Projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC)

KSC

Centrum Audytu Bezpieczeństwa z przyjemnością przedstawia analizę drugiego projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Nowe regulacje, które mają na celu implementację dyrektywy NIS 2, wprowadzają istotne zmiany w porównaniu do obowiązującej ustawy. Projekt datowany na 3 października scala dotychczasowe prace nad ustawą i uwzględnia szereg zmian, które zaproponowano na etapie dotychczasowych konsultacji. W niniejszym artykule omówimy kluczowe różnice między projektem a aktualnymi przepisami, a także ich znaczenie dla podmiotów kluczowych i ważnych.

Kluczowe zmiany w drugim projekcie nowelizacji KSC

Rozszerzenie zakresu podmiotowego

W drugiej wersji projektu ustawy o KSC rozszerzono zakres podmiotów objętych regulacjami. Nowe przepisy dotyczą nie tylko dużych przedsiębiorstw, ale także średnich firm działających w sektorach kluczowych dla bezpieczeństwa narodowego. To oznacza, że więcej organizacji będzie musiało dostosować swoje procedury do nowych wymogów, co zwiększa odpowiedzialność za bezpieczeństwo cybernetyczne. W zaktualizowanej ustawie o KSC ustawodawca poprawił nieścisłości wcześniejszej wersji, które dotyczyły kryteriów uznania podmiotów za kluczowe i ważne. Zgodnie z nowymi regulacjami, podmioty kluczowe to obecnie duże przedsiębiorstwa operujące wyłącznie w sektorach kluczowych (zgodnie z załącznikiem nr 1 ustawy), natomiast podmioty ważne obejmują:

  • średnie przedsiębiorstwa w sektorach kluczowych,
  • średnie i duże przedsiębiorstwa w sektorach ważnych (załącznik nr 2 ustawy).

Takie podejście jest zgodne z dyrektywą NIS 2, co harmonizuje polskie regulacje z europejskimi standardami cyberbezpieczeństwa. Ustawa precyzuje również przypadki, gdy jedno przedsiębiorstwo spełnia jednocześnie kryteria uznania za podmiot kluczowy i ważny. W takiej sytuacji podmiot ten automatycznie zostaje uznany za podmiot kluczowy, co zapewnia wyższą ochronę i priorytetowe regulacje w zakresie cyberbezpieczeństwa.

Nowe przepisy dotyczące grup kapitałowych wprowadzają istotne zawężenie, eliminując obowiązek automatycznego uwzględniania powiązań kapitałowych przy ocenie wielkości przedsiębiorstwa. Jeśli dana firma spełnia kryterium wielkościowe (średnie lub duże przedsiębiorstwo) na podstawie powiązań z grupą kapitałową, lecz posiada niezależny system informacyjny, nie będzie uznawana za podmiot kluczowy lub ważny. Zmiana ta eliminuje konieczność stosowania ścisłych kryteriów względem podmiotów z odrębną infrastrukturą informatyczną.

Ustawodawca dokonał „przesunięć” niektórych sektorów, szczególnie sektorów produkcyjnych, które zostały przeniesione z załącznika nr 1 (sektory kluczowe) do załącznika nr 2 (sektory ważne). Zmiana ta obejmuje sektory:

  • produkcji urządzeń elektrycznych, komputerów, pojazdów,
  • produkcji i dystrybucji chemikaliów,
  • produkcji i dystrybucji żywności.

Zmiany te odpowiadają systematyce przewidzianej przez dyrektywę NIS 2, dostosowując krajowe przepisy do unijnych standardów bezpieczeństwa.

