Nowelizacja ustawy o cyberbezpieczeństwie z podpisem prezydenta

Prezydent ocenił na nagraniu opublikowanym w serwisie X, że nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wzmacnia mechanizmy obronne, poprawia współpracę instytucji i pozwala eliminować dostawców wysokiego ryzyka. Dodał, że podpisał nowelę, ponieważ „bezpieczeństwo nie ma barw partyjnych”.

Karol Nawrocki zwrócił jednak uwagę, że musiał zareagować na głos przedsiębiorców, którzy postrzegają zawarte w noweli obowiązki, „jako nadmiarowe i nieproporcjonalne”. Poinformował, że w związku z tym skierował wniosek do Trybunału Konstytucyjnego o kontrolę następczą przepisów. Z komunikatu opublikowanego na stronie prezydenta wynika, że wątpliwości głowy państwa budzi objęcie ustawą 18 branż gospodarki pogrupowanych w podmioty kluczowe i ważne.

Wielki krok w stronę większego bezpieczeństwa w cyberprzestrzeni

Jak wynika z wpisu wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego ustawa o KSC, to „wielki krok w stronę większego bezpieczeństwa Polski w cyberprzestrzeni”. „Zyskają obywatele, instytucje i firmy” - dodał.

Wiceminister cyfryzacji Paweł Olszewski, który był odpowiedzialny za przygotowanie nowelizacji, także na platformie X napisał, że „mimo kolejnej zagrywki z Trybunałem Konstytucyjnym, po 6 latach Polska ma nowoczesny Krajowy System Cyberbezpieczeństwa”. Jego zdaniem dzięki tym przepisom, Polska staje się znacznie trudniejszym celem w cyberprzestrzeni. „Nie możemy pozwolić sobie na półśrodki” – podkreślił.

Kluczowa ochrona zdrowia

W nowelizacji ustawy o KSC wśród sektorów kluczowych znalazły się: energia, transport, ochrona zdrowia, bankowość i infrastruktura rynków finansowych, zaopatrzenie w wodę, infrastruktura cyfrowa, a także niewystępujące do tej pory w KSC: ścieki, zarządzanie ICT (infrastrukturą teleinformatyczną) i przestrzeń kosmiczna.

Do sektorów kluczowych zaliczono też podmioty publiczne, w tym urzędy, samorządy, szkoły, szpitale i instytuty badawcze.

Ważna produkcja wyrobów medycznych

Natomiast do sektorów ważnych, według noweli, należą: usługi pocztowe; gospodarowanie odpadami; dostawcy usług cyfrowych; produkcja i dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; produkcja, w tym m.in. wyrobów medycznych, komputerów, urządzeń elektrycznych, pojazdów samochodowych, przyczep i naczep.

Zgodnie z nowelizacją, firmy muszą same ocenić, czy spełniają kryteria dla podmiotu kluczowego lub podmiotu ważnego. Jeśli odpowiedź jest pozytywna – będą zobowiązane zarejestrować się w wykazie podmiotów KSC i będą mieć na to 6 miesięcy od samoidentyfikacji. Niezgłoszenie się do systemu rodzi ryzyko nałożenia kar.

Nowela zakłada, że podmioty kluczowe i ważne będą przekazywać sobie nawzajem informacje o incydentach, cyberzagrożeniach i podatnościach za pomocą systemu s46. Ponadto podmioty kluczowe będą miały obowiązek przeprowadzenia na własny koszt, co najmniej raz na 3 lata, audytu bezpieczeństwa.

Podmioty kluczowe i ważne będą mieć 12 miesięcy na dostosowanie się do przepisów – od dnia wejścia w życie ustawy nowelizacji. Nowela przewiduje również utworzenie sektorowych zespołów CSIRT, które będą wspierać podmioty objęte KSC w obsłudze incydentów cyberbezpieczeństwa.

Przeczytaj także: „Cyberbezpieczeństwo w szpitalu trzeba traktować poważnie”, „Coraz więcej cyberataków w sektorze zdrowia”, „Ustawa o KSC wkrótce u progu szpitali”, „W obszarze cyberbezpieczeństwa wieje grozą”