Regulacja ma na celu dostosowanie przepisów krajowych (tj. Ustawy o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 roku) do wymogów Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenia (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (tzw. Dyrektywa NIS 2).
Przyczyny regulacji
Podejmowanie działań w zakresie cyberbezpieczeństwa jest w ostatnim czasie szczególnie istotne ze względu na tempo rozwoju nowych technologii. Powoduje to, że aktualnie obserwuje się znaczne zwiększenie liczby cyberataków, na które narażeni są nie tylko konsumenci, lecz także całe przedsiębiorstwa (grupy kapitałowe) oraz podmioty publiczne. W 2022 r. do zespołu CSIRT NASK zgłoszono ponad 39 000 incydentów cyberbezpieczeństwa, a w 2023 r. ponad 75 000 incydentów cyberbezpieczeństwa. Problem ten wynika w dużej mierze z niezapewnienia odpowiedniego poziomu bezpieczeństwa ze strony dostawców jak również braku odpowiedniego zrozumienia i stosowania procedur bezpieczeństwa przez użytkowników.
Wyzwaniom tym wychodzi naprzeciw Dyrektywa NIS 2, zmieniająca rozwiązania przyjęte w dotychczasowej Dyrektywie NIS oraz implementująca ją do porządku krajowego Nowelizacja Ustawy o k.s.c., której pierwsza wersja została niedawno sporządzona przez Ministerstwo Cyfryzacji.
Kluczowe zmiany wynikające z Nowelizacji
W ślad za Dyrektywą NIS, w Nowelizacji postuluje się rozszerzenie katalogu sektorów i podmiotów objętych systemem cyberbezpieczeństwa. Obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę i infrastruktury cyfrowej, system ten obejmie również sektory ścieków, zarządzania ICT, przestrzeni kosmicznej, poczty, produkcji, produkcji i dystrybucji chemikaliów jak również produkcji i dystrybucji żywności.
W Nowelizacji, zamiast dotychczasowych „operatorów usług kluczowych” i „operatorów usług cyfrowych” zaproponowano wprowadzenie pojęcia „podmiotu kluczowego” oraz „podmiotu ważnego”, które mają być głównymi adresatami obowiązków wynikających z Ustawy o k.s.c. Różnica pomiędzy tymi kategoriami podmiotów dotyczy nadzoru nad nimi. Względem podmiotu ważnego czynności nadzorcze można prowadzić jedynie nadzór następczy (w razie podejrzenia nieprawidłowości), a względem podmiotu kluczowego również prewencyjny (również w braku podejrzenia nieprawidłowości). Nowelizacja wprowadza obowiązek samorejestracji podmiotów kluczowych i ważnych, która będzie dokonywana w wykazie podmiotów kluczowych i ważnych, prowadzonym przez ministra właściwego ds. informatyzacji.
Podstawowym obowiązkiem podmiotów kluczowych i ważnych, wynikającym z Ustawy o k.s.c. w brzmieniu zmienionym Nowelizacją, będzie wdrożenie systemu zarządzania bezpieczeństwem informacji, obejmującego elementy wskazane w zmienionej Ustawie o k.s.c., w tym prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem oraz wdrożenie odpowiednich i proporcjonalnych środków technicznych i organizacyjnych. O ile już teraz obowiązek ten dotyczy niektórych jednostek, to jednak po Nowelizacji krąg podmiotów nim objętych zostanie znacznie rozszerzony. Ponadto, system zarządzania bezpieczeństwem informacji będzie wdrożony nie tylko w systemie informacyjnym wykorzystywanym do świadczenia usług, ale również w procesach organizacji mających na celu świadczenie usług.
Nowelizacja umożliwi również wymianę informacji w obszarze cyberbezpieczeństwa pomiędzy podmiotami kluczowymi i podmiotami ważnymi. Taki przepływ może przyczynić się do szybkiego przekazywania informacji o zagrożeniach i atakach oraz w konsekwencji umożliwić zabezpieczenie systemów. Przewiduje się, że przepływ informacji w tym zakresie będzie następował w dedykowanym systemie S46.
