W pierwszym kwartale 2025 r. planowane jest uchwalenie przez Sejm projektu zmian w ustawie o Krajowym Systemie Cyberbezpieczeństwa, co wynika z obowiązku implementacji dyrektywy unijnej NIS2. Na  koniec stycznia 2025 r. projekt nowelizacji ustawy nadal jest na etapie prac rządowych. Zatem czekamy na  przyjęcie przez Radę Ministrów i skierowanie  go do prac parlamentarnych.

Dyrektywa NIS2 (Network and Information Security (w skrócie NIS), przyjęta 14 grudnia 2022 roku,  ma na celu zabezpieczenie sieci i systemów informatycznych przed atakiem i kradzieżą danych. Doprecyzowała i rozszerzyła przepisy zwiększające bezpieczeństwo sieci i systemów informatycznych, wprowadzone dyrektywą NIS z 6 lipca 2016 roku. Zmienił się zarówno zakres podmiotowy, jak i przedmiotowy regulacji.

Nowe regulacje NIS2 oraz DORA to nie tylko nowy zakres podmiotów tworzących Krajowy System Cyberbezpieczeństwa, ale również bardziej restrykcyjne wymagania i obowiązki, a także odpowiedzialność finansowa przedsiębiorstwa oraz osobista członków zarządów za odpowiednie wdrożenie środków zarządzania ryzykiem.

Podstawą regulacji krajowej jest projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 3 października 2024 r.

7 października 2024 roku opublikowana została nowa, druga wersja projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa (projekt UKSC), będąca implementacją Dyrektywy NIS2. Zgodnie z szacunkami Ministerstwa Cyfryzacji, nowelizacja ustawy o KSC dotyczyć będzie ponad 10 000 podmiotów w Polsce, w porównaniu do około 400 podmiotów (tzw. operatorów usług kluczowych), które podlegały ustawie o Krajowym Systemie Cyberbezpieczeństwa z 2018 roku.

Ustawa wprowadza zmiany w zakresie:

- podmiotów kluczowych i ważnych, 

- zespołów CSIRT, 

- systemu S46 i Pojedynczego Punktu Kontaktowego, 

- nadzoru i środków egzekwowania przepisów przez organy właściwe ds. cyberbezpieczeństwa, 

- kompetencji Ministra Cyfryzacji,

- zmiany obowiązków Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa, czy instytucji dostawcy wysokiego ryzyka. 

Podmioty (sektory) kluczowe to:

- centralna administracja rządowa i inne podmioty publiczne;

- publiczni dostawcy sieci i usług komunikacji elektronicznej, cyfrowych i telekomunikacyjnych, na przykład operatorzy chmurowi, i platformy sieci społecznościowych, przestrzeń kosmiczna;

- instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki: zaopatrzenie w wodę pitną i zbiorowe odprowadzanie ścieków;

- przedsiębiorstwa z sektora energetycznego (wydobywanie kopalin, energia elektryczna, ciepło ropa i paliwa, gaz, energetyka jądrowa, wodór);

- przedsiębiorstwa transportowe (transport lotniczy, kolejowy, wodny, drogowy);

- bankowość i infrastruktura rynków finansowych;

- udzielanie świadczeń zdrowotnych i zdrowie publiczne;

- produkcja i dystrybucja substancji czynnych, produktów leczniczych i medycznych, w tym podmioty produkujące leki i pozostałe wyroby farmaceutyczne, a także wyroby medyczne, które uznane są za mające kluczowe znaczenie podczas stanu zagrożenia zdrowia publicznego czy hurtownie farmaceutyczne, wytwórcy produktu leczniczego, importerzy produktu leczniczego, apteki.

Podmioty(sektory) ważne to m.in.:

- dostawcy wyszukiwarek internetowych;

- e-platformy handlowe;

- usługi pocztowe, kurierskie i łączności elektronicznej;

- przedsiębiorstwa gospodarujące odpadami tj. transport odpadów i ich przetwarzanie oraz obrót;

- produkcja, wytwarzanie, dystrybucja chemikaliów;

- produkcja, wytwarzanie, dystrybucja żywności;

- produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro;

- produkcja urządzeń elektrycznych, maszyn, urządzeń elektronicznych i optycznych;

- produkcja samochodów oraz sprzętu transportowego;

- badania naukowe, w tym organizacje badawcze oraz podmioty, o których mowa w art. 7 ust. 1 pkt 1–4, 6–7 ustawy z dnia z dnia 20 lipca 2018 r.– Prawo o szkolnictwie wyższym i nauce.

Inne kryteria identyfikacji podmiotu jako kluczowy lub ważny:

Zmiany dotyczą także podmiotów, które w poprzedniej wersji były kwalifikowane jako podmioty kluczowe bez względu na wielkość, w tym:

- przedsiębiorców komunikacji elektronicznej – teraz podmiotem kluczowym będą przedsiębiorstwa co najmniej średniej wielkości, natomiast mikro lub małe przedsiębiorstwa będą podmiotami ważnymi;

- dostawców usług zarządzanych w zakresie cyberbezpieczeństwa – podmiotem kluczowym będą jedynie przedsiębiorstwa co najmniej małe, natomiast mikroprzedsiębiorstwa nie będą już objęte.

- nowa wersja projektu nowelizacji określa, że w przypadku, gdy dany podmiot spełni kryteria uznania go jednocześnie za podmiot kluczowy oraz ważny, podmiot taki będzie podmiotem kluczowym.

Identyfikacja podmiotów kluczowych i ważnych – samorejestracja

Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono jako podstawowy, mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie – np. poprzez stronę internetową.

Podstawowe obowiązki podmiotów kluczowych i ważnych:

- wprowadzenie systemu zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty,

- wdrożenie skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem

przekazywanie informacji i raportowanie o poważnych incydentach,

- przeprowadzanie audytów bezpieczeństwa systemów informacyjnych,

- wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.

Kary przewidziane w nowelizacji ustawy o KSC odpowiadają minimalnym karom określonym w dyrektywie NIS 2 dla:

1. podmiotów kluczowych, które nie wykonują ustawowych obowiązków, mogą wynieść maksymalnie 10 mln EUR lub 2% przychodów osiągniętych przez podmiot w roku poprzednim (zastosowanie ma kwota wyższa). Nałożona kara nie może być jednak niższa niż 20 000 zł.
2. podmiotów ważnych mogą wynieść maksymalnie 7 mln EUR lub 1,4% przychodów. Nałożona kara nie może być jednak niższa niż 15 000 zł.

Wejście w życie nowelizacji ustawy o KSC w 2025 r. będzie dużym wyzwaniem dla państwa i przedsiębiorców, zarówno organizacyjnym, szkoleniowym jak i finansowym.

Autor: Iwona Makosz, prawnik w Kancelarii Adwokackiej Małgorzata Boguszewska i Wspólnicy