Warto zauważyć, że nowelizacja ustawy o KSC wprowadza liczne zmiany dotyczące podsektorów i rodzajów podmiotów w następujących sektorach:

  • Energia: modyfikacje dot. podsektorów, np. dodanie sektora energii jądrowej;
  • Transport: zmiany w transporcie wodnym (m.in. operatorzy portów);
  • Sektor finansowy: rozszerzenie o nowe typy podmiotów, np. podmioty prowadzące ASO i OTF;
  • Ochrona zdrowia: dodanie nowych podsektorów, jak jednostki publicznej służby krwi;
  • Podmioty publiczne: włączenie nowych rodzajów podmiotów oraz przeniesienie niektórych z nich do sektora badań naukowych.

W nowelizacji uwzględniono także dostosowania dla przedsiębiorstw komunikacji elektronicznej oraz dostawców usług zarządzanych. Dla przykładu:

  • Przedsiębiorcy komunikacji elektronicznej o średniej i dużej skali działalności będą traktowani jako podmioty kluczowe, a mikro- i małe firmy jako podmioty ważne.
  • Dostawcy usług zarządzanych będą uznawani za podmioty kluczowe jedynie, jeśli osiągną minimalny poziom przedsiębiorstwa małego; mikroprzedsiębiorstwa nie będą już objęte regulacją.

Nowelizacja odzwierciedla bardziej precyzyjne podejście do zarządzania cyberbezpieczeństwem oraz doprecyzowanie definicji dostawców usług zarządzanych, z wyłączeniem np. usług konsultacyjnych.

Obowiązki audytowe

W nowym projekcie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wydłużono czas, jaki podmioty kluczowe i ważne mają na dokonanie samoanalizy zgodności z regulacjami oraz na rejestrację w wykazie. Według projektu z 3 października, czas na złożenie wniosku o wpis do wykazu wynosi obecnie trzy miesiące od wejścia ustawy w życie lub od spełnienia kryteriów uznania za podmiot kluczowy lub ważny, zamiast dwóch miesięcy, jak było wcześniej przewidziane.

Ponadto, obowiązek przeprowadzania regularnych audytów zewnętrznych został ograniczony wyłącznie do podmiotów kluczowych. Podmioty ważne nie są już zobowiązane do przeprowadzania audytów, co stanowi istotną zmianę, gdyż wcześniejsze wersje projektu oraz dyrektywa NIS 2 wymagały takich samych procedur od obu typów podmiotów. Równocześnie, wydłużono termin na przeprowadzenie pierwszego audytu – podmioty kluczowe muszą go przeprowadzić w ciągu 24 miesięcy od wejścia ustawy w życie (lub uzyskania statusu podmiotu kluczowego), zamiast wcześniej planowanych 12 miesięcy. Okres ważności audytów również został rozszerzony – każdy kolejny audyt musi zostać przeprowadzony w ciągu 36 miesięcy, zamiast 24 miesięcy, jak przewidywał projekt z kwietnia.

W zakresie zarządzania bezpieczeństwem informacji, obowiązki te zasadniczo pozostały niezmienione w porównaniu z poprzednią wersją projektu, choć pojawiły się pewne doprecyzowania. Podmioty kluczowe i ważne są nadal zobowiązane do wdrożenia adekwatnych środków organizacyjnych i technicznych w ramach systemu zarządzania bezpieczeństwem informacji. Obejmuje to opracowanie i wdrożenie procedur i polityk, takich jak zapewnienie ciągłości działania oraz bezpieczeństwo łańcucha dostaw. Termin realizacji tego obowiązku pozostaje na poziomie sześciu miesięcy od wejścia w życie ustawy (lub uzyskania statusu), z wyjątkiem podmiotów wyznaczonych jako kluczowe lub ważne decyzją organu ds. cyberbezpieczeństwa, które mają na to 12 miesięcy.

W nowej wersji projektu z 3 października usunięto jednak domniemanie zgodności systemu zarządzania bezpieczeństwem informacji z regulacjami w sytuacji, gdy spełniał on wymagania norm ISO/IEC 27001 oraz ISO/IEC 22301.

Kary finansowe

W nowym projekcie ustawy o KSC wysokość kar pozostaje bez zmian, natomiast rozszerzono katalog sytuacji, w których możliwe jest nałożenie kar na podmiot lub jego kierownika.