W ślad za Dyrektywą NIS2, Nowelizacja wprowadza też zmiany w zakresie zgłaszania incydentów poważnych. W znowelizowanym brzmieniu Ustawy o k.s.c. wymagane będzie wczesne ostrzeżenie o incydencie poważnym, w terminie 24 godzin od jego wykrycia, do CSIRT sektorowego (podczas gdy aktualnie konieczne jest zgłoszenie „incydentu”, a nie wczesnego ostrzeżenia, do CSIRT MON, CSIRT NASK lub CSIRT GOV). Zgłoszenie incydentu poważnego ma natomiast nastąpić w terminie 72 godzin od jego wykrycia.
Ustawa o k.s.c. w nowym brzmieniu ma również przewidywać nowy mechanizm uznania danego dostawcy sprzętu lub oprogramowania za tzw. dostawcę wysokiego ryzyka. Taka kwalifikacja następowałaby w drodze decyzji administracyjnej wydawanej przez ministra właściwego ds. informatyzacji. Konsekwencją wydania powyższej decyzji byłby obowiązek zaprzestania korzystania przez podmiot kluczowy, podmiot ważny lub przedsiębiorcę telekomunikacyjnego z określonych w decyzji produktów ICT, usług ICT lub procesów ICT. Nowe przepisy mają na celu stworzenie rozwiązań umożliwiających wycofanie z eksploatacji produktów, usług czy procesów ICT zagrażających bezpieczeństwu państwa (np. dostarczanych przez podmioty spoza UE). Obowiązek taki aktualizowałby się, w zależności od rodzaju zakwestionowanego produktu lub usługi, w czasie 4-7 lat od ogłoszenia lub udostępnienia informacji o decyzji.
Nowelizacja przewiduje również nową regulację, tzw. polecenie zabezpieczające, które minister ds. informatyzacji będzie mógł wydać w razie wystąpienia incydentu krytycznego, w celu doprowadzenia do efektywnej i pilnej reakcji na taki incydent. Chodzi w szczególności o koordynację działań podmiotu, u którego doszło do incydentu, z działaniami odpowiedniego CSIRT. Jednym z dodatkowych obowiązków, które można będzie nałożyć w ramach polecenia zabezpieczającego, jest nakaz przeprowadzenia szacowania ryzyka związanego ze stosowaniem określonego produktu ICT, usługi ICT lub procesu ICT i wprowadzenie środków ochrony proporcjonalnych do zidentyfikowanych ryzyk.
W myśl Nowelizacji znacznemu podwyższeniu mają ulec również kary pieniężne za nieprzestrzeganie przepisów Ustawy o k.s.c. (np. za niedokonanie obowiązkowego szacowania ryzyka, niezgłoszenie incydentu czy niedokonanie wpisu do rejestru). Proponuje się określenie minimalnego poziomu kary pieniężnej na kwotę 20 000 zł co do podmiotów kluczowych oraz 15 000 zł co do podmiotów ważnych. Z kolei maksymalny wymiar kary wyniesie w przypadku podmiotów kluczowych równowartość 10 000 000 euro lub 2% przychodów osiągniętych w poprzednim roku obrotowym. Natomiast podmioty ważne muszą liczyć się z karami wynoszącymi do 7 000 000 euro lub 1,4% przychodów zrealizowanych w poprzednim roku obrotowym. W każdym przypadku zastosowanie ma kwota wyższa (np. jeśli dany podmiot osiągnął nawet niewielki przychód, to mimo wszystko istnieje możliwość nałożenia na niego kary w wysokości sięgającej odpowiednio 10 000 000 euro lub 7 000 000 euro).
Nowelizacja Ustawy o k.s.c. ma wejść w życie po upływie 1 miesiąca od dnia jej ogłoszenia, przy czym przewiduje się 6-miesięczny okres dostosowawczy do jej przepisów, dla podmiotów kluczowych i podmiotów ważnych. Nowelizacja przewiduje również odrębny harmonogram rejestracji w wykazie podmiotów kluczowych i podmiotów ważnych.
Nowelizacja jest aktualnie w fazie konsultacji publicznych i opiniowania.
Kancelaria KPMG Law oferuje:
- wsparcie dla Klientów co do interpretacji poszczególnych przepisów Ustawy o k.s.c. i projektu Nowelizacji (np. co do zakresu ich zastosowania do działalności konkretnego Klienta);
- szkolenia w zakresie Ustawy o k.s.c. i projektu Nowelizacji, dostosowane do potrzeb klientów;
- wsparcie i zastępstwo w postępowaniach administracyjnych prowadzonych na podstawie Ustawy o k.s.c. (np. w zakresie wpisu do rejestru podmiotu jako kluczowego lub ważnego).
