Dyrektywa NIS 2 (ang. Directive on Security of Network and Information Systems 2) stanowi kluczowy element w systemie prawnym Unii Europejskiej, mający na celu poprawę poziomu cyberbezpieczeństwa państw członkowskich. Jej wprowadzenie jest odpowiedzią na dynamicznie rosnące zagrożenia cybernetyczne oraz wzrastającą złożoność i znaczenie infrastruktury cyfrowej zarówno w życiu codziennym jak i gospodarczym. Została przyjęta w grudniu 2022 roku, stanowiąc aktualizację pierwotnej Dyrektywy NIS i odzwierciedla zmieniające się podejście Unii Europejskiej do kwestii cyberbezpieczeństwa oraz nowych wyzwań w zakresie zagrożeń cybernetycznych. Ponadto wprowadza znacznie szerszy zestaw wymogów, obejmując większą liczbę podmiotów niż jej poprzedniczka. Celem działań UE jest bowiem stworzenie jednolitych, spójnych ram prawnych, które zapewnią jednakowy poziom ochrony przed zagrożeniami cyfrowymi w całej Wspólnocie oraz wzmocnią współpracę międzynarodową w dziedzinie cyberbezpieczeństwa.

Wobec narastającej liczby cyberataków na instytucje publiczne i prywatne oraz coraz bardziej złożonych zagrożeń, wdrożenie dyrektywy NIS 2 staje się priorytetem wymagającym uwzględnienia aspektów zarówno prawnych, jak i operacyjnych. Polska, podobnie jak inne państwa członkowskie, musi nie tylko dostosować swoje przepisy, ale również zapewnić skuteczne mechanizmy nadzoru i wspierać podmioty w realizacji nowych obowiązków.

Aktualne przepisy: Krajowy System Cyberbezpieczeństwa

Ustawa z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa, to pierwszy tego typu akt prawny w Polsce, który w zakresie swojej regulacji wdrożył dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6.7.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii czyli Dyrektywę NIS. Głównym celem tego aktu prawnego było określenie krajowych ram prawnych umożliwiających ochronę systemów informatycznych oraz podniesienie zdolności do zapobiegania i reagowania na zagrożenie cybernetyczne przez operatorów usług kluczowych oraz dostawców usług cyfrowych (art. 3 ustawy o krajowym systemie cyberbezpieczeństwa). Krajowy system cyberbezpieczeństwa obejmuje operatorów usług kluczowych, dostawców usług cyfrowych, CSIRT MON, CSRIT NASK, CSRIT GOV, sektorowe zespoły cyberbezpieczeństwa, wybrane jednostki sektora finansów publicznych, instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polską Agencję Żeglugi Powietrznej, Polskie Centrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, Pojedynczy Punkt Kontaktowy, Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa oraz Kolegium do spraw Cyberbezpieczeństwa, ustawa obowiązuje od 28 sierpnia 2018 r.

Zgodnie z ustawą operatorzy usług kluczowych to podmioty świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej, których świadczenie uzależnione jest od funkcjonowania systemów informacyjnych, a incydent wywarłby istotny wpływ zakłócający dla świadczenia tej usługi kluczowej. Operatorów usług kluczowych odnajdziemy w takich sektorach jak: energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną czy infrastruktura cyfrowa. Ich szczegółowy wykaz prowadzony jest przez ministra właściwego do spraw informatyzacji. Ustawa definiuje i obejmuje również swoim zasięgiem dostawców usług cyfrowych. Do usług cyfrowych zaliczane są: internetowe platformy handlowe, usługi przetwarzania w chmurze oraz wyszukiwarki internetowe.

Na podmioty objęte tym aktem prawnym nałożono szereg obowiązków. Operatorzy usług kluczowych są zobowiązani do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji w zakresie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. W jego skład wchodzić powinny m.in. procedury dotyczące: szacowania ryzyka, eksploatacji systemu, bezpieczeństwa fizycznego systemu, bezpieczeństwa i ciągłości dostaw usług. Operatorzy usług kluczowych zobowiązani są również do obsługi i zgłaszania incydentów. Są oni zobligowani do klasyfikowania incydentów a w przypadku zakwalifikowania incydentu jako incydent poważny zgłoszenia go do właściwego CSIRT w ciągu 24 godzin od momentu jego wykrycia. Dodatkowo ich obowiązkiem jest współpraca z CSIRT w ramach obsługi incydentu oraz usunięcie podatność systemu. Ustawa zobowiązuje operatorów usług kluczowych do ustanowienia wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo (warto zauważyć, że przewiduje ona możliwość korzystania z outsourcingu usług bezpieczeństwa). Zobowiązani są oni do przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej raz na 2 lata. Na dostawców usług cyfrowych ze względy na transgraniczną specyfikę funkcjonowania tych podmiotów nałożono mniej wymagające obowiązki w zakresie zapewnienie cyberbezpieczeństwa świadczonych usług. Są zobowiązani do stosowania środków bezpieczeństwa adekwatnych do stopnia ryzyka, przy szczególnym uwzględnieniu: bezpieczeństwa systemów informacyjnych i obiektów, postepowania w przypadku obsługi incydentu, zarządzania ciągłością działania, najnowszego stanu wiedzy oraz monitorowania, audytowania i testowania. Zgodnie z art. 21 ustawy o krajowym systemie cyberbezpieczeństwa podmioty publiczne wchodzące w skład krajowego systemu cyberbezpieczeństwa mają obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemy cyberbezpieczeństwa. Ponadto podmioty publiczne zobowiązane są do zarządzania i obsługi incydentu oraz zgłoszenia go do właściwego CSIRT w ciągu 24 godzin od jego wykrycia.

