Zmiany ustawy o krajowym systemie cyberbezpieczeństwa po dyrektywie NIS2

Nieuchronnie zbliża się dzień 18 października 2024 r., czyli ostateczny termin na implementację do krajowych porządków prawnych dyrektywy NIS2¹. W ślad za tym na stronie Rządowego Centrum Legislacji opublikowano projekt ustawy z dnia 23 kwietnia 2024 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („Projekt”).
 

Kto jest adresatem Projektu?
 

Projekt nowelizacji ustawy o KSC jest skierowany przede wszystkim do podmiotów kluczowych i ważnych. Proponowana regulacja odchodzi od dotychczasowo przyjętych pojęć operatorów usług kluczowych i dostawców usług cyfrowych na rzecz terminologii przyjętej w dyrektywie NIS2. Za podmioty kluczowe będą uznawani m.in. przedsiębiorcy przewyższający wymogi dla średniego przedsiębiorstwa działający w sektorach opisanych w załączniku 1 i 2 do Projektu, ale także - niezależne od wielkości - dostawcy usług DNS czy kwalifikowani dostawcy usług zaufania. Natomiast podmiotami ważnymi będą m.in. przedsiębiorcy spełniający wymogi dla średniego przedsiębiorstwa niebędący podmiotami kluczowymi, jak również niekwalifikowani dostawcy usług zaufania będący mikro, małym lub średnim przedsiębiorcą.

Zgodnie z postulatem rozszerzenia katalogu podmiotów o nowe sektory rynku, Projekt rozciąga swój zakres podmiotowy na sektory gospodarki takie jak ścieki, gospodarowanie odpadami, zarządzanie usługami ICT czy usługi pocztowe. W odróżnieniu od dyrektywy NIS2, polska regulacja jest bardziej restrykcyjna i bezwarunkowo klasyfikuje jako kluczowe podmioty takie jak apteki, hurtownie farmaceutyczne czy wytwórców produktów leczniczych. Ponadto, polski projektodawca przyjmuje dalej idące podejście, traktując jako kluczowe sektory, które dyrektywa NIS2 kategoryzuje jedynie jako ważne (takie jak produkcja żywności, chemikaliów czy produkcja pojazdów samochodowych). W zakresie sektora bankowość i infrastruktura rynków finansowych ustawodawca zdecydował się na dodanie również administratorów wskaźników referencyjnych.

W tym zakresie ważną zmianę przynosi projektowany art. 8i, który przesądza, że podmioty kluczowe i podmioty ważne z sektora bankowość i infrastruktura rynków finansowych (tj. m.in. banki i SKOK-i, podmioty prowadzące rynek regulowany czy wspomniani administratorzy kluczowych wskaźników referencyjnych) objęte przepisami rozporządzenia DORA nie będą stosować znacznej części przepisów przewidzianych w ustawie. Zmiana ta jest zgodna z systematyką unijnego pakietu ws. cyberbezpieczeństwa i zmierza do uniknięcia duplikowania obowiązków m.in. w zakresie zarządzania ryzykiem, postępowania z incydentami czy wdrażania wymaganej dokumentacji. Nie oznacza to jednak całkowitego wyłączenia tych podmiotów z zakresu ustawy – będą one podlegać m.in. obowiązkowi zastosowania polecenia zabezpieczającego (szerzej o tej instytucji będzie w dalszej części tekstu).

Obowiązki dla podmiotów kluczowych i ważnych
 

Aby zapewnić skuteczną identyfikację podmiotów kluczowych i ważnych, Projekt wprowadza tzw. obowiązek samorejestracji. Jeśli spełnione są odpowiednie przesłanki dla podmiotów kluczowych lub ważnych, podmiot będzie musiał złożyć wniosek o wpis do rejestru prowadzonego przez ministra odpowiedzialnego za informatyzację w ciągu 2 miesięcy od spełnienia tych warunków. W rejestrze będą dostępne m.in. dane identyfikujące podmiot, a także informacje takie jak zakres wykorzystywanych domen i adresów IP czy fakt zawarcia umowy z dostawcą usług zarządzanych w zakresie bezpieczeństwa na realizację zadań z zakresu cyberbezpieczeństwa wraz z danymi tego dostawcy.

Ponadto podmioty kluczowe i ważne będą zobowiązane do wdrożenia systemu zarządzania bezpieczeństwem informacji zgodnie z elementami określonymi w dyrektywie NIS2. Takie rozwiązanie ma ułatwić dostosowanie się do regulacji podmiotom, które już wdrożyły taki system zgodnie z obecnymi przepisami lub z własnej inicjatywy. Projektodawca polski nie wymaga uzyskania certyfikacji zgodności systemu z jedną z norm technicznych, lecz uznaje za wystarczające wdrożenie systemu zgodnie z Projektem i odpowiednie jego udokumentowanie. Jednakże spełnienie wymogów norm PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301 uznaje za równoznaczne z wypełnieniem wymogów w zakresie systemu zarządzania bezpieczeństwem informacji.

