Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Poza operatorami usług kluczowych, także podmioty kluczowe i ważne będą zobowiązane do przeprowadzania audytów bezpieczeństwa swoich systemów informacyjnych co dwa lata. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. Drugą dużą zmianą w stosunku do projektu z marca tego roku jest usunięcie przepisów dotyczących utworzenia Funduszu celowego na rzecz strategicznej sieci bezpieczeństwa. OSSB otrzymywać ma dotację celową z części budżetu państwa, której dysponentem jest minister właściwy do spraw aktywów państwowych.
- Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.
- Wobec podmiotu kluczowego można prowadzić czynności nadzorcze ex ante i ex post.
- Uwzględnia także przepisy unijnej dyrektywy NIS2, do implementacji, której Polska jest zobowiązana.
- Jesteśmy zdeterminowani, aby wprowadzić nowe prawo szybko, ale zachowując odpowiedni okres dla przedsiębiorców do dostosowania się do regulacji – podkreślił wicepremier, minister cyfryzacji Krzysztof Gawkowski.
- W przypadku odmowy udzielenia dostępu do infrastruktury technicznej przez operatora sieci, na wniosek Operatora decyzję o dostępie wydaje Prezes UKE.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Co w projekcie?
Wicepremier i minister cyfryzacji Krzysztof Gawkowski projekt nazwał „ustawą KSC 3.0”, która w „70 proc. Osoby zarządzające podmiotami kluczowymi i ważnymi także podlegają odpowiedzialności. Zgodnie z projektowanymi rozwiązaniami, kierownicy podmiotów mogą zostać ukarani karą pieniężną do 600% swojego wynagrodzenia, jeżeli nie wywiązują się z obowiązków wynikających z ustawy. To dodatkowy mechanizm, który ma na celu motywowanie osób na stanowiskach kierowniczych do pilnego przestrzegania przepisów.
Przez ostatnie lata wiele zmieniło się w krajobrazie cyberprzestrzeni, a wyzwań jest coraz więcej biorąc pod uwagę liczbę incydentów i ich konsekwencje. Wprowadzono także możliwość zaskarżenia decyzji o uznaniu podmiotu za dostawcę wysokiego ryzyka. Usunięto również zapis, który uniemożliwiał wstrzymanie przez sąd administracyjny natychmiastowej wykonalności decyzji o uznaniu za dostawcę wysokiego ryzyka po wniesieniu przez Waluta UE osiągnęła minimum podmiot skargi.
W sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Wśród obowiązków dla podmiotów kluczowych i ważnych znajdzie się wprowadzenie systemu zarządzania bezpieczeństwem informacji dotyczących procesów związanych ze świadczeniem usług. Natomiast kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację wskazanych zadań i będzie musiał odbyć szkolenie z cyberbezpieczeństwa. 5 października w Biuletynie Informacji Publicznej Ministra Cyfryzacji opublikowany został nowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz ustawy – Prawo zamówień publicznych.
Nowe podejście do cyberbezpieczeństwa? Poznaliśmy założenia nowelizacji KSC
Znowelizowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które są objęte przepisami obecnej ustawy o krajowym systemie cyberbezpieczeństwa. Podmioty kluczowe i ważne będą obowiązane wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty. Odpowiada to zakresowi wymogów, co do środków zarządzania ryzykiem wskazanych w art. 21 dyrektywy NIS2.
Inne istotne zmiany, jakie zostaną dokonane w projekcie dotyczą:
Decyzja ta jest natychmiast publikowana w Dzienniku Urzędowym „Monitor Polski” i podlega natychmiastowemu wykonaniu. Oznacza to, że podmioty kluczowe mają obowiązek przystąpić do jej realizacji bez zwłoki. Nowelizacja ustawy o KSC szczegółowo opisuje proces uznania dostawcy za DWR, co może mieć znaczący wpływ na działalność podmiotów kluczowych i ważnych.
Po otrzymaniu raportu z audytu, podmioty te muszą przedstawić sprawozdanie z przeprowadzonego audytu właściwemu organowi do spraw cyberbezpieczeństwa w ciągu trzech dni roboczych. Procedura uznania dostawcy za DWR może zostać wszczęta z urzędu przez Ministra Cyfryzacji lub na wniosek przewodniczącego Kolegium ds. Postępowanie dotyczy dostawców sprzętu lub oprogramowania, którzy zaopatrują podmioty kluczowe lub ważne. – Zmiany w Krajowym Systemie Cyberbezpieczeństwa to dla nas priorytetowy projekt na ten rok.