Ustawa wyznacza trzy CSIRT na poziomie krajowym: CSIRT NASK, CSIRT GOV oraz CSRIT MON. Dla każdego z powołanych CSIRT przydzielone zostały podmioty, których obsługą będą się zajmować w zakresie przyjmowania zgłoszeń i raportów oraz udzielania wsparcia. Ponadto wszystkie trzy CSIRT-y mają za zadanie współpracować ze sobą oraz m.in. ministrem ds. informatyzacji czy Pełnomocnikiem ds. Cyberbezpieczeństwa. Inne zadania CSIRT-ów to m.in.: monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym, reagowanie na zgłoszone incydenty, współpraca z sektorowymi zespołami cyberbezpieczeństwa, wydawanie komunikatów o zidentyfikowanych zagrożeniach cyberbezpieczeństwa czy współpraca z innymi państwami UE. Jednym z fundamentalnych zadań CSIRT jest przyjmowanie i reagowanie na incydenty. Ustawa określa trzy poziomy incydentów:

Ustawa przewiduje sprawowanie nadzoru i kontroli nad podmiotami krajowego systemu cyberbezpieczeństwa. Za nadzór nad każdym kluczowym sektorem gospodarki odpowiada organ właściwy do spraw cyberbezpieczeństwa, czyli ministrowie właściwi dla konkretnych działów administracji. Minister odpowiedzialny za informatyzację odpowiada za cywilne aspekty cyberbezpieczeństwa Rzeczypospolitej Polskiej, zaś jednym z głównych zadań Ministra Obrony Narodowej jest prowadzenie współpracy międzynarodowej Sił Zbrojnych Rzeczypospolitej Polskiej z odpowiednimi organami NATO, UE oraz innymi organizacjami międzynarodowymi w obszarze obrony narodowej w zakresie cyberbezpieczeństwa. Operatorzy usług kluczowych oraz dostawcy usług cyfrowych mogą podlegać karze od 1000 zł do 1 000 000 zł za zaniechanie lub niewypełnienie obowiązków wynikających z ustawy. Kary pieniężne nakłada organ odpowiedzialny za cyberbezpieczeństwo w formie decyzji, a środki pochodzące z tych kar zasilają budżet państwa.

Z uwagi na szeroki zakres tematyki cyberbezpieczeństwa, która obejmuje różne ministerstwa i agencje, ustawa ustanawia Kolegium ds. Cyberbezpieczeństwa oraz Pełnomocnika ds. Cyberbezpieczeństwa w celu koordynacji polityki na poziomie państwowym. Pełnomocnik, mianowany i odwoływany przez Prezesa Rady Ministrów, działa jako sekretarz lub podsekretarz stanu podlegający Radzie Ministrów. Jego zadania obejmują analizę i ocenę funkcjonowania systemu cyberbezpieczeństwa, nadzór nad zarządzaniem ryzykiem, opiniowanie dokumentów rządowych, promowanie nowych rozwiązań, inicjowanie ćwiczeń oraz wydawanie rekomendacji dla CSIRT. Ponadto pełnomocnik wspiera badania i rozwój technologiczny oraz podnosi świadomość społeczeństwa w zakresie cyberzagrożeń. Kolegium ds. Cyberbezpieczeństwa, pod przewodnictwem Prezesa Rady Ministrów, pełni zaś rolę opiniodawczo-doradczą. W jego skład wchodzą ministrowie odpowiedzialni za kluczowe obszary, Szef Kancelarii Premiera, Szef Biura Bezpieczeństwa Narodowego i inni przedstawiciele administracji oraz służb.

Dyrektywa NIS 2: kluczowe wymagania

Dyrektywa NIS 2 ustanawia środki, które mają na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii. Podyktowane jest to dążeniem do poprawy funkcjonowania rynku wewnętrznego Unii Europejskiej. W preambule do Dyrektywy ustawodawca unijny wskazuje, że jej celem jest wyeliminowanie rozbieżności, które pojawiły się na gruncie dyrektywy NIS 1, zwłaszcza poprzez zdefiniowanie minimalnych przepisów dotyczących funkcjonowania zharmonizowanych ram regulacyjnych, wprowadzenie mechanizmów skutecznego współdziałania między odpowiedzialnymi organami w poszczególnych państwach członkowskich, uaktualnienie wykazu sektorów i działań podlegających zakresom obowiązków w zakresie cyberbezpieczeństwa oraz wdrożenie sprawnych środków naprawczych i środków egzekwowania, które są istotne dla efektywnego egzekwowania tych obowiązków. Do głównych obowiązków wynikających z Dyrektywy NIS 2 należą:

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa

Implementacja unijnego prawodawstwa jakim jest Dyrektywa NIS 2 do krajowego porządku prawnego jest priorytetowym zadaniem dla państw członkowskich Wspólnoty, w celu zagwarantowania zharmonizowanego i skutecznego systemu cyberbezpieczeństwa na terenie całej Unii Europejskiej. W Polsce wdrożenie nowego prawodawstwa ma zostać zrealizowane poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Nowelizacja jest nie tylko formalnym obowiązkiem ciążącym na państwie członkowskim, ale również kluczowym krokiem ku zwiększeniu odporności na cyberzagrożenia w dynamicznie zmieniającym się środowisku cyfrowym. Wdrożenie nowych przepisów oznacza konieczność dostosowania krajowych regulacji do zaostrzonych wymogów NIS 2, co wiąże się z rozszerzeniem zakresu podmiotów objętych regulacją, wprowadzeniem bardziej szczegółowych procedur zarządzania ryzykiem oraz nowych obowiązków w zakresie raportowania incydentów. Oznacza to także zwiększenie uprawnień organów nadzoru i zaostrzenie sankcji, co ma na celu skuteczniejsze egzekwowanie przepisów. Najnowszy projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa został opublikowany 3 października 2024 r. i jest to już drugie wydanie nowelizacji w zakresie implementacji Dyrektywy NIS 2 do polskiego porządku prawnego. Tymczasem, zgodnie z wymogami nowego prawodawstwa unijnego, państwa członkowskie powinny wprowadzić nowe przepisy do porządku prawnego najpóźniej do 17 października 2024 r. To oznacza, że Polska już teraz zmaga się z presją czasową, aby zrealizować te zobowiązania. Mimo że projekt ten jest zapowiadany jako ostateczna wersja, proces legislacyjny jeszcze potrwa. Nawet przy zachowaniu optymalnych terminów i sprawnym przebiegu prac sejmowych, obowiązywanie nowych przepisów – według opinii ekspertów – może zacząć się dopiero pod koniec pierwszego kwartału 2025 r. Taka sytuacja wymaga nie tylko zintensyfikowania działań legislacyjnych, ale również przygotowania podmiotów objętych regulacją do szybkiego wdrożenia nowych wymogów. W związku z tym warto przyjrzeć się głównym założeniom nowelizacji ustawy o KSC, które mają na celu dostosowanie polskiego systemu prawnego do wymogów dyrektywy NIS2 oraz wzmocnienie krajowego systemu cyberbezpieczeństwa.

Na wstępie zaznaczyć należy, że nowelizacji ustawy o KSC jest dokumentem znacznie obszerniejszym niż jej pierwotna wersja, co wynika ze znacznie poszerzonego zakresu, który obejmuje ustawa. Wprowadzono wiele nowych definicji, rozszerzono zakres podmiotów objętych nową regulacją dodano również szczegółowe obowiązki związane z zarządzeniem cyberbezpieczeństwem.

Identyfikacja i rejestracja podmiotów kluczowych i podmiotów ważnych

Zmianie ulegają kryteria dotyczące identyfikacji podmiotów kluczowych i podmiotów ważnych. Do podmiotów kluczowych zaliczane są podmioty, które spełniają m.in. takie kryteria: znajdują się w załączniku nr 1 do ustawy i przewyższają wymogi średnich przedsiębiorstw według rozporządzenia Komisji (UE) nr 651/204, są przedsiębiorcami komunikacji elektronicznej spełniający lub przewyższający wymogi średnich przedsiębiorstw, dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa spełniający przynajmniej wymagania dla małych lub średnich przedsiębiorstw czy dostawcy usług DNS, kwalifikowani dostawcy usług zaufania, podmioty publiczne, operatorzy obiektów energetyki jądrowej niezależnie od ich wielkości. Podmiotami ważnymi są podmioty, które kwalifikują się jako przedsiębiorstwa średnie zgodnie z rozporządzeniem Komisji (UE) nr 651/2014, ale nie zostały uznane za podmioty kluczowe. Kategoria ta będzie obejmować m.in. niekwalifikowanych dostawców usług zaufania oraz małych przedsiębiorców w obszarze komunikacji elektronicznej. Podmioty kluczowe i ważne będą miały 3 miesiące na dokonanie samoanalizy i wniesienie wniosku o wpis do wykazów podmiotów kluczowych i ważnych od wejścia w życie ustawy. Na podmiotach kluczowych i ważnych spoczywa obowiązek dostarczenia i uzupełnienia określonych danych niezbędnych do prowadzenia rejestru podmiotów kluczowych i ważnych przez ministra właściwego do spraw informatyzacji. Za niedopełnienie tego obowiązku podmioty kluczowe i ważne mogą zostać objęte karami pieniężnymi.

System Zarządzania Bezpieczeństwem Informacji

Podmioty kluczowe i ważne muszą wdrożyć system zarządzania bezpieczeństwem informacji w zakresie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej lub ważnej. SZBI uwzględniać powinien takie elementy jak:

Podmioty mają również bardziej szczegółowe obowiązki obejmujące m.in. zbieranie informacji i zagrożeniach i podatnościach, zarządzanie incydentami (klasyfikacja, zgłaszanie, obsługa), wdrażanie planów awaryjnych i ciągłości działania.

Odpowiedzialność i nadzór

Zgodnie z nowelizacją kierownicy podmiotów kluczowych i ważnych ponoszą odpowiedzialność za realizację obowiązków w zakresie cyberbezpieczeństwa. Obowiązki kierowników obejmują m.in.: planowanie środków finansowych na cyberbezpieczeństwo, nadzór nad realizacją obowiązków oraz zapewnienie edukacji personelu, obowiązkowy udział w szkoleniach z obszaru cyberbezpieczeństwa, które muszą odbywać się co najmniej raz w roku. Sformułowano wymóg niekaralności dla osób realizujących zadania związane z cyberbezpieczeństwem.

Dokumentacja

Podmioty kluczowe i ważne muszą prowadzić i aktualizować dokumentację normatywną i operacyjną związaną z bezpieczeństwem systemów informacyjnych oraz zapewnić jej ochronę przed nieuprawnionym dostępem. Dokumentacja powinna być przechowywana przez co najmniej dwa lata od momentu jej wycofania.

Utrzymywanie kontaktu z podmiotami krajowego systemy cyberbezpieczeństwa

Podmioty kluczowe i ważne muszą wyznaczyć co najmniej dwie osoby odpowiedzialne za kontakty z krajowym systemem cyberbezpieczeństwa, zapewniają użytkownikom usług dostęp do informacji z zakresu cyberzagrożeń oraz umożliwiają im zgłaszanie cyberzagrożeń, incydentów i podatności związanych z ich usługami.

Obsługa incydentów i raportowanie

W zakresie obsługi incydentów i raportowania zmieniono wymagania dla podmiotów kluczowych i ważnych. Podmioty kluczowe i ważne muszą zapewnić obsługę incydentów i zgłaszać je do odpowiednich CSIRT-ów w ciągu określonych terminów tj. wczesne ostrzeżenie w ciągu 24 godzin od momenty wykrycia, zaś incydent poważny w ciągu 72 godzin od jego wykrycia. Inne obowiązki w tym zakresie obejmują przekazywanie sprawozdania z obsługi incydentów, w tym końcowe sprawozdanie, szczególnie w przypadku incydentów o charakterze poważnym oraz informowanie użytkowników usług o poważnych incydentach jeżeli mają one niekorzystny wpływ na świadczenie tych usług.

Audyt bezpieczeństwa dla podmiotów kluczowych

Podmioty kluczowe są zobowiązane do przeprowadzania audytów co najmniej raz na trzy lata. Audyty muszą być realizowane przez akredytowane jednostki lub odpowiednich audytorów spełniających określone kryteria. Podmioty kluczowe będą musiały przeprowadzić pierwszy audyt w ciągu 24 miesięcy od wejścia w życie ustawy (lub spełnienia kryteriów uznania za podmiot kluczowy).

Obowiązki rejestrów nazw domen najwyższego poziomu oraz zadania i obowiązki podmiotów świadczących usługi rejestracji nazw domen

Nowelizacja ustawy o KSC zawiera zupełnie nowy rozdział Obowiązki rejestrów nazw domen najwyższego poziomu oraz zadania i obowiązki podmiotów świadczących usługi rejestracji nazw domen, w związku z wyszczególnieniem i objęciem zasięgiem tych podmiotów w Dyrektywie NIS 2. Główne obowiązki tych podmiotów obejmują:

Wspólne wykonywanie obowiązków z zakresu cyberbezpieczeństwa przez podmioty publiczne

Nowelizacja ustawy o KSC w miejsce uchylonego Rozdziału 5. Obowiązki podmiotów publicznych, ustanawia Rozdział 3b. Wspólne wykonywanie obowiązków z zakresu cyberbezpieczeństwa przez podmioty publiczne. Podmiot publiczny realizuje obowiązki, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8e, art. 8f, art. 9–12b i art. 15 – a więc obowiązki ciążące na podmiotach kluczowych. Jest to duża zmiana w porównaniu do obecnie obowiązującej ustawy, kiedy to podmioty publiczne były traktowane stosunkowo łagodnie i dotyczyło ich nie wiele obowiązków, które były nakładane na operatorów usług kluczowych. Rozdział ten przewiduje możliwość wyznaczania podległych jednostek do realizacji obowiązków związanych z cyberbezpieczeństwem przez ministrów, centralne organy administracji, wojewodów oraz jednostki samorządu terytorialnego. Podmioty publiczne współpracują z wyznaczonymi jednostkami poprzez przekazywanie informacji o incydentach, stosowanie się do decyzji dotyczących bezpieczeństwa, publikowanie informacji na stronach internetowych i udział w szkoleniach. Wyznaczone jednostki określają terminy na przekazywanie informacji o incydentach i zgłaszają wczesne ostrzeżenia oraz raporty do CSIRT-ów w imieniu podmiotów publicznych.

Ocena bezpieczeństwa

Kolejny nowy rozdział w stosunku do obowiązującej ustawy to Rozdział 6a. Ocena bezpieczeństwa. Opisuje zasady, warunki i procedury przeprowadzania testów bezpieczeństwa systemów informacyjnych przez CSIRT MON, CSIRT NASK, CSIRT GOV oraz CSIRT-y sektorowe. Głównym celem jest identyfikacja podatności tych systemów w ramach testów bezpieczeństwa. Ocena bezpieczeństwa może być przeprowadzana za zgodą podmiotu krajowego systemu cyberbezpieczeństwa, wyrażoną pisemnie lub elektronicznie, bądź na zlecenie organu odpowiedzialnego za cyberbezpieczeństwo. W przypadku instytucji państwowych, takich jak Kancelaria Sejmu, Trybunał Konstytucyjny czy Najwyższa Izba Kontroli, wymagana jest ich zgoda. Przed rozpoczęciem oceny, CSIRT-y informują właściwy organ nadzorujący o swoim zamiarze. Podczas procesu muszą minimalizować zakłócenia w funkcjonowaniu systemu i unikać nieodwracalnego zniszczenia danych. Po przeprowadzeniu oceny CSIRT-y sporządzają raport, który przekazują podmiotowi, którego system został oceniony. Jeśli stwierdzona podatność może dotyczyć innych systemów, CSIRT-y zobowiązane są poinformować o tym ministra właściwego ds. informatyzacji oraz Pełnomocnika.

Zadania ministrów: do spraw informatyzacji, energii oraz Obrony Narodowej

Zadania ministra właściwego do spraw informatyzacji oraz Ministra Obrony Narodowej w odniesieniu do ustawy o KSC zostały poszerzone. Minister do spraw informatyzacji otrzymał nowe zadania m.in.: monitorowanie wdrażania Krajowego planu reagowania na incydenty prowadzenie wykazu podmiotów kluczowych i ważnych, koordynacja współpracy z państwami trzecimi czy zapewnienia systemu teleinformatycznego wspierającego nie tylko współpracę i obsługę incydentów, ale także czynności nadzorcze, zgłaszanie naruszeń ochrony danych osobowych oraz wymianę informacji o aktach prawnych. Nowelizacja wprowadza nowy artykuł, który pozwala ministrowi udzielać pomocy publicznej lub de minimis na wspieranie działań w obszarze cyberbezpieczeństwa. Nowelizacja rozszerza zadania Ministra Obrony Narodowej m.in. o kierowanie działaniami związanymi z obsługą incydentów nie tylko w czasie stanu wojennego, ale również w czasie wojny. Umożliwia również Ministrowi Obrony Narodowej wydzielanie zespołów specjalistów oraz zasobów z Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni w celu zabezpieczenia zadań CSIRT MON oraz zadań Ministra Obrony Narodowej w kontekście dowodzenia przez Naczelnego Dowódcę Sił Zbrojnych. Co więcej nowelizacja wprowadza zupełnie nowy Rozdział 10a. określający zadania ministra właściwego do spraw energii. Minister właściwy do spraw energii pełni rolę kluczowego nadzorcy w kwestiach dotyczących zabezpieczania i zarządzania ryzykiem w sektorze energii. Minister właściwy do spraw energii ma prawo prowadzić kontrole nad podmiotami uznanymi za mające krytyczny wpływ na sektor energii.

Organy odpowiedzialne za zarządzanie incydentami i zarządzanie kryzysowe w cyberbezpieczeństwie na dużą skalę

Kolejnym nowym rozdziałem wprowadzonym przez nowelizację jest Rozdział 10b dotyczący organów odpowiedzialnych za zarządzanie incydentami i zarządzania kryzysowego w cyberbezpieczeństwie na dużą skalę. Nowe przepisy precyzują podział kompetencji i odpowiedzialności za zarządzanie incydentami oraz kryzysami w zakresie cyberbezpieczeństwa na dużą skalę między różnymi organami państwowymi. Minister właściwy do spraw informatyzacji jest odpowiedzialny za zarządzanie incydentami i kryzysami w cyberbezpieczeństwie w wymiarze cywilnym, z wyjątkiem spraw związanych z zagrożeniami terrorystycznymi i szpiegostwem. Odpowiada za koordynację i działania w sytuacjach kryzysowych w zakresie cywilnym, co obejmuje zapewnienie odpowiednich procedur oraz reagowanie na incydenty wpływające na infrastrukturę i podmioty cywilne Minister Obrony Narodowej przejmuje odpowiedzialność za zarządzanie incydentami i kryzysami w cyberbezpieczeństwie w kontekście militarnym. Odpowiada za zarządzanie incydentami, które mają znaczenie militarne, co jest kluczowe dla ochrony strategicznych zasobów obronnych kraju oraz bezpieczeństwa narodowego. Szef Agencji Bezpieczeństwa Wewnętrznego odpowiada za zarządzanie incydentami i kryzysami w wymiarze cywilnym w sprawach dotyczących zagrożeń terrorystycznych oraz zagrożeń związanych ze szpiegostwem.

Nadzór i kontrola podmiotów kluczowych i podmiotów ważnych

Nowelizacja ustawy wprowadza szereg istotnych i szczegółowych zmian mających na celu wzmocnienie systemu nadzoru i kontroli nad podmiotami działającymi w obszarze cyberbezpieczeństwa. Nowelizacja wprowadza bardziej rozbudowany zakres nadzoru, obejmujący podmioty kluczowe i podmioty ważne. Nowe przepisy definiują nadzór prewencyjny oraz następczy, pozwalając na bardziej kompleksowe i elastyczne podejście do kontroli. Wprowadzono możliwość zarządzania kontrolami doraźnymi, które mogą być realizowane w pilnych przypadkach lub na podstawie otrzymanych informacji o możliwych naruszeniach. Kontrola doraźna może być prowadzona bez wcześniejszego zawiadomienia podmiotu kontrolowanego, a jej wyniki są prezentowane w formie sprawozdania. Organy właściwe do spraw cyberbezpieczeństwa zyskały możliwość realizacji audytów bezpieczeństwa systemów informacyjnych oraz zlecania ocen bezpieczeństwa zewnętrznym zespołom CSIRT, takim jak CSIRT MON, CSIRT NASK czy CSIRT GOV. W nowelizacji określono konkretne nakazy, jakie mogą być nałożone na podmioty, takie jak informowanie odbiorców o cyberzagrożeniach, publikowanie informacji o naruszeniach przepisów czy wdrażanie zaleceń z audytów. Wprowadzono także możliwość zwracania się o zawieszenie koncesji, cofnięcie zezwoleń oraz nałożenie zakazu pełnienia funkcji kierowniczych w przypadku nieprzestrzegania przepisów. Organy właściwe do spraw cyberbezpieczeństwa mogą tworzyć, samodzielnie lub wspólnie, metodyki nadzoru dotyczące prowadzenia nadzoru nad podmiotami kluczowymi i podmiotami ważnymi w zakresie stosowania przepisów ustawy, co pozwala na bardziej strategiczne podejście do kontrolowania podmiotów. Metodyki te obejmują zakres nadzoru, sposób jego przeprowadzania oraz kryteria oceny efektywności. W zakresie nakładania środków administracyjnych wprowadzone przepisy wymagają, aby przed ich nałożeniem organ nadzorczy informował podmiot kluczowy o wstępnych ustaleniach, dając mu możliwość przedstawienia swojego stanowiska. Przewidziano jednak sytuacje, w których organy mogą odstąpić od tej procedury w przypadku konieczności natychmiastowego działania.

Szczególne działania na rzecz zapewnienia cyberbezpieczeństwa na poziomie krajowym

Nowelizacja wprowadza zupełnie nowy Rozdział 12a dotyczący podejmowania szczególnych działań mających na celu wzmocnienie cyberbezpieczeństwa na poziomie krajowym. Pełnomocnik został wyposażony w nowe kompetencje dotyczące wydawania rekomendowania stosowania środków technicznych i organizacyjnych dla pomiotów krajowego systemu cyberbezpieczeństwa. Co istotne, stosowanie tych rekomendacji jest dobrowolne, co oznacza, że chociaż Pełnomocnik może określić wytyczne, nie są one dla podmiotów obligatoryjne. Wdrożona zostaje procedura uznania dostawcy za dostawcę wysokiego ryzyka, w wyniku której może dojść do wycofania produktów lub usług ICT dostarczanych przez takiego dostawcę. Czas na wycofanie zależy od rodzaju podmiotu: przedsiębiorcy telekomunikacyjni mają 4 lata, inne podmioty do 7 lat na wycofanie tych produktów. Eksperci wskazują, że czas ten jest zdecydowanie zbyt długi i wymaga skrócenia. Nowe przepisy umożliwiają ministrowi właściwemu do spraw informatyzacji wydanie polecenia zabezpieczającego w przypadku incydentu krytycznego. Polecenie to może obejmować szereg działań, od wzmożonego monitorowania po zakaz instalacji określonej wersji oprogramowania. Polecenie ma natychmiastowy charakter i obowiązuje na czas koordynacji obsługi incydentu lub przez okres nie dłuższy niż dwa lata.

Strategia

Nowe przepisy określające Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej wprowadzają istotne zmiany, czyniąc dokument bardziej szczegółowym i kompleksowym. Strategia zawierać ma zarówno cele strategiczne, jak i szczegółowe, oraz dodatkowe elementy, takie jak mechanizmy oceny ryzyka, zasady współpracy międzynarodowej, promowanie zaawansowanych technologii, zarządzanie podatnościami, cyberbezpieczeństwo łańcucha dostaw oraz szczególne działania skierowane do małych i średnich przedsiębiorstw. Realizacja Strategii opiera się na planie działań, który precyzyjnie określa koszty, źródła finansowania, odpowiedzialne podmioty oraz terminy realizacji. Nowelizacja wprowadza również obowiązek informacyjny dla podmiotów zaangażowanych w realizację Strategii, które muszą raportować ministrowi właściwemu do spraw informatyzacji o stanie realizacji celów i działań. Przepisy uwzględniają także koordynację i wymianę informacji z organami Unii Europejskiej i NATO w zakresie ryzyka i incydentów związanych z cyberbezpieczeństwem. Nowelizacja kładzie duży nacisk na wymogi dotyczące cyberbezpieczeństwa w zamówieniach publicznych, promując certyfikację oraz korzystanie z otwartego oprogramowania. Podkreśla się również znaczenie edukacji i szkoleń w celu rozwoju umiejętności, kwalifikacji i świadomości w zakresie cyberbezpieczeństwa. Dodatkowo, nowelizacja wspiera wzmacnianie cyberodporności małych i średnich przedsiębiorstw, co zwiększa ich ochronę przed potencjalnymi cyberzagrożeniami.

Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę

Kolejnym nowym rozdziałem wprowadzonym przez nowelizację jest Rozdział 13a dotyczący Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Krajowy Plan wyznacza ramy zarządzania incydentami oraz kryzysami w obszarze cyberbezpieczeństwa na dużą skalę. Za przyjęcie Krajowego Planu odpowiedzialna jest Rada Ministrów. Krajowy Plan określa cele i tryb zarządzania incydentami oraz kryzysami, w tym zadania organów zaangażowanych w zarządzanie. Zawiera szczegółowe procedury zarządzania kryzysowego, kanały komunikacji oraz środki przygotowawcze, takie jak ćwiczenia i szkolenia. Uwzględnia zasady współpracy między sektorem publicznym i prywatnym, co ma kluczowe znaczenie dla efektywnego zarządzania sytuacjami kryzysowymi. Określa kryteria oceny infrastruktury informatycznej pod kątem jej znaczenia dla zarządzania kryzysowego oraz procedury skoordynowanego zarządzania incydentami na poziomie Unii Europejskiej. Obejmuje postanowienia dotyczące reagowania na transgraniczne przepływy energii elektrycznej. Zawiera listę działań zmierzających do ograniczenia ryzyka incydentów krytycznych, z jasno zdefiniowaną hierarchią działań, czasem realizacji, odpowiedzialnymi podmiotami, finansowaniem oraz oceną efektów. Podmioty realizujące zadania wynikające z Krajowego Planu muszą, na żądanie ministra właściwego do spraw informatyzacji, dostarczać informacje o stanie realizacji zadań. Plan musi być aktualizowany nie rzadziej niż co dwa lata, co zapewnia jego bieżącą adekwatność do zmieniających się warunków.

Kary pieniężne

Nowelizacja ustawy o KSC obejmuje szerszy zakres podmiotów w zakresie nakładania kar pieniężnych – są to zarówno podmioty kluczowe i ważne, kierownicy tych podmiotów, jak i podmioty świadczące usługi rejestracji domen, rejestru domen najwyższego poziomu czy producenci produktów ICT. W nowelizacji maksymalna wysokość kar wzrasta do 10 000 000 euro lub 2% przychodów rocznych, co stanowi znaczącą podwyżkę w porównaniu z poprzednimi stawkami. W szczególnych przypadkach, gdy naruszenia powodują poważne zagrożenia, kara może wynosić nawet do 100 000 000 zł. Nowelizacja wprowadza możliwość nakładania kar bezpośrednio na kierowników podmiotów za zaniechania lub niewłaściwe wykonywanie obowiązków – w wysokości do 600% wynagrodzenia kierownika podmiotu kluczowego lub ważnego. Nowelizacja wprowadza możliwość nałożenia okresowej kary pieniężnej w wysokości od 500 zł do 100 000 zł za każdy dzień opóźnienia w realizacji obowiązków. Kary są nakładane przez organ właściwy do spraw cyberbezpieczeństwa w drodze decyzji administracyjnej, a wpływy z kar zasilały i nadal zasilają budżet państwa, z tą różnicą, że w nowelizacji przeznaczane są na Fundusz Cyberbezpieczeństwa. Nowelizacja przewiduje możliwość odstąpienia od nałożenia kary w przypadku, gdy waga naruszenia jest znikoma, a podmiot zaprzestał naruszenia lub naprawił szkodę.

Wyzwania związane z implementacją nowych przepisów

Implementacja nowych przepisów dotyczących zarządzania cyberbezpieczeństwem niesie za sobą szereg wyzwań zarówno dla przedsiębiorstw, jak i instytucji publicznych. W szczególności dla podmiotów, które dotychczas nie zostały objęte przepisami Dyrektywy NIS czy też ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wyzwania, które stoją przed podmiotami dotkniętymi implementacją nowych przepisów dotykają kilku sfer:

1. Złożoność regulacji i procedur powoduje, że organizacje muszą dostosować swoje wewnętrzne struktury w celu spełnienia nowych standardów w zakresie zarządzania ryzykiem czy raportowania incydentów. Może to wymagać znaczących zmian w istniejących politykach i procedurach, co często wiąże się z dodatkowymi wyzwaniami organizacyjnymi i logistycznymi.
2. Implementacja nowych przepisów może wiązać się z koniecznością znacznych inwestycji w infrastrukturę IT. Przedsiębiorstwa, zwłaszcza te działające w sektorach kluczowych (np. energetyka, telekomunikacja, finanse), mogą być zmuszone do modernizacji lub wymiany istniejących systemów, aby sprostać wymaganiom dotyczącym bezpieczeństwa i ciągłości działania. Te inwestycje mogą obejmować zakup nowych narzędzi programowych i sprzętu, a także koszty związane z ich integracją i konfiguracją.
3. Oprócz jednorazowych kosztów związanych z zakupem technologii, organizacje muszą również uwzględnić stałe koszty operacyjne, takie jak utrzymanie systemów, licencje na oprogramowanie oraz wsparcie techniczne. Dodatkowo, koszty audytów zewnętrznych oraz wewnętrznych, które są wymagane w ramach zapewnienia zgodności z przepisami, mogą obciążyć budżety firm i instytucji publicznych.
4. Organizacje będą musiały zainwestować w szkolenia i rozwój zawodowy pracowników, aby zapewnić im wiedzę i umiejętności potrzebne do spełnienia nowych wymagań. Może to obejmować szkolenia z zakresu zarządzania incydentami, identyfikacji zagrożeń, raportowania oraz odpowiedniego stosowania procedur kryzysowych. Szkolenia te muszą być regularnie aktualizowane, aby nadążać za zmieniającymi się zagrożeniami i technologiami.
5. Wprowadzenie nowych przepisów wymaga zmiany podejścia do cyberbezpieczeństwa na poziomie całej organizacji. Nie wystarczy, aby tylko działy IT były odpowiednio przygotowane – cała kadra, w tym zarządy, powinny rozumieć znaczenie cyberbezpieczeństwa oraz znać podstawowe procedury. Podnoszenie świadomości pracowników poprzez kampanie edukacyjne i szkolenia to kluczowy element w tworzeniu odporności organizacji na incydenty.

Implementacja nowych przepisów dotyczących cyberbezpieczeństwa wiąże się z licznymi wyzwaniami. Organizacje będą musiały zmierzyć się z koniecznością modernizacji infrastruktury IT, inwestycji w nowe technologie oraz szkoleniami dla pracowników. Pomimo że proces ten może być kosztowny i skomplikowany, zwiększenie poziomu zabezpieczeń i wprowadzenie efektywnych mechanizmów zarządzania kryzysowego ma kluczowe znaczenie dla ochrony interesów zarówno pojedynczych organizacji, państwa członkowskiego jak i cyberbezpieczeństwa na poziomie całej Wspólnoty.