Nowe rozwiązania w zakresie raportowania i incydentów poważnych
 

Projekt uwzględnia nowe zasady dotyczące zgłaszania poważnych incydentów wprowadzone przez Dyrektywę NIS2. Podmioty kluczowe i ważne będą zobowiązane do raportowania incydentów poważnych do sektorowego CSIRT. Niezwłocznie, nie później niż 24 godziny po wykryciu incydentu poważnego (a w przypadku przedsiębiorców komunikacji elektronicznej – 12 godzin), powinno zostać złożone tzw. ostrzeżenie wczesne zawierające m.in. dane zgłaszającego, w tym kontakt do osób uprawnionych do składania wyjaśnień oraz informacje o momencie wystąpienia incydentu. Ostrzeżenie wczesne może także zawierać wniosek o wskazanie wytycznych dotyczących środków łagodzących skutki incydentu lub o wsparcie techniczne. Jeśli incydent kwalifikuje się jako przestępstwo, sektorowy CSIRT przekazuje informacje o sposobie zgłoszenia tego faktu organom ścigania. Sektorowy CSIRT musi udzielić wsparcia w ciągu 24 godzin zgodnie z treścią wniosku.

W dalszej kolejności podmiot kluczowy lub ważny zgłasza w ciągu 72 godzin incydent poważny wraz z szczegółowymi informacjami dotyczącymi m.in. wpływu incydentu na usługi, jego przyczyn oraz podjętych działań. Na wniosek CSIRT sektorowego podmiot powinien złożyć również sprawozdanie okresowe z obsługi tego incydentu.

Sprawozdanie końcowe powinno zostać przekazane nie później niż miesiąc po zgłoszeniu incydentu. Jeśli incydent nie zostanie zakończony w ciągu miesiąca, zgłaszający powinien przesłać sprawozdanie z postępu obsługi incydentu, a sprawozdanie końcowe przedłożyć do miesiąca po zakończeniu takiej obsługi.

Kryteria uznania incydentu za poważny zostaną określone przez Radę Ministrów w drodze rozporządzenia.

Polecenie zabezpieczające
 

Projektowane przepisy wprowadzają nowość w postaci polecenia zabezpieczającego, które minister ds. informatyzacji będzie mógł wydać w drodze decyzji administracyjnej w przypadku wystąpienia incydentu krytycznego. Polecenie zabezpieczające będzie zawierało wskazanie konkretnego działania, które zmniejszy skutki incydentu lub zapobiegnie jego rozprzestrzenianiu się. W szczególności może to obejmować nakaz zastosowania określonej poprawki bezpieczeństwa, nakaz szczególnej konfiguracji czy zakaz korzystania z określonego sprzętu lub oprogramowania.

Sankcje za niewywiązywanie się z nałożonych obowiązków
 

Za brak terminowej rejestracji oraz niewykonanie obowiązków wynikających z ustawy może zostać nałożona kara w wysokości od 20 000 zł do 10 mln EUR lub 2% przychodów w roku poprzednim (w przypadku podmiotu kluczowego) albo od 15 000 zł do 7 mln EUR lub 1,4% przychodów w roku poprzednim (w przypadku podmiotu ważnego).

Niezależnie od sankcji nałożonych na sam podmiot, karze pieniężnej może podlegać także kierownik podmiotu kluczowego lub podmiotu ważnego, która nie może być większa niż 600% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. Organ odpowiedzialny za cyberbezpieczeństwo powinien uwzględniać możliwości finansowe kierownika przy wymierzaniu kary.

W przypadku, gdy naruszenie przepisów ustawy powoduje jednocześnie bezpośrednie i poważne zagrożenie dla cyberbezpieczeństwa w obszarze obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi bądź zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług, właściwy organ nakłada karę w wysokości do 100 mln PLN.

Co dalej?
 

Obecnie zostały opublikowane zgłoszone w ramach konsultacji publicznych stanowiska. Możliwe zatem, że w późniejszych etapach prac Projekt zostanie poddany dalszym modyfikacjom.

Projektowana regulacja wejdzie w życie po upływie 1 miesiąca od dnia jej ogłoszenia w Dzienniku Ustaw. Ponadto, Projekt przewiduje sześciomiesięczny okres przejściowy dla podmiotów kluczowych i ważnych, co pozwoli na terminowe wdrożenie dyrektywy NIS2 oraz umożliwi podmiotom odpowiednie przygotowanie się do jej implementacji.

_Przypisy:

_{¹ Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148}