, takich jak energetyka, telekomunikacja, finanse czy ochrona zdrowia.
Mimo że termin implementacji dyrektywy NIS 2 upływa dopiero 17 października 2024 roku, a precyzyjny zakres regulacji w istotnym zakresie będzie zależał od decyzji polskiego ustawodawcy, to na wiele pytań związanych z przyszłymi obowiązkami możemy odpowiedzieć już teraz. Aby spełnić nowe wymagania, podmioty, w tym firmy, zakwalifikowane jako podmioty kluczowe lub ważne w krajowym systemie cyberbezpieczeństwa będą musiały wprowadzić rozwiązania techniczne i organizacyjne dopasowane do swojej wielkości. Trzeba będzie dokładnie sprawdzić infrastrukturę, przeanalizować procesy i procedury wewnętrzne oraz przeszkolić pracowników. Dla podmiotów kluczowych za naruszenia przewidziano kary w wysokości nawet do 10 mln euro lub 2% rocznego przychodu.
Ustawa stanowi implementację dyrektywy NIS 2, wprowadzając szereg istotnych zmian w krajowym systemie cyberbezpieczeństwa. Nowe przepisy obejmują szerszy zakres podmiotów, wprowadzają bardziej rygorystyczne wymagania dotyczące zarządzania ryzykiem i zgłaszania incydentów, a także przewidują surowsze sankcje za naruszenia. 21 października Rada Ministrów przyjęła projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Jesteśmy co raz bliżej wdrożenia Dyrektywy NIS2 do polskiego prawa.Nowe przepisy to znaczący krok w stronę wzmocnienia bezpieczeństwa cyfrowego i wszystko wskazuje na to, że mogą one zacząć obowiązywać w najbliższym czasie. Warto już teraz być przygotowanym na nadchodzące zmiany – tak by nie być niczym zaskoczonym.Jakie organizacje znajdą się w gronie podmiotów objętych nowymi przepisami? Kolejnym nowym środkiem wprowadzonym w projekcie nowelizacji jest możliwość wydania polecenia zabezpieczającego.
Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Warto dodatkowo zwrócić uwagę na przepis, który ma służyć uniknięciu sytuacji, w której podmiot kluczowy lub ważny, lub jego kierownik zostanie podwójnie ukarany za ten sam czyn. W nowelizacji zaproponowane zostały także zmiany w przepisach dotyczących kary pieniężnej, która może zostać nałożona na kierownika podmiotu objętego obowiązkami wynikającymi z ustawy. Zgodnie z obecną wersją przepisów, za niedochowanie należytej staranności w zakresie wypełnienia określonych obowiązków, na kierownika operatora usługi kluczowej może zostać nałożona kara w kwocie nie większej niż 200% jego miesięcznego wynagrodzenia. Według znowelizowanej wersji przepisów, karze pieniężnej może podlegać kierownik podmiotu kluczowego lub ważnego za niewykonanie wskazanych w ustawie obowiązków, jeżeli przemawia za tym czas, zakres lub charakter naruszenia. Zwiększeniu ulega również maksymalna kwota kary możliwej do wymierzenia – do 600% otrzymywanego przez kierownika wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