Przewidziane kary są zgodne z minimalnymi wymaganiami dyrektywy NIS 2 i przedstawiają się następująco:

  • Na podmioty kluczowe, które nie wykonują ustawowych obowiązków, może zostać nałożona kara do 10 mln EUR lub 2% rocznych przychodów, w zależności od tego, która z tych kwot jest wyższa. Minimalna kara wynosi 20 000 zł.
  • Dla podmiotów ważnych maksymalna kara wynosi 7 mln EUR lub 1,4% rocznych przychodów, przy minimalnej karze w wysokości 15 000 zł.

Polski ustawodawca przewidział także możliwość nakładania tzw. kary kwalifikowanej, która może sięgać do 100 mln zł. Jest ona stosowana, gdy naruszenie przepisów ustawy prowadzi do:

  • bezpośredniego i poważnego zagrożenia cyberbezpieczeństwa obronności, bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi;
  • ryzyka wyrządzenia poważnych szkód majątkowych lub poważnych zakłóceń w świadczeniu usług.

Dodatkowo, na kierowników podmiotów kluczowych lub ważnych może zostać nałożona kara wynosząca do 600% ich miesięcznego wynagrodzenia, liczonego według zasad ustalania ekwiwalentu pieniężnego za urlop.

Okres vacatio legis pozostaje taki sam jak w poprzednim projekcie – nowe przepisy wejdą w życie miesiąc po ich ogłoszeniu.

Dlaczego zmiany te są istotne?

Wprowadzenie nowych przepisów jest odpowiedzią na rosnące zagrożenia związane z cyberatakami oraz potrzebę ochrony infrastruktury krytycznej w Polsce. Ustawa o KSC ma na celu nie tylko implementację dyrektywy NIS 2, ale także stworzenie ram prawnych, które pozwolą lepiej chronić strategiczne sektory przed atakami cybernetycznymi.

Jak Centrum Audytu Bezpieczeństwa może pomóc?

Centrum Audytu Bezpieczeństwa oferuje kompleksowe usługi doradcze, które pomogą organizacjom dostosować się do nowych regulacji związanych z Krajowym Systemem Cyberbezpieczeństwa. Nasze doświadczenie w audytach oraz znajomość aktualnych regulacji prawnych pozwala nam na skuteczne doradztwo oraz pomoc w implementacji wymaganych procedur.

Nasze usługi obejmują:

  1. Audyty zgodności – przeprowadzamy szczegółowe audyty bezpieczeństwa informacji, które pomagają identyfikować luki w zabezpieczeniach oraz ocenić zgodność z nowymi przepisami.
  2. Szkolenia dla pracowników – oferujemy programy szkoleniowe dotyczące najlepszych praktyk w zakresie cyberbezpieczeństwa oraz obowiązków wynikających z ustawy o KSC.
  3. Wsparcie w zarządzaniu ryzykiem – pomagamy organizacjom wdrażać systemy zarządzania ryzykiem dostawców oraz oceniać ryzyko związane z ich działalnością.
  4. Doradztwo prawne – nasz zespół ekspertów pomoże Państwu zrozumieć nowe regulacje i dostosować polityki wewnętrzne do wymogów prawa.

Podsumowanie

Drugi projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa wnosi istotne zmiany w zakresie regulacji sektora cyfrowego i ochrony infrastruktury krytycznej. Dzięki dostosowaniu przepisów do standardów dyrektywy NIS 2, KSC staje się bardziej elastycznym narzędziem, które pozwala na skuteczną ochronę zasobów cyfrowych Polski. Projekt ten podkreśla również konieczność współpracy międzynarodowej i raportowania incydentów, co jest kluczowe w dobie wzrastającej liczby cyberzagrożeń.

Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwa, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!

Źródło:

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw z dnia 3 października 2024 r.