Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa ma wdrażać w Polsce unijną dyrektywę NIS 2

Sejm uchwalił w piątek nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wprowadza m.in. procedurę dostawcy wysokiego ryzyka. Uruchomienie procedury może skutkować koniecznością wymiany sprzętu przez operatorów, którzy korzystaliby z oznaczonych w ten sposób produktów.

Za uchwaleniem noweli było 407 posłów, przeciwko 10, a 17 posłów wstrzymało się od głosu.

Wcześniej Sejm odrzucił wniosek o odrzucenie projektu noweli w całości.

Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa ma wdrażać w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na “podmioty kluczowe“ i “podmioty ważne“. Wprowadziła także nowe sektory objęte obowiązkami związanymi z cyberbezpieczeństwem. Obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej w dyrektywie NIS 2 dodano następujące sektory: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję i dystrybucję chemikaliów oraz produkcję i dystrybucję żywności.

Nowe przepisy przewidują rozszerzenie kompetencji ministra właściwego do spraw informatyzacji - m.in. będzie on mógł wskazywać dostawcę wysokiego ryzyka. Decyzja taka będzie mogła zostać podjęta według kryteriów technicznych i nietechnicznych, po konsultacjach z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa. Dostawca będzie mógł zaskarżyć decyzję do sądu administracyjnego. Sprzęt dostawcy wysokiego ryzyka będzie musiał być wycofany z systemów podmiotów kluczowych i podmiotów ważnych w ciągu od 4 do 7 lat.

Nowela przewiduje, że firmy z sektorów kluczowych i ważnych (czyli m.in. energii, zdrowia, bankowości, produkcji, zaopatrzenia w wodę) będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem. Obowiązkowe będzie m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych - PAP) oraz regularne ocenianie ryzyka wystąpienia incydentów.

Za nieprzestrzeganie przepisów na przedsiębiorców z tych sektorów będą nakładane kary: co do zasady na podmioty kluczowe o wysokości minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł); a na podmioty ważne - min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł). Kara może też wynieść 2 proc. przychodów firmy - w przypadku podmiotów kluczowych; a w przypadku podmiotów ważnych - 1,4 proc. przychodów.

Niezależnie od limitów za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.

Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.