Prezydent Karol Nawrocki w czwartek podpisał ustawę o krajowym systemie cyberbezpieczeństwa i skierował ją do kontroli następczej przez Trybunał Konstytucyjny. Nowe przepisy implementują do polskiego prawa unijną dyrektywę NIS2 i mają zwiększyć odporność firm i instytucji publicznych na zagrożenia cybernetyczne. Jak podkreślają eksperci, to kluczowy element całego ekosystemu cyberbezpieczeństwa, którego brak ograniczał poziom ochrony podmiotów prywatnych i publicznych.
– Obszar cyberochrony dotychczas nie był przedmiotem daleko idących regulacji. W ostatnim czasie pojawiły się jednak przepisy zarówno na poziomie Unii Europejskiej, jak i krajowym, które, mam nadzieję, już niedługo będą tworzyły ekosystem – mówi agencji Newseria dr hab. inż. Agnieszka Gryszczyńska, dyrektor Departamentu ds. Cyberprzestępczości i Informatyzacji w Prokuraturze Krajowej.
Ekspertka podkreśla, że na poziomie unijnym są to m.in. dyrektywa ws. systemów sieciowych i informacyjnych NIS2, ale również rozporządzenie ws. operacyjnej odporności cyfrowej (DORA) oraz rozporządzenie ws. odporności na cyberzagrożenia (CRA).
W czwartek 19 lutego prezydent podpisał nowelizację ustawy o KSC, która ma wdrożyć do polskiego prawa unijną dyrektywę NIS2. Zmiany obejmują m.in. zastąpienie dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych nową kategorią podmiotów kluczowych i podmiotów ważnych. Wprowadzono definicję podmiotów kluczowych, czyli tych, których działanie ma istotne znaczenie dla funkcjonowania państwa i gospodarki, oraz podmiotów ważnych, które mimo mniejszej skali działania nadal muszą spełniać obowiązki w zakresie cyberbezpieczeństwa, w tym zgłaszać incydenty i stosować podstawowe procedury ochrony systemów informacyjnych.
Ustawa zakłada także wzmocnienie systemu reagowania na incydenty oraz doprecyzowanie ról organów odpowiedzialnych za cyberbezpieczeństwo. Katalog podmiotów krajowego systemu cyberbezpieczeństwa zostanie rozszerzony o nowe sektory gospodarki, co ma zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach. Powstaną nowe zespoły CSIRT (zespoły reagowania na incydenty bezpieczeństwa komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki.
– Zagrożenia związane z implementacją dyrektywy w głównej mierze dotyczą czasu. Chcielibyśmy, żeby to stało się jak najszybciej. Ustawa, która obecnie została wypracowana, w pełni realizuje założenia dyrektywy, dostosowując ją do lokalnych warunków – mówi Mikołaj Śniatała, adwokat z Kancelarii Andersen Tax & Legal.
Organizacje, które reprezentują firmy działające w sektorach kluczowych oraz eksperci branży cyfrowej, apelowały o podpisanie ustawy o KSC. Jak wskazały w swoim apelu, regulacja powinna być postrzegana nie tylko jako element systemu bezpieczeństwa narodowego, lecz także jako kluczowy instrument polityki gospodarczej państwa, zapewniający firmom stabilne i przewidywalne warunki funkcjonowania.
Jedną z istotnych zmian jest postępowanie w sprawie uznawania dostawców wysokiego ryzyka. Ta procedura – jak podkreśla rząd – ma pozwolić wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Minister cyfryzacji podejmie decyzje w tym zakresie przy współudziale Kolegium do spraw Cyberbezpieczeństwa.
Prezydent, podpisując ustawę, jednocześnie skierował ją do kontroli następczej przez Trybunał Konstytucyjny. Wątpliwości budzi objęcie ustawą aż 18 branż gospodarki. Przy czym rozszerzenie to nie wynika z przepisów europejskich, ale jest samodzielną inicjatywą rządu. Zasadne jest zgłoszenie zastrzeżeń również wobec przepisów regulujących zasady uznawania podmiotów za dostawców wysokiego ryzyka oraz zasad wydawania poleceń zabezpieczających.
Na podstawie Newseria.pl, fot. Newseria.pl
