Prezydent Karol Nawrocki w czwartek podpisał ustawę o krajowym systemie cyberbezpieczeństwa i skierował ją do kontroli następczej przez Trybunał Konstytucyjny. Nowe przepisy implementują do polskiego prawa unijną dyrektywę NIS2 i mają zwiększyć odporność firm i instytucji publicznych na zagrożenia cybernetyczne. Jak podkreślają eksperci, to kluczowy element całego ekosystemu cyberbezpieczeństwa, którego brak ograniczał poziom ochrony podmiotów prywatnych i publicznych.
– Obszar cyberochrony dotychczas nie był przedmiotem daleko idących regulacji. W ostatnim czasie pojawiły się jednak przepisy zarówno na poziomie Unii Europejskiej, jak i krajowym, które, mam nadzieję, już niedługo będą tworzyły ekosystem – mówi agencji Newseria dr hab. inż. Agnieszka Gryszczyńska, dyrektor Departamentu ds. Cyberprzestępczości i Informatyzacji w Prokuraturze Krajowej.
Jak podkreśla, na poziomie unijnym są to m.in. dyrektywa ws. systemów sieciowych i informacyjnych NIS2, ale również rozporządzenie ws. operacyjnej odporności cyfrowej (DORA) oraz rozporządzenie ws. odporności na cyberzagrożenia (CRA).
– Natomiast w zakresie przepisów krajowych mamy ustawę o zwalczaniu nadużyć w komunikacji elektronicznej, regulacje zawarte w Kodeksie karnym czy w końcu w ustawie o świadczeniu usług drogą elektroniczną – wymienia dr hab. inż. Agnieszka Gryszczyńska. – Jeżeli chcemy, po pierwsze, nakładać pewne obowiązki na podmioty związane z podnoszeniem cyberbezpieczeństwa, następnie je egzekwować oraz karać zarówno administracyjnie, jak i karnoprawnie sprawców naruszeń, wymaga to przyjęcia określonych przepisów.
W czwartek 19 lutego prezydent podpisał nowelizację ustawy o KSC, która ma wdrożyć do polskiego prawa unijną dyrektywę NIS2. Zmiany obejmują m.in. zastąpienie dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych nową kategorią podmiotów kluczowych i podmiotów ważnych. Wprowadzono definicję podmiotów kluczowych, czyli tych, których działanie ma istotne znaczenie dla funkcjonowania państwa i gospodarki, oraz podmiotów ważnych, które mimo mniejszej skali działania nadal muszą spełniać obowiązki w zakresie cyberbezpieczeństwa, w tym zgłaszać incydenty i stosować podstawowe procedury ochrony systemów informacyjnych. Ustawa zakłada także wzmocnienie systemu reagowania na incydenty oraz doprecyzowanie ról organów odpowiedzialnych za cyberbezpieczeństwo.
Katalog podmiotów krajowego systemu cyberbezpieczeństwa zostanie rozszerzony o nowe sektory gospodarki, co ma zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach. Powstaną nowe zespoły CSIRT (zespoły reagowania na incydenty bezpieczeństwa komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki.
– Zagrożenia związane z implementacją dyrektywy w głównej mierze dotyczą czasu. Chcielibyśmy, żeby to stało się jak najszybciej. Ustawa, która obecnie została wypracowana, w pełni realizuje założenia dyrektywy, dostosowując ją do lokalnych warunków – mówi Mikołaj Śniatała, adwokat z Kancelarii Andersen Tax & Legal. – Jest ona wyrazem konsensusu wszystkich środowisk, które były zaangażowane w jej pisanie, i odpowiada podnoszeniu cyberbezpieczeństwa.
O podpisanie ustawy o KSC apelowały do prezydenta m.in. organizacje, które reprezentują firmy działające w sektorach kluczowych i ekspertów branży cyfrowej. Jak podkreśliły w swoim apelu, ta regulacja powinna być postrzegana nie tylko jako element systemu bezpieczeństwa narodowego, lecz także jako kluczowy instrument polityki gospodarczej państwa, zapewniający firmom stabilne i przewidywalne warunki funkcjonowania. Sygnatariusze listy wskazali, że skuteczne narzędzia eliminowania cyberzagrożeń są niezbędne, aby gospodarka mogła działać w sposób ciągły, bezpieczny i odporny na wstrząsy zewnętrzne. To o tyle istotne, że poziom bezpieczeństwa cyfrowego państwa w coraz większym stopniu determinuje jego atrakcyjność jako kierunku inwestycyjnego.
Jedną z istotnych zmian jest postępowanie w sprawie uznawania dostawców wysokiego ryzyka. Ta procedura – jak podkreśla rząd – ma pozwolić wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Decyzje w tym obszarze będzie podejmował minister cyfryzacji przy współudziale Kolegium do spraw Cyberbezpieczeństwa w ramach transparentnego, wieloetapowego postępowania administracyjnego. Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania w ciągu siedmiu lat. Dostawca, który nie zgadza się z decyzją, będzie mógł wnieść skargę do sądu administracyjnego.
– Jeżeli chodzi o trudność we wdrażaniu postanowień ustawy, należałoby spojrzeć na to z perspektywy gotowości organizacji. Organizacja powinna rozumieć, czym ona jest, gdzie ma podatności i w jakich miejscach potrzebuje wsparcia. Ustawa nie nakazuje konkretnych rozwiązań, ale jedynie uwrażliwia na to, że trzeba się zająć tematem, dokonać analizy ryzyka i na tej podstawie oznaczyć obszary, które wymagają poprawy – tłumaczy Mikołaj Śniatała.
To istotna zmiana dla dużego grona firm i instytucji. O ile dotychczas regulacją objętych było około 400 operatorów usług kluczowych, o tyle nowelizacja może objąć ponad 10 tys. podmiotów działających w kluczowych i ważnych sektorach gospodarki.
– Należy zwrócić uwagę na to, że ta ustawa nie nakłada konkretnych obowiązków, tylko rozwiązania, które należałoby przedsięwziąć, żeby te obowiązki ustalić. To przedsiębiorca powinien dokonać samozbadania i wskazać, w jaki sposób zabezpieczyć swoje bezpieczeństwo – mówi adwokat z Kancelarii Andersen Tax & Legal.
Podmioty objęte tymi regulacjami będą zobowiązane do wdrożenia systemu zarządzania bezpieczeństwem informacji. Będą musiały wziąć pod lupę swoje zasoby, zidentyfikować cyberzagrożenia, przeanalizować stosowane już procedury i szkolić pracowników. Przedsiębiorcom mają pomagać w tym nowe sektorowe zespoły CSIRT. Wszystko po to, aby chronić dane i infrastrukturę przed cyberzagrożeniami.
– Jeżeli mówimy o trudnościach, to mogą one wystąpić w dostępie do audytorów, którzy potrafią wskazać, dokonać właściwej analizy ryzyka i wydać przedsiębiorcy wyłącznie adekwatne rekomendacje. Ustawa nie nakazuje wydawać dużej ilości pieniędzy na rozwiązania, które nie są adekwatne do zagrożenia, więc największym wyzwaniem dla przedsiębiorców i administracji publicznej będzie właściwa identyfikacja zagrożenia – mówi Mikołaj Śniatała.
Prezydent, podpisując ustawę, jednocześnie podjął decyzję o skierowaniu jej do kontroli następczej przez Trybunał Konstytucyjny.
– Wątpliwości budzi objęcie ustawą aż 18 branż gospodarki pogrupowanych w podmioty kluczowe i ważne. Przy czym rozszerzenie to nie wynika z przepisów europejskich, ale jest samodzielną inicjatywą rządu. Zasadne jest zgłoszenie zastrzeżeń również wobec przepisów regulujących zasady uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz zasady wydawania tzw. poleceń zabezpieczających. Przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania, i bez zabezpieczenia środków finansowych na ten cel. Ponadto wadliwy jest system podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych, z punktu widzenia gwarancji proceduralnych oraz w zakresie ochrony sądowej. Przewidziany ustawą system kar administracyjnych jest restrykcyjny, a wysokość możliwych do nałożenia kar ma wręcz charakter samodzielnych środków karnych – wyjaśniono w komunikacie na stronie Kancelarii RP. – Prezydent zdecydował zatem o przekazaniu ustawy do Trybunału Konstytucyjnego w celu weryfikacji podniesionych zarzutów dotyczących naruszenia przepisów Konstytucji RP.
Źródło: Newseria
