Blog

„Zmniejszenie maksymalnego wymiaru kary finansowej dla kierowników podmiotów kluczowych lub ważnych Euro: EUR/USD (EUR=X) Buyers Must Defend The 1.1650 Level jest mocnym złagodzeniem przepisów. Jednak wbrew pozorom, obniżenie poziomu finansowej odpowiedzialności może skutkować jej częstszym zasądzaniem. Przy takim założeniu rozwiązanie powinno pozostać skutecznym motywatorem do podejmowania działań wynikających z przepisów Ustawy” – podsumowuje Piotr Zielaskiewicz. Zgodnie z postulatem rozszerzenia katalogu podmiotów o nowe sektory rynku, Projekt rozciąga swój zakres podmiotowy na sektory gospodarki takie jak ścieki, gospodarowanie odpadami, zarządzanie usługami ICT czy usługi pocztowe.

Implementacja NIS2: co nowelizacja uKSC zmienia względem pierwowzoru?

Natomiast z harmonogramu przedstawionego przez Ministerstwo Cyfryzacji wynikało, że do końca roku rząd planuje przyjąć projekt i skierować go do parlamentu. Z kolei uchwalenie ustawy będzie miało miejsce (jeśli wszystko pójdzie zgodnie z planem) dopiero w 2025 roku. Rozszerzeniu uległ natomiast katalog przypadków, w których można nałożyć karę na podmiot lub jego kierownika (art. 73 ust. 1, art. 73b, art. 73c oraz art. 73a ust. 1 nowelizowanej ustawy o KSC). EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów. Dotychczasowa dyrektywa NIS w sposób bardzo ogólny regulowała obowiązki w zakresie zarządzania ryzykiem.

Jeśli spełnione są odpowiednie przesłanki dla podmiotów kluczowych lub ważnych, podmiot będzie musiał złożyć wniosek o wpis do rejestru prowadzonego przez ministra odpowiedzialnego za informatyzację w ciągu 2 miesięcy od spełnienia tych warunków. Dane identyfikujące podmiot, a także informacje takie jak zakres wykorzystywanych domen i adresów IP czy fakt zawarcia umowy z dostawcą usług zarządzanych w zakresie bezpieczeństwa na realizację zadań z zakresu cyberbezpieczeństwa wraz z danymi tego dostawcy. 7 października pojawiła się druga wersja projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC), implementującej do polskiego porządku prawnego dyrektywę unijną NIS 2. I uwzględnia dużą część uwag zgłoszonych w ramach konsultacji publicznych i uzgodnień międzyresortowych. Nowelizacja wprowadza zupełnie nowe brzmienie art. 5, definiując podmiot kluczowy i podmiot ważny.

Identyfikacja podmiotów kluczowych i ważnych

Takie rozwiązanie ma ułatwić dostosowanie się do regulacji podmiotom, które już wdrożyły taki system zgodnie z obecnymi przepisami lub z własnej inicjatywy. Projektodawca polski nie wymaga uzyskania certyfikacji zgodności systemu z jedną z norm technicznych, lecz uznaje za wystarczające wdrożenie systemu zgodnie z Projektem i odpowiednie jego udokumentowanie. Jednakże spełnienie wymogów norm PN-EN ISO/IEC oraz PN-EN ISO/IEC uznaje za równoznaczne z wypełnieniem wymogów w zakresie systemu zarządzania bezpieczeństwem informacji.

Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już obowiązuje

O ile wiemy, że certyfikacja jest nam bardzo potrzebna, to OSSB jest przedsięwzięciem bardzo ważnym, ale w naszym rozumieniu wymaga także dodatkowej pracy koncepcyjnej nad tym, co chcemy przez wprowadzenie instytucji Operatora Strategicznej Sieci Bezpieczeństwa osiągnąć. Nie, nie ma presji wynikającej z innej regulacji, ale jest potrzeba uregulowania tego zagadnienia. W odrębnej regulacji czy w szerszej ustawie, całościowo podchodzącej do zagadnienia budowania łączności komunikacji na poziomie nie tylko rządowym, ale w ogóle administracji publicznej, i to nie tylko sieciach mobilnych. Propozycja przepisów wprowadzających System Bezpiecznej Łączności Państwowej znalazła się natomiast w projekcie ustawy o ochronie ludności i obronie cywilnej (UD70), przedstawionej przez Ministra Spraw Wewnętrznych i Administracji. Rozmawialiśmy tam o bezpieczeństwie łańcucha dostaw i oprócz przedstawicieli dostawców technologii z wielu branży, w dyskusji uczestniczyli też integratorzy, którzy te technologie muszą wdrażać w konkretnych organizacjach.

