Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, obejmujący wdrożenie dyrektywy NIS2 oraz znaczące rozszerzenie obowiązków w zakresie zarządzania ryzykiem i bezpieczeństwem cyfrowym, trafił 7 listopada do Sejmu, rozpoczynając etap prac legislacyjnych nad jedną z kluczowych regulacji dotyczących cyberbezpieczeństwa w Polsce. Dokument opracowany przez Ministerstwo Cyfryzacji stanowi odpowiedź na wyzwania związane z rosnącymi zagrożeniami w cyberprzestrzeni oraz na konieczność wdrożenia dyrektywy NIS 2, przyjętej przez Parlament Europejski i Radę Unii Europejskiej. Nowelizacja ma na celu dostosowanie polskiego systemu cyberbezpieczeństwa do unijnych standardów.

Projekt ustawy jest bezpośrednią implementacją dyrektywy 2022/2555 Parlamentu Europejskiego i Rady (UE), znanej jako dyrektywa NIS 2. Celem tej dyrektywy jest ustanowienie jednolitych, wysokich standardów cyberbezpieczeństwa w Unii Europejskiej, co ma zapewnić większą ochronę kluczowych sektorów gospodarki przed cyberzagrożeniami.

Wdrażając NIS 2, projekt nowelizacji wprowadza szereg zmian mających na celu wzmocnienie bezpieczeństwa sieci i systemów informatycznych zarówno w sektorze publicznym, jak i w prywatnym. Obejmuje to m.in. rozszerzenie obowiązków związanych z cyberbezpieczeństwem na nowe sektory, poprawę mechanizmów zarządzania kryzysowego oraz zwiększenie odpowiedzialności podmiotów publicznych i prywatnych za ochronę przed atakami.

Zgodnie z projektem nowelizacji, rozszerza się krąg podmiotów objętych przepisami ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa wprowadza podział na podmioty kluczowe i podmioty ważne, czyli organizacje prowadzące działalność w sektorach uznanych za istotne dla funkcjonowania państwa oraz gospodarki. Podmioty kluczowe to te, których zakłócenie działania mogłoby spowodować poważne skutki dla bezpieczeństwa lub porządku publicznego, natomiast podmioty ważne to przedsiębiorstwa, które – choć o mniejszym wpływie systemowym – nadal odgrywają istotną rolę w zapewnieniu ciągłości usług wrażliwych.

Poza tradycyjnie wrażliwymi sektorami, takimi jak energetyka, transport, zdrowie, bankowość, projekt obejmuje również nowe obszary, takie jak:

• Gospodarka wodna i ścieki,
• Gospodarowanie odpadami,
• Produkcja i dystrybucja chemikaliów,
• Produkcja i dystrybucja żywności,
• Przemysł pocztowy,
• Przestrzeń kosmiczna.

Każdy podmiot z tych sektorów będzie zobowiązany do wdrożenia odpowiednich zabezpieczeń oraz procedur reagowania na incydenty cyberbezpieczeństwa.

Każdy podmiot działający w tych sektorach – jeżeli spełni kryteria uznania go za podmiot kluczowy lub ważny – będzie zobowiązany do wdrożenia odpowiednich zabezpieczeń i procedur reagowania na incydenty cyberbezpieczeństwa.

Projekt ustawy nakłada na te podmioty szeroki katalog obowiązków, takich jak m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne szacowanie ryzyka, zgłaszanie incydentów, zapewnienie bezpieczeństwa łańcucha dostaw ICT, obowiązkowe audyty oraz szczególną odpowiedzialność kierownictwa za nadzór nad cyberbezpieczeństwem. Środki techniczne i organizacyjne muszą być adekwatne do skali i rodzaju działalności oraz oszacowanego ryzyka.

Jednocześnie regulacje mogą dotyczyć nie tylko podmiotów kluczowych i ważnych, ale również firm uczestniczących w ich łańcuchach dostaw – w szczególności dostawców usług chmurowych, centrów danych, dostawców usług zarządzanych (w tym cyberbezpieczeństwa), dostawców rozwiązań ICT czy operatorów usług cyfrowych. Podmioty te, choć nie należą do sektorów kluczowych, mogą istotnie wpływać na bezpieczeństwo funkcjonowania organizacji objętych ustawą i dlatego również podlegają określonym wymogom.

Projekt przewiduje, że nowelizacja ustawy wejdzie w życie miesiąc po ogłoszeniu jej w Dzienniku Ustaw, z sześciomiesięcznym okresem dostosowawczym dla podmiotów kluczowych i ważnych. Dzięki temu przedsiębiorstwa i instytucje będą miały czas na wdrożenie nowych obowiązków, związanych m.in. z raportowaniem incydentów cyberbezpieczeństwa oraz zapewnieniem odpowiednich procedur zarządzania kryzysowego.

Wzmocnienie Cyberbezpieczeństwa w Polsce

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa stanowi kamień milowy w procesie wzmocnienia polskiego systemu ochrony przed cyberzagrożeniami. Zgodnie z przepisami, podmioty odpowiedzialne za kluczowe usługi, takie jak szpitale, elektrownie, banki czy instytucje administracji publicznej, będą zobowiązane do przestrzegania nowych wymogów w zakresie ochrony przed cyberatakami.

Projekt ten jest także zgodny z celami zawartymi w Krajowym Planie Odbudowy i Zwiększania Odporności (C3.1), którego realizacja ma na celu poprawę odporności infrastruktury krytycznej na zagrożenia cyfrowe.

Przyjęcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa to istotny krok w kierunku zwiększenia cyberodporności Polski oraz dostosowania krajowych regulacji do wymogów Unii Europejskiej, dodatkowo wzmocni swoje mechanizmy ochrony przed cyberzagrożeniami, zapewniając jednocześnie większe bezpieczeństwo dla infrastruktury krytycznej oraz kluczowych usług.

Jeżeli zastanawiasz się, czy obowiązki wynikające z NIS2 dotyczą także Twojej organizacji, skontaktuj się z nami – pomożemy to ocenić i przygotować odpowiednie działania.