Zaloguj się 
Dzieje się!
Udostępnij przez e-mail Sejm uchwalił nowelizację ustawy o krajowym systemie cyberbezpieczeństwa
Sejm uchwalił nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wprowadza m.in. procedurę dostawcy wysokiego ryzyka. Uruchomienie procedury może skutkować koniecznością wymiany sprzętu przez operatorów korzystających z oznaczonych w ten sposób produktów.
Za uchwaleniem noweli było 407 posłów, przeciw było 10, a 17 posłów wstrzymało się od głosu.
Wcześniej sejm odrzucił wniosek o odrzucenie projektu noweli w całości.
Czego dotyczy nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC)?
Nowelizacja ustawy o KSC ma wdrażać w Polsce unijną dyrektywę NIS 2 w sprawie cyberbezpieczeństwa oraz tzw. Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych podziałem na „podmioty kluczowe” i „podmioty ważne”. Wprowadziła także nowe sektory objęte obowiązkami związanymi z cyberbezpieczeństwem. Obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę i infrastruktury cyfrowej w dyrektywie NIS 2 dodano m.in. następujące sektory: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję i dystrybucję chemikaliów oraz produkcję i dystrybucję żywności.
Nowe przepisy przewidują rozszerzenie kompetencji ministra właściwego do spraw informatyzacji – m.in. będzie on mógł wskazywać dostawcę wysokiego ryzyka. Decyzja taka będzie mogła zostać podjęta według kryteriów technicznych i nietechnicznych, po konsultacjach z prokuraturą, stroną społeczną oraz kolegium do spraw cyberbezpieczeństwa. Dostawca będzie mógł zaskarżyć decyzję do sądu administracyjnego. Sprzęt dostawcy wysokiego ryzyka będzie musiał zostać wycofany z systemów podmiotów kluczowych i podmiotów ważnych w ciągu od czterech do siedmiu lat.
Nowela przewiduje, że firmy z sektorów kluczowych i ważnych – czyli m.in. energii, zdrowia, bankowości, produkcji oraz zaopatrzenia w wodę – będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem. Obowiązkowe będzie m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych) oraz regularne ocenianie ryzyka wystąpienia incydentów.
Za nieprzestrzeganie przepisów na przedsiębiorców z tych sektorów będą nakładane kary. Co do zasady na podmioty kluczowe wyniosą one od 20 tys. zł do 10 mln euro (ok. 42,4 mln zł), a na podmioty ważne – od 15 tys. zł do 7 mln euro (ok. 20 mln zł). Kara może też wynieść 2 proc. przychodów firmy w przypadku podmiotów kluczowych oraz 1,4 proc. przychodów w przypadku podmiotów ważnych.
Niezależnie od tych limitów, za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Sankcje te mogą zostać nałożone m.in. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego lub za nieprzeprowadzenie audytu.
Ustawa przewiduje także kary do 100 mln zł w sytuacji, gdy zostanie stwierdzone, że podmiot kluczowy albo ważny narusza przepisy ustawy, a jednocześnie powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, bądź stwarza zagrożenie wywołania poważnej szkody majątkowej albo istotnych utrudnień w świadczeniu usług.
Poprzednia wersja ustawy o KSC pochodzi z 2018 r. i nie zawiera przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.
Czytaj także: KE rozważa ostrzejsze restrykcje wobec Huawei. W grze unijny zakaz dla koncernu jako dostawcy 5G
Źródło: PAP