Jest to istotna zmiana w stosunku do obecnie obowiązujących przepisów, które nie przewidują takiej konieczności. Do tej pory powstały dwa takie zespoły – CSIRT KNF (dla sektora finansowego) oraz Centrum e-Zdrowia (dla sektora ochrony zdrowia). Projekt nowelizacji ustawy, podobnie jak dyrektywa NIS 2, zakłada samoidentyfikację podmiotów, które zobowiązane są następnie złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych. Nowe przepisy umożliwiają jednak wpisanie określonego podmiotu do wykazu, jeżeli nie złożył on wniosku o wpis, a spełnia przesłanki Pomoc w zakresie przydziału finansowego-oferty ekspertów uznania go za kluczowy lub ważny. Nieuchronnie zbliża się dzień 18 października 2024 r., czyli ostateczny termin na implementację do krajowych porządków prawnych dyrektywy NIS21. W ślad za tym na stronie Rządowego Centrum Legislacji opublikowano projekt ustawy z dnia 23 kwietnia 2024 r.

Co zmienia szósta wersja projektu nowelizacji ustawy o KSC?

• Wszystkie podmioty powinny wdrażać rozwiązania dostosowane do swoich specyficznych potrzeb, zamiast polegać jedynie na zgodności z regulacjami.
• Po ataku rosyjskich hakerów na polskie szpitale i sieci wodociągowe, mocno rosną inwestycje w cyberochronę.
• Nowe przepisy przeformułowują niektóre z obszarów, które mają zostać określone w Strategii – m.

Sektor energetyczny, finansowy, ochrona zdrowia czy infrastruktura cyfrowa. Dostawców usług telekomunikacyjnych, sektor pocztowy i kurierski czy podmioty przetwarzające odpady. Podmioty objęte dyrektywą mają wdrożyć odpowiednie środki mające zmniejszyć ryzyko dla bezpieczeństwa sieci i systemów informatycznych, uwzględniające wszelkie możliwe zagrożenia.

Jestem pewien, że nowe przepisy szybko Nowoczesna woda Deepverge wygrywa 22 mln £ Nowe zamówienia na sprzęt reakcyjny pandemiczny przełożą się na wzrost poziomu bezpieczeństwa i lepszą ochronę naszych obywateli oraz kluczowych sektorów gospodarki – mówi wicepremier i minister cyfryzacji Krzysztof Gawkowski. Procedura jest uruchamiana z urzędu w chwili, kiedy organ posiądzie taką wiedzę. Prowadzi ją minister właściwy do spraw informatyzacji, kolejnym organem dysponującym możliwościami wnioskowania o wszczęcie procedury jest przewodniczący kolegium ds. Przewodniczący kolegium także ma swoje źródła informacji – zatem, jak widać, jest to podejście wielowątkowe.

• Obie te kategorie podmiotów różni tylko – i może „aż” – sposób kontroli oraz wysokość ewentualnych kar.
• W projektowanych zmianach nałożono obowiązki na podmioty kluczowe i ważne.
• Jest to forum, na którym rozmawiamy, nierzadko w sposób wybijający z utartych schematów myślenia.
• W połączeniu z powstałą poprzez gromadzenie informacji bazą wiedzy o cyberzagrożeniach i podatnościach pozwoli skrócić czas obsługi incydentów oraz uwzględnić szczególne uwarunkowania danego sektora.

Tak, wdrożenie unijnego zestawu narzędzi ochrony krytycznych zasobów jest obowiązkowe. Polska należy do nielicznych państw UE, które jeszcze go nie implementowały, co może negatywnie wpłynąć na bezpieczeństwo danych obywateli i konkurencyjność polskich firm. ITwiz powstał po to, aby dostarczyć jak najlepszych narzędzi do komunikacji z osobami podejmującymi decyzje o zakupie rozwiązań informatycznych. ITwiz to miesięcznik dostępny w wersji drukowanej i cyfrowej, serwis internetowy, komunikacja przez social media, a także spotkania networkingowe i konferencje prowadzone przez najlepszych ekspertów specjalizujących się w nowoczesnych technologiach. Obecnie zostały opublikowane zgłoszone w ramach konsultacji publicznych stanowiska. Możliwe zatem, że w późniejszych etapach prac Projekt zostanie poddany dalszym modyfikacjom.

W dalszej części artykułu szczegółowo omówimy te kluczowe aspekty nowelizacji, aby ułatwić przedsiębiorcom przygotowanie się do nadchodzących zmian. W ocenie Kanownika ustawa o Krajowym Systemie Cyberbezpieczeństwa to jedna z najważniejszych ustaw z punktu widzenia bezpieczeństwa państwa i gospodarki cyfrowej. Coraz więcej Polaków wybiera Cypr, Maltę czy Dubaj, by obniżyć podatki. Ale mało kto zdaje sobie sprawę, że taka decyzja może diametralnie zmienić zasady dziedziczenia majątku.

Wracając do sprawy Operatora Strategicznej Sieci Bezpieczeństwa (OSSB). To kolejny element wyjęty do osobnej regulacji.

Nie zapominajmy jednak, że Dyrektywa NIS2 nałożyła na państwa członkowskie obowiązek implementacji przepisów do 17 października 2024 roku, co oznacza, że organizacje objęte regulacją powinny już być przygotowane do wdrożenia wymaganych mechanizmów. Nowa ustawa o krajowym systemie cyberbezpieczeństwa stanowi formalne dostosowanie polskich regulacji do unijnych wymogów i wprowadza precyzyjne wytyczne. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco rozszerza zakres obowiązków dotyczących zarządzania incydentami. Podmioty kluczowe i ważne będą musiały wdrożyć systemy monitorowania infrastruktury IT w trybie ciągłym, które umożliwią szybką detekcję i klasyfikację zagrożeń. Nowe przepisy pozwalają również na ograniczenie ruchu sieciowego w przypadku wykrycia podatności lub cyberzagrożeń, z uwzględnieniem minimalizacji skutków dla świadczonych usług. Tymczasowe blokowanie określonych adresów IP, segmentację sieci czy ograniczenie dostępu do zasobów krytycznych.

Przedsiębiorstw, ale to i tak pięciokrotny wzrost w porównaniu z poprzednim rokiem. Firm, które oceniły, że takie ryzyko nie istnieje, to spadek aż o 18 pp. w porównaniu z wcześniejszą edycją badania. Być może nowe regulacje (jak NIS2) kładące nacisk na ochronę przed tymi zagrożeniami podniosły poziom świadomości polskich przedsiębiorstw w tym zakresie.

Wskazanie zakresu żądanych danych, informacji lub dokumentów oraz uzasadnienie. Projekt nowelizacji zawiera propozycję mechanizmu uznania za dostawcę wysokiego ryzyka określonego dostawcy sprzętu lub oprogramowania dla szczególnego rodzaju podmiotów gospodarczych i społecznych. W szczególności chodzi tutaj, zgodni z uzasadnieniem do projektu, o sytuację zagrożenia bezpieczeństwa kluczowych podmiotów w Polsce, a przez to w konsekwencji także funkcjonowaniu państwa. Projekt uwzględnia nowe zasady dotyczące zgłaszania poważnych incydentów wprowadzone przez Dyrektywę NIS2. Podmioty kluczowe i ważne będą zobowiązane do raportowania incydentów poważnych do sektorowego CSIRT.

Nowelizacja KSC przewiduje obniżenie sankcji z 600% do 300% wynagrodzenia, co ma na celu dostosowanie ich do realnych możliwości finansowych. Wprowadzenie tej zmiany ma zapobiec sytuacjom, w których nadmierna wysokość kar mogłaby zniechęcać do podejmowania działań w zakresie cyberbezpieczeństwa. Warto dodatkowo zwrócić uwagę na przepis, który ma służyć uniknięciu sytuacji, w której podmiot kluczowy lub ważny, lub jego kierownik zostanie podwójnie ukarany za ten sam czyn.