Rada Ministrów planuje przyjąć w III kwartale projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, wynika z informacji w wykazie prac legislacyjnych i programowych Rady Ministrów. Celem jest wdrożenie zmian wprowadzonych przez dyrektywę NIS 2 oraz zareagowanie na pojawiające się nowe cyberzagrożenia, wyjaśniono.
„Pojawianie się nowych cyberzagrożeń, jak również szybki wzrost katalogu usług publicznych dostępnych online, powodują, że instytucje publiczne jak i podmioty prywatne odpowiedzialne za cyberbezpieczeństwo będą zmuszone poświęcać coraz więcej środków na zapewnienie cyberbezpieczeństwa. Zmieniająca się sytuacja międzynarodowa oraz konieczność dostarczenia usług dużej grupie nowych klientów sprawia, że niezbędne jest dalsze wzmacnianie podmiotów krajowego systemu cyberbezpieczeństwa. Tą sytuację uwidaczniają statystyki zespołu CSIRT NASK” – czytamy w informacji w wykazie.
W 2022 r. do zespołu CSIRT NASK zgłoszono ponad 39 000 incydentów cyberbezpieczeństwa, a w 2023 r. ponad 75 000 incydentów cyberbezpieczeństwa.
„Dyrektywa NIS 2 i przepisy ją implementujące są odpowiedzią na dynamicznie zmieniającą się sytuację w cyberprzestrzeni. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych” – czytamy dalej.
Dyrektywa NIS 2 nakłada również szereg obowiązków na podmioty kluczowe i podmioty ważne.
„Zmiany wprowadzone przez dyrektywę NIS 2 oraz pojawiające się nowe cyberzagrożenia powodują konieczność wprowadzenia stosownych zmian w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913 i 1703), zwanej dalej 'KSC’. Istotne jest więc uspójnienie krajowego systemu cyberbezpieczeństwa z rozwiązaniami europejskimi” – napisano w wykazie.
Nowelizacja ustawy o KSC polega w szczególności na:
1) rozszerzeniu katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki;
2) nałożeniu obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe i podmioty ważne w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2;
3) nałożeniu obowiązków z zakresu środków zarządzania ryzykiem w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2;
4) wprowadzeniu możliwości zgłaszania incydentów przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego;
5) utworzeniu zespołów CSIRT sektorowych, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa;
6) wzmocnieniu kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa;
7) wprowadzeniu nowych administracyjnych kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe i podmioty ważne;
8) wprowadzeniu Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;
9) rozszerzeniu kompetencji ministra właściwego do spraw informatyzacji (organ ten będzie mógł dokonać, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka, będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego), wymieniono w materiale.
Organ odpowiedzialny za opracowanie projektu to Ministerstwo Cyfryzacji; planowany termin przyjęcia projektu przez Radę Ministrów: III kwartał 2024 r., podsumowano.
Źródło: ISBnews
