Dyrektywa NIS2 10 najważniejszych zmian w projekcie nowelizacji ustawy o KSC

„To regulacja niewynikająca z NIS2, a będąca inicjatywą rządową Polski, który ma uwzględniać specyficzne położenie geopolityczne naszego kraju. Jednak niektórzy wskazują, że na gruncie europejskim należą do odważnych postanowień, które później będą przez inne państwa członkowskie przejmowane. Dostawca wysokiego ryzyka budzi sporo kontrowersji, bo niektórzy podnoszą, że jest to instytucja niezgodna z prawem unijnym, gdyż ogranicza konkurencję na rynku europejskim. Daje również możliwość pojedynczemu państwu członkowskiemu – czyli w tym przypadku Polsce – do wyłączania konkretnych podmiotów z rynku” – tłumaczy prawniczka. Agnieszka Wachowska w rozmowie z CyberDefence24 zwraca uwagę, że zapisy dotyczące instytucji dostawcy wysokiego ryzyka, które wzbudzały wiele kontrowersji, nadal pozostają w tym projekcie.

Inne istotne zmiany

Ustawa o KSC (ustawa o krajowym systemie cyberbezpieczeństwa) to polska ustawa, która implementuje dyrektywę NIS do polskiego porządku prawnego. Nowelizacja ustawy o KSC jest konieczna, aby dostosować polskie przepisy do bardziej rygorystycznych wymagań dyrektywy NIS2. Wiąże się to jednak z wprowadzeniem rozbudowanego katalogu obowiązków zarówno po stronie biznesu, jak i administracji publicznej. Nowelizacja rozszerzy krąg podmiotów objętych regulacją – niektórzy z przedsiębiorców po raz pierwszy zmierzą się z nowymi wyzwaniami. Podmioty kluczowe i ważne będą obowiązane korzystać z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach. Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu.

I zgodnie z obecnym projektem, termin wykonania pierwszego audytu został wydłużony do 24 miesięcy od wejścia w życie ustawy, a wcześniej było to 12 miesięcy. Natomiast audyty regularne, dotyczące bezpieczeństwa, należy według obecnego projektu przeprowadzać co 3 lata, a nie jak wcześniej wskazywano – co 2 lata” – mówi nam Agnieszka Wachowska, pytana o tę kwestię. Wśród najważniejszych zmian, jakie zostały uwzględnione, resort cyfryzacji wskazywał też na fakt, że audyt cykliczny będzie obowiązywał co 3 lata wyłącznie dla podmiotów kluczowych, a poprzednio proponowano, by odbywało się to co 2 lata. W poniedziałek 7 października poznaliśmy zapisy nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wersja, bowiem próby zmian przepisów podejmował jeszcze rząd Zjednoczonej Prawicy.

Fundusz celowy na rzecz strategicznej sieci bezpieczeństwa

Zmiany te wymagają od przedsiębiorców nie tylko bieżącego monitorowania i szybkiego reagowania na nowe Ferrari (NYSE: RACE) Składa hołd Sycylii Targa Florio (Video) przepisy, ale również wdrożenia skutecznych procedur zarządzania ryzykiem i planów awaryjnych. Przypomina też, że po 17 października Polska będzie już po terminie wdrożenia dyrektywy NIS2. „Ostatnio Polska dostała wysokie kary za niewdrożenie EKŁE (Europejskiego Kodeksu Łączności Elektronicznej) poprzez nieuchwalenie Prawa komunikacji elektronicznej. Dobrze by było, żebyśmy tym razem w miarę szybko te przepisy uchwalili i przystąpili do intensywnego budowania świadomości o nowych przepisach – bo obecnie wiele podmiotów nawet nie jest świadoma obowiązków, które będą na nich spoczywać” – podkreśla. „Jeśli chodzi o audyt, przedsiębiorcy postulowali ograniczenie ich zakresu.

1. „zainstaluj poprawkę bezpieczeństwa”, „wycofaj oprogramowanie”, „przeprowadź szacowanie ryzyka”.
2. Zakłada się utworzenie strategicznej sieci bezpieczeństwa w celu zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie telekomunikacji.
3. W poniedziałek 7 października poznaliśmy zapisy nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.
4. Podmioty zobowiązane do zawarcia umowy z OSSB otrzymały możliwość zawarcia umowy z innym dostawcą usług telekomunikacyjnych, jeśli ceny oferowane przez Operatora przekraczają koszty oraz rozsądną marżę.
5. Wsparcie zarządzania prawami własności intelektualnej oraz ochrony danych osobowych.

