Mniejsze przedsiębiorstwa, w tym niekwalifikowanych dostawców usług zaufania, mikro- i małych przedsiębiorców komunikacji elektronicznej oraz inwestorów obiektów energetyki jądrowej. Za brak wdrożenia systemu zarządzania bezpieczeństwem informacji lub niezarejestrowanie się w wykazie podmiotów kluczowych i ważnych. Analogicznie, polskie organy właściwe udzielają pomocy organom innych państw członkowskich w sprawowaniu nadzoru nad podmiotami, których systemy informacyjne znajdują się w Polsce. W pierwszej kolejności organ właściwy informuje podmiot kluczowy lub ważny o wstępnych ustaleniach, które mogą prowadzić do zastosowania wobec podmiotu środków egzekwowania przepisów. Może on jednak odstąpić od przekazania takiej informacji, jeżeli utrudniłoby to natychmiastowe działanie w celu zapobieżenia incydentom, reakcji na nie lub mogłoby mieć niekorzystny wpływ na bezpieczeństwo państwa lub porządek publiczny. Wykaz będzie zawierał wszystkie informacje niezbędne do skutecznego nadzoru nad tymi podmiotami oraz do wykonywania ustawowych zadań nałożonych na zespoły CSIRT poziomu krajowego oraz CSIRT sektorowe.
Wprowadzone zmiany wymagają od organizacji dostosowania swoich procedur do nowych wymogów, co może wiązać się z koniecznością inwestycji w infrastrukturę bezpieczeństwa i procesy zarządzania incydentami. Na uwagę zasługują również zmiany przepisów dotyczących kar pieniężnych w zakresie cyberbezpieczeństwa. Znacząco Funduszy inwestycyjnych Indiach zbiera pieniądze na zakup zwiększa się zarówno zakres naruszeń podlegających sankcjom, jak i wysokość możliwych kar.
Nowe przepisy wzmocnią ochronę przed cyberzagrożeniami
Podobnie jak w przypadku Strategii Cyberbezpieczeństwa RP, Rada Ministrów przyjmuje ten dokument w drodze uchwały. Jest on opracowywany przez ministra właściwego do spraw informatyzacji we współpracy z Pełnomocnikiem, Rządowym Centrum Bezpieczeństwa oraz innymi ministrami i właściwymi kierownikami urzędów centralnych. Podmioty kluczowe i ważne muszą zatem jak najszybciej dostosować swoje procedury do nowych regulacji, aby uniknąć konsekwencji finansowych oraz zapewnić zgodność z krajowymi i unijnymi przepisami dotyczącymi cyberbezpieczeństwa. W praktyce oznacza to konieczność przeprowadzenia audytów wewnętrznych, wdrożenia procedur zarządzania incydentami oraz przeszkolenia personelu odpowiedzialnego za ochronę systemów informacyjnych. Zapewnienie zgodności z regulacjami stanie się kluczowym elementem strategii IT, a niedostosowanie się do nowych wymogów może skutkować wysokimi karami finansowymi. Nie zapominajmy jednak, że Dyrektywa NIS2 nałożyła na państwa członkowskie obowiązek implementacji przepisów do 17 października 2024 roku, co oznacza, że organizacje objęte regulacją powinny już być przygotowane do wdrożenia wymaganych mechanizmów.
stopka Ministerstwo Cyfryzacji
Nowelizacja ustawy zmienia również podejście do audytów bezpieczeństwa systemów informacyjnych. Wydłuża obowiązkowy cykl audytów dla podmiotów kluczowych z 2 do 3 lat, co zmniejsza częstotliwość ich przeprowadzania, a tym samym obciążenie finansowe organizacji. Jednocześnie nowe przepisy nakładają obowiązek przekazania raportu z audytu organowi właściwemu do spraw cyberbezpieczeństwa w terminie 3 dni roboczych, co zwiększa nadzór nad zgodnością podmiotów z wymaganiami ustawy. Dodatkowo organ nadzorczy zyskuje prawo do nakazania audytu w każdym czasie dla podmiotów kluczowych oraz w przypadku incydentu poważnego lub naruszenia przepisów dla podmiotów ważnych. Wprowadzone zmiany pozwalają na lepsze dostosowanie wymