Blog

Wprowadzane zmiany w nowelizacji ustawy o KSC mają istotne znaczenie dla podmiotów kluczowych i ważnych, które będą musiały dostosować swoje działania do nowych regulacji. Proces uznania dostawcy za dostawcę wysokiego ryzyka (DWR) oraz związane z tym obowiązki, takie jak natychmiastowe wstrzymanie korzystania z produktów DWR, ich wycofanie oraz zakaz nabywania w ramach zamówień publicznych, stanowią istotne wyzwanie dla przedsiębiorców. – Przygotowaliśmy przemyślane rozwiązania, które usprawnią nadzór nad kluczowymi podmiotami systemu cyberbezpieczeństwa w Polsce. Wsłuchaliśmy się uważnie w głos przedstawicieli podmiotów publicznych, firm oraz ekspertów rynku podczas konsultacji społecznych. Uwzględniliśmy większość uwag, co pokazuje naszą otwartość na dialog i chęć doskonalenia przepisów. Dzięki temu wprowadziliśmy poprawki, które jeszcze Gorący od ognia najnowsze wiadomości Indie bardziej wzmacniają skuteczność ustawy – dodaje Paweł Olszewski, wiceminister cyfryzacji.

Ustawa o krajowym systemie cyberbezpieczeństwa 2025

Nowy projekt uwzględnia także regulacje wynikające z rozporządzenia DORA, a także wytyczne Komisji Europejskiej dot. Stosowania art. 4 ust 1 i 2 dyrektywy NIS 2 z dnia 13 września 2023 r. Przejawia się to choćby wyłączeniem wymogu spełnienia poszczególnych obowiązków wynikających z nowelizacji ustawy o KSC przez podmioty z sektora bankowego i infrastruktury rynków finansowych. Obowiązków z zakresu systemu zarządzania bezpieczeństwem informacji i zgłaszania poważnych incydentów, jednak z pewnymi wyjątkami określonymi w art. 8i nowelizowanej ustawy o KSC. Subtelna zmiana tytułu rozdziału 2 z „Identyfikacja i rejestracja operatorów usług kluczowych” na „Identyfikacja i rejestracja podmiotów kluczowych i podmiotów ważnych” jest odzwierciedleniem głębszej reformy krajowego systemu cyberbezpieczeństwa. Eliminuje konieczność administracyjnego uznawania operatorów usług kluczowych i wprowadza precyzyjne, automatyczne kryteria określania podmiotów kluczowych i ważnych.

Środki egzekwowania przepisów

Uwagi do projektu w ramach konsultacji publicznych można przesyłać na adres e-mail Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązuje do 1 sierpnia 2018 r. Aby nadążyć za zmieniającymi się zagrożeniami potrzebna jest skuteczna i precyzyjna nowelizacja obowiązującego obecnie aktu, która ma znacznie wzmocnić system bezpieczeństwa teleinformatycznego na poziomie krajowym. Komitet do Spraw Europejskich przyjął projekt ustawy o zmianie ustawy o KSC oraz niektórych innych ustaw w trybie obiegowym. Potwierdzenie przyjęcia nastąpiło wraz z protokołem rozbieżności. Jak wynika z raportu KPMG, badane firmy nie uważają ataków na łańcuch dostaw za pośrednictwem partnerów biznesowych za duże zagrożenie.

Polskie firmy powoli wdrażają AI, ale chmura i regulacje napędzają cyfrową transformację

W nowym podejściu podmiot kluczowy to nie tylko organizacja świadcząca usługi kluczowe, ale także dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, rejestry domen najwyższego poziomu (TLD) czy kwalifikowani dostawcy usług zaufania. Podmiotem kluczowym może być również podmiot publiczny wskazany w załączniku do ustawy lub jednostka państwowa. Mniejsze przedsiębiorstwa, w tym niekwalifikowanych dostawców usług zaufania, mikro- i małych przedsiębiorców Ministrowie nie radzą sobie ze złymi inwestycjami komunikacji elektronicznej oraz inwestorów obiektów energetyki jądrowej. Na stronach Rządowego Centrum Legislacji opublikowano nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC)1. Jest to już czwarta wersja projektu ustawy, która ma wdrożyć w Polsce unijną dyrektywę NIS 22.

„Zmniejszenie maksymalnego wymiaru kary finansowej dla kierowników podmiotów kluczowych lub ważnych jest mocnym złagodzeniem przepisów. Jednak wbrew pozorom, obniżenie poziomu finansowej odpowiedzialności może skutkować jej częstszym zasądzaniem. Przy takim założeniu rozwiązanie powinno pozostać skutecznym motywatorem do podejmowania działań wynikających z przepisów Ustawy” – podsumowuje Piotr Zielaskiewicz. Zgodnie z postulatem rozszerzenia katalogu podmiotów o nowe sektory rynku, Projekt rozciąga swój zakres podmiotowy na sektory gospodarki takie jak ścieki, gospodarowanie odpadami, zarządzanie usługami ICT czy usługi pocztowe.

Przedsiębiorców telekomunikacyjnych, podmiotów krytycznych, dostawców usług zaufania czy podmiotów publicznych. Dane wykorzystane w tym celu będą pochodzić  z rejestrów publicznych. W odróżnieniu od przepisów dyrektywy NIS 2, w projekcie nowelizacji przewidziano, że dostawca usług zarządzanych w zakresie cyberbezpieczeństwa (podmiot typu Security Operations Center, Computer Emerge Response Team itp.) jest podmiotem kluczowym niezależenie od wielkości. Zmianą w stosunku do postanowień dyrektywy jest również objęcie przepisami ustawy wszystkich podmiotów publicznych, niezależnie od wielkości.

• Ostateczna analiza treści nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa będzie możliwa dopiero po jej oficjalnej publikacji, jednak już teraz można wskazać kluczowe zmiany i ich potencjalne konsekwencje.
• Oczywiście, jeśli taka sugestia pojawi się w toku konsultacji, gruntownie ją rozważymy.
• Aby zapewnić skuteczną identyfikację podmiotów kluczowych i ważnych, Projekt wprowadza tzw.
• Wdrażania środków bezpieczeństwa i traktowania cyberzagrożeń priorytetowo.
• W klasyfikacji podmiotów publicznych oraz stawianych im wymaganiach.

Ocena bezpieczeństwa będzie mogła być przeprowadzona wyłącznie za zgodą podmiotu krajowego systemu cyberbezpieczeństwa, wyrażoną w postaci pisemnej lub elektronicznej pod rygorem nieważności. Dopuszcza się jednak wykonanie takiej oceny na zlecenie organu właściwego do spraw cyberbezpieczeństwa, co wypełnia wprowadzone dyrektywą NIS 2 przepisy dotyczące tzw. Nie może ona jednak zakłócać pracy systemu informacyjnego, ograniczać jego dostępności lub prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie. Tryb i ramowe warunki przeprowadzania oceny muszą zostać ustalone z podmiotem w drodze porozumienia. Udostępniono projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, która ma implementować do polskiego porządku prawnego dyrektywę NIS 21. Czas na jej wdrożenie do krajowych porządków prawnych mija 17 października 2024 roku.

Zakres podmiotowy – zmiany w stosunku do wersji projektu nowelizacji ustawy o KSC z 23 kwietnia 2024 r.

„To również zmiana na dobre, gdyż JST odciążane są z nadmiernych formalnych wymagań, co pozwala im skupić się na najistotniejszych zagrożeniach. Wprowadzone zmiany w praktyce mogą oznaczać, że mniejsze podmioty będą zobowiązane do raportowania jedynie tych naruszeń, które realnie wpływają na ich funkcjonowanie” – twierdzi Aleksander Kostuch. Ze względu na wejście w życie nowych przepisów RODO zmieniliśmy sposób logowania do produktu i sklepu internetowego, w taki sposób aby chronić dane osobowe zgodnie z najwyższymi standardami.

Dlaczego chcemy przetwarzać Twoje dane?

Termin na to wynosi 2 Euro: EUR/USD (EUR=X) Pair Was Little Changed Ahead Of An Important Speech By Jerome Powell miesiące od dnia, w którym decyzja została ogłoszona w dzienniku urzędowym ministra właściwego do spraw informatyzacji. Sama procedura opiniowania jest wieloetapowa i zakłada przede wszystkim, jako pierwszy krok, powołanie przez przewodniczącego Kolegium zespołu opiniującego spośród przedstawicieli członków tego organu. Każda wybrana osoba przygotowuje stanowisko w zakresie swojej właściwości, przekazywane następnie do całego zespołu. Projekt sporządzonej opinii jest następnie uzgadniany na posiedzeniu Kolegium, a po przeprowadzeniu tego procesu gotowy dokument trafia do ministra właściwego ds.

• Cyberbezpieczeństwa i zmierza do uniknięcia duplikowania obowiązków m.in.
• Polski projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa ma służyć  realizacji tego  wymogu.
• Krajowy Plan podlega aktualizacji nie rzadziej niż raz na dwa lata.
• Dotyczy to także regulacji z zakresu ochrony danych osobowych, zwłaszcza jeśli brak jest porozumień z UE w tym przedmiocie.

Natomiast obecna zmiana dla publicznych podmiotów ważnych wprowadza zobowiązanie do wdrożenia uproszczonego systemu zarządzania bezpieczeństwem informacji, którego szczegóły opisano w nowym załączniku nr 4 do ustawy. Projektowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które są objęte przepisami obecnej ustawy o krajowym systemie cyberbezpieczeństwa. Podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług. Na uwagę zasługują również zmiany przepisów dotyczących kar pieniężnych w zakresie cyberbezpieczeństwa.

Z tego względu obniżenie wymagań, do poziomu który nie narusza bezpieczeństwa, jest wskazane. Zwiększa to szanse na skuteczną implementację obowiązków, które nawet w złagodzonej wersji podniosą bezpieczeństwo samorządów i mieszkańców” – dodaje Piotr Zielaskiewicz, menadżer DAGMA Bezpieczeństwo IT. Projektowana regulacja wejdzie w życie po upływie 1 miesiąca od dnia jej ogłoszenia w Dzienniku Ustaw. Ponadto, Projekt przewiduje sześciomiesięczny okres przejściowy dla podmiotów kluczowych i ważnych, co pozwoli na terminowe wdrożenie dyrektywy NIS2 oraz umożliwi podmiotom odpowiednie przygotowanie się do jej implementacji. Polska wciąż nie wdrożyła przepisów dyrektywy NIS2, a opóźnienie wynika z szerokiego zakresu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – projekt obejmuje kilkadziesiąt sektorów i wymaga uzgodnień z wieloma resortami.