Usunięto również zapis, który uniemożliwiał wstrzymanie przez sąd administracyjny natychmiastowej wykonalności decyzji o uznaniu za dostawcę wysokiego ryzyka po wniesieniu przez podmiot skargi. Nowelizacja ustawy o KSC wprowadza nowe wymogi i procedury, których celem jest zwiększenie ochrony przed zagrożeniami cybernetycznymi. Wprowadzenie procedury uznania dostawcy za DWR oraz surowe kary finansowe za jej niewykonanie stanowią kluczowe elementy tej regulacji. Warto już dziś monitorować zmiany, aby w odpowiednim czasie powziąć działania zmierzające do zapewnienia zgodności z nowymi wymogami. Audyt musi być przeprowadzony przez osobę niezależną, która nie była zaangażowana w realizację zadań związanych z bezpieczeństwem informacji w audytowanym podmiocie przez rok przed przystąpieniem do audytu.

Identyfikacja podmiotów kluczowych i ważnych

To się jednak nie udało, a szanse na uchwalenie noweli KSC zostały zaplanowane przez obecną władzę na 2025 rok. Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa trafi teraz do dalszego procedowania przez właściwe komitety Rady Ministrów, a następnie zostanie skierowany do rozpatrzenia przez Radę Ministrów. Jednocześnie projekt zostanie skierowany do Komisji Wspólnej Rządu i Samorządu Terytorialnego. – Przed nami dużo pracy w zakresie współpracy z jednostkami administracji wszystkich szczebli oraz z sektorem prywatnym.

Artykuły z kategorii: Cyberbezpieczeństwo

Wprowadzono także przepisy umożliwiające rozwiązanie przez dany podmiot umowy z OSSB, w przypadku uporczywego niewywiązywania się przez Operatora z obowiązków umownych. W takim przypadku świadczenie usług telekomunikacyjnych może być przez dany podmiot zlecone innemu operatorowi telekomunikacyjnemu, dającemu rękojmię zapewnienia bezpieczeństwa świadczonych usług na poziomie nie niższym niż określony w rozwiązanej umowie z OSSB. NIS2 (Network and Information Systems Directive 2) to unijna dyrektywa, która ma na celu wzmocnienie cyberbezpieczeństwa w całej Unii Europejskiej. Jej celem jest ujednolicenie wymagań dotyczących bezpieczeństwa systemów informatycznych i sieciowych w różnych państwach członkowskich, a także dostosowanie tych wymagań do stale zmieniającego się krajobrazu zagrożeń cybernetycznych.

Widać, że świadomość problemu się budzi, ale bardzo powoli” – stwierdza prawniczka. W ramach konsultacji społecznych zgłoszono aż 215 stanowisk i w sumie 1567 Euro: EUR/USD (EUR=X) Still In Uptrend uwag, a około 70 proc. Uwagi do projektu w ramach konsultacji publicznych można przesyłać na adres e-mail Minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanym jako Toolbox 5G. Rozwiązania zapewniają szybkie reagowanie na incydenty poważne, skoordynowane działanie, a sprawozdania okresowe i końcowe informacje o incydencie poważnym i jego przebiegu.

Konsekwencją wydania powyższej decyzji byłby obowiązek zaprzestania korzystania przez podmiot kluczowy, podmiot ważny lub przedsiębiorcę telekomunikacyjnego z określonych w decyzji produktów ICT, usług ICT lub procesów ICT. Nowe przepisy mają na celu stworzenie rozwiązań umożliwiających wycofanie z eksploatacji produktów, usług czy procesów ICT zagrażających bezpieczeństwu państwa (np. dostarczanych przez podmioty spoza UE). Obowiązek taki aktualizowałby się, w zależności od rodzaju zakwestionowanego produktu lub usługi, w czasie 4-7 lat od ogłoszenia lub udostępnienia informacji o decyzji. „W aktualnym projekcie te sektory, za dyrektywą NIS2 będą traktowane jako ważne.

Przedsiębiorca może jednak wystosować taką informację, jeżeli nie spowoduje to zwiększenia poziomu ryzyka dla bezpieczeństwa sieci lub usług komunikacji elektronicznej. Pozostawiono również obowiązek informowania użytkowników o możliwych środkach zapobiegawczych oraz związanych z tym kosztach. Podobnie jak poprzednio, przedsiębiorca komunikacji elektronicznej, w celu zapewnienia ciągłości świadczenia usług komunikacji elektronicznej lub dostarczania sieci telekomunikacyjnej, jest zobowiązany do systematycznego szacowania ryzyka. Doprecyzowano jednak, że taka ocena ryzyka musi być przeprowadzana przynajmniej raz w roku. Podmioty kluczowe i ważne mają obowiązek przeprowadzać audyt bezpieczeństwa systemu informacyjnego co najmniej raz na dwa lata. Po otrzymaniu raportu z audytu, podmioty Zasady wprowadzania zleceń handlowych te muszą przedstawić sprawozdanie z przeprowadzonego audytu właściwemu organowi do spraw cyberbezpieczeństwa w ciągu trzech dni roboczych.