Prezydent podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa info z Biznesradar

Ustawy zakłada, że organy, które odpowiadają za cyberbezpieczeństwo Polski, zyskają nowe kompetencje, co pozwoli im działać sprawniej i skuteczniej. Organy właściwe do spraw cyberbezpieczeństwa poszczególnych sektorów (tj. ministrowie, Komisja Nadzoru Finansowego, czy Prezes UKE) będą mogły: wydawać ostrzeżenia, wyznaczać urzędnika monitorującego wykonywanie obowiązków przez dany podmiot kluczowy, nakazać przeprowadzenie oceny bezpieczeństwa systemu informacyjnego czy audytu bezpieczeństwa. Zgodnie z nowymi przepisami Minister Cyfryzacji będzie mógł wydawać m.in. polecenia zabezpieczające, które ograniczą skutki trwającego incydentu krytycznego. Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa.

Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa również zyska nowe uprawnienia. Będzie on mógł: wydawać rekomendacje, aby wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów KSC; żądać informacji od organów administracji rządowej oraz zlecać wykonanie badań niezbędnych do wykonywania jego zadań; kupować oprogramowanie dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa. Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.

Do ustawy wprowadzono już funkcjonujące Połączone Centrum Operacyjne Cyberbezpieczeństwa, które stanie się punktem wymiany informacji o cyberzagrożeniach, incydentach i podatnościach.

Dyrektywa NIS2 implementowana nowelizacją wprowadza podział na podmioty kluczowe i ważne, działające w strategicznych sektorach państwa, takich jak energetyka, transport, bankowość, czy wodociągi. Nowe przepisy nakładają na nie obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, zwiększających bezpieczeństwo systemów informatycznych, oraz odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa. Usprawnione zostanie też zgłaszanie incydentów – informacje będą przekazywane bezpośrednio do zespołów CSIRT przez system S46.

Podmioty kluczowe i podmioty ważne będą musiały wdrożyć rozwiązania techniczne i organizacyjne z zakresu cyberbezpieczeństwa, aby chronić swoje dane i infrastrukturę przed cyberzagrożeniami. Rozwiązania te będą musiały być dopasowane do wielkości podmiotu oraz charakteru świadczonych usług. W ramach dostosowania podmioty te będą zobowiązane do przeanalizowania swoich zasobów, identyfikacji cyberzagrożeń, przeglądu obowiązujących procedur oraz przeszkolenia pracowników.

Z kolei nowe sektorowe zespoły CSIRT będą wspierać przedsiębiorców, pomagając w reagowaniu na incydenty, przekażą informacje o zagrożeniach i podatnościach i zapewnią szkolenia.

Postępowanie w sprawie uznania dostawcy za wysokiego ryzyka pozwoli wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Takie decyzje będzie podejmował Minister Cyfryzacji przy współudziale Kolegium do Spraw Cyberbezpieczeństwa w ramach transparentnego, wieloetapowego postępowania administracyjnego.

Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania w ciągu 7 lat. Dostawca, który nie zgadza się z decyzją, będzie mógł wnieść skargę do sądu administracyjnego