Nowelizacja krajowego systemu cyberbezpieczeństwa – kluczowe zmiany dla przedsiębiorców‍

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa ma na celu wdrożenie dyrektywy NIS 2 oraz postanowień tzw. 5G Toolbox, a także dostosowanie krajowych regulacji do rosnącej liczby i skali cyberzagrożeń. Ustawodawca wskazuje, że dotychczasowe przepisy nie zapewniają wystarczających podstaw prawnych m.in. do identyfikacji dostawców sprzętu i oprogramowania stwarzających zagrożenie dla bezpieczeństwa państwa oraz do skutecznego funkcjonowania sektorowych struktur reagowania na incydenty.

‍

Nowelizacja istotnie przebudowuje strukturę krajowego systemu cyberbezpieczeństwa, rozszerza katalog podmiotów nim objętych oraz wzmacnia kompetencje organów publicznych.

‍

Utworzenie CSIRT-ów sektorowych

Projekt przewiduje wprowadzenie CSIRT-ów sektorowych jako stałego elementu krajowego systemu cyberbezpieczeństwa. Organy właściwe do spraw cyberbezpieczeństwa będą zobowiązane do ich utworzenia w terminie 18 miesięcy od wejścia w życie ustawy. Osiągnięcie przez CSIRT sektorowy zdolności operacyjnej będzie ogłaszane w drodze komunikatu. Do tego momentu podmioty nadal będą realizować swoje obowiązki wobec dotychczasowych CSIRT-ów poziomu krajowego (CSIRT NASK, CSIRT GOV, CSIRT MON).

‍

Celem wprowadzenia CSIRT-ów sektorowych jest zapewnienie bardziej wyspecjalizowanego wsparcia dla podmiotów kluczowych i ważnych, z uwzględnieniem specyfiki poszczególnych sektorów gospodarki.

‍

Identyfikacja dostawców wysokiego ryzyka

Jedną z najdalej idących zmian jest wprowadzenie procedury uznania dostawcy sprzętu, usług lub procesów ICT za dostawcę wysokiego ryzyka. Decyzję w tym zakresie będzie wydawał minister właściwy do spraw informatyzacji, w drodze decyzji administracyjnej, która podlega natychmiastowemu wykonaniu.

‍

Decyzja może obejmować określone typy produktów ICT, rodzaje usług ICT lub konkretne procesy ICT i skutkuje m.in.:

• zakazem wprowadzania ich do użytkowania,
• obowiązkiem wycofania ich z użytkowania w terminie 7 lat, a w przypadku ICT wykorzystywanych do funkcji krytycznych – 4 lat,
• zakazem nabywania takich rozwiązań w ramach zamówień publicznych.
  1955

‍

Przy ocenie dostawcy uwzględniane mają być zarówno czynniki techniczne, jak i nietechniczne, w tym powiązania właścicielskie oraz wpływ państw trzecich.

‍

Rozszerzenie katalogu podmiotów objętych KSC

Nowelizacja przewiduje znaczne rozszerzenie katalogu podmiotów zaliczanych do krajowego systemu cyberbezpieczeństwa. Do systemu zostaną włączone nowe sektory gospodarki, w tym m.in.:

• ścieki,
• zarządzanie usługami ICT,
• przestrzeń kosmiczna,
• poczta,
• produkcja oraz produkcja i dystrybucja chemikaliów,
• produkcja i dystrybucja żywności.

‍

Podmioty zakwalifikowane jako podmioty kluczowe lub ważne będą zobowiązane do samorejestracji, wdrożenia systemów zarządzania bezpieczeństwem informacji oraz – w przypadku podmiotów kluczowych – do przeprowadzania okresowych audytów bezpieczeństwa.

‍

Najważniejsze zagadnienia wprowadzane nowelizacją

1. Nowa struktura reagowania na incydenty – oparcie systemu o CSIRT-y sektorowe, przy jednoczesnym zachowaniu roli CSIRT-ów krajowych.
2. Mechanizm eliminacji ryzyk w łańcuchu dostaw ICT – możliwość administracyjnego wykluczania określonych dostawców i technologii.
3. Znaczne poszerzenie zakresu regulacji – objęcie KSC nowych sektorów i większej liczby przedsiębiorców.
4. Wzmocnienie odpowiedzialności organizacyjnej – obowiązki zarządcze i nadzorcze po stronie kierownictwa podmiotów kluczowych i ważnych.
   1955

‍

Co z tego wynika dla firm?

• więcej przedsiębiorstw zostanie objętych reżimem KSC, nawet jeśli dotychczas nie były uznawane za podmioty infrastruktury krytycznej,
• konieczne może być dostosowanie łańcucha dostaw ICT i przygotowanie się na ryzyko administracyjnego wycofania używanego sprzętu lub oprogramowania,
• firmy działające w sektorach objętych nowelizacją będą musiały współpracować z właściwymi CSIRT-ami sektorowymi i realizować nowe obowiązki raportowe,
• zarządy podmiotów kluczowych i ważnych poniosą bezpośrednią odpowiedzialność za wdrożenie i utrzymanie systemów zarządzania cyberbezpieczeństwem.

‍

Nowelizacja KSC wprowadza systemowe i długofalowe zmiany, które istotnie wpływają na sposób zarządzania ryzykiem cyberbezpieczeństwa w przedsiębiorstwach działających w Polsce.