„Jesteśmy otwarci na uwagi, wnioski, zmiany przepisów, będziemy je analizowali, współpracowali z rynkiem, resortami, tak aby projekt, który wyjdzie z rządu i trafi do Sejmu został szybko procedowany. Jesteśmy w fazie regularnej wojny w cyberprzestrzeni, bo działania naszych przeciwników politycznych, jak i grup przestępczych są na takim poziomie aktywności, że musimy mieć narzędzia do twardego reagowania” – stwierdził Olszewski. Niniejszy materiał został przygotowany wyłącznie w ogólnych celach informacyjnych i nie należy się na nim opierać jako na informacjach księgowych, podatkowych lub innych profesjonalnych poradach.
System S46 ma być głównym środkiem komunikacji pomiędzy podmiotami objętymi KSC. Podmioty kluczowe i ważne będą zobowiązane do korzystania z tego systemu, by wymieniać informacje o incydentach, cyberzagrożeniach i podatnościach. Przede wszystkim nowelizacja obejmie nowe podmioty określone jako kluczowe i ważne, których w perspektywie przyszłości będzie tysiące. Będą musiały się dostosować do wymogów ustawy pod katem bezpieczeństwa usług cyfrowych.
Przyjęcie projektu jeszcze w tym roku?
Wprowadzono również dwa nowe CSIRT – CSIRT INT, działający na rzecz jednostek organizacyjnie podległych Ministrowi Spraw Zagranicznych lub przez niego nadzorowanych oraz Agencji Wywiadu, a także CSIRT Telco, na potrzeby przedsiębiorców komunikacji elektronicznej. Podobnie jak w poprzednich propozycjach nowelizacji ustawy o KSC, również w tym z października br. Zakłada się utworzenie strategicznej sieci bezpieczeństwa w celu zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie telekomunikacji. Dodano jednak uprawnienie Prezesa Rady Ministrów do wydania rozporządzenia, w którym określone zostaną minimalne wymagania techniczne jakie musi spełniać SSB oraz minimalny poziom bezpieczeństwa usług transmisji danych, połączeń głosowych oraz wiadomości tekstowych. Projekt ustawy określa procedurę rejestracji podmiotów kluczowych i ważnych. Minister właściwy do spraw informatyzacji będzie prowadził rejestr podmiotów kluczowych i podmiotów ważnych.
Podstawowe obowiązki podmiotów kluczowych i ważnychW projektowanych zmianach nałożono obowiązki na podmioty kluczowe i ważne. Do czasu osiągnięcia przez Operatora strategicznej sieci bezpieczeństwa pełnej zdolności operacyjnej do świadczenia usług, podmioty, o których mowa w ustawie, mogą zawierać umowy na świadczenie usług także z innymi operatorami telekomunikacyjnymi. Dostawcy wysokiego ryzyka, względem dostawców sprzętu i oprogramowania, którzy będą mogli zostać poddani procedurze sprawdzenia pod kątem zagrożenia dot.
Wsparcie ze strony CSIRT-ów sektorowych i CSIRT-ów poziomu krajowego oraz zostaną objęte nadzorem. Wprowadzane zmiany w nowelizacji ustawy o KSC mają istotne znaczenie dla podmiotów kluczowych i ważnych, które będą musiały dostosować zulutrade broker przegląd: prawdziwe opinie swoje działania do nowych regulacji. Proces uznania dostawcy za dostawcę wysokiego ryzyka (DWR) oraz związane z tym obowiązki, takie jak natychmiastowe wstrzymanie korzystania z produktów DWR, ich wycofanie oraz zakaz nabywania w ramach zamówień publicznych, stanowią istotne wyzwanie dla przedsiębiorców. Tak jak do tej pory operatorzy usług kluczowych, tak i inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata. Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego.
W porównaniu Globalny system zysku-zyskowny system handlowy do poprzedniego projektu nowelizacji zniesiono obowiązek informowania przez przedsiębiorcę komunikacji elektronicznej użytkowników o samym zagrożeniu. Przedsiębiorca może jednak wystosować taką informację, jeżeli nie spowoduje to zwiększenia poziomu ryzyka dla bezpieczeństwa sieci lub usług komunikacji elektronicznej. Pozostawiono również obowiązek informowania użytkowników o możliwych środkach zapobiegawczych oraz związanych z tym kosztach. Podmioty spełniające wymogi dla podmiotów kluczowych i podmiotów ważnych będą zobowiązane do zarejestrowania się w rejestrze w terminie 2 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy albo podmiot ważny. Poznaliśmy wreszcie (18!) wersję nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, a pierwszą – w wykonaniu nowego rządu. Podmioty kluczowe i ważne mają obowiązek przeprowadzać audyt bezpieczeństwa systemu informacyjnego co najmniej raz na dwa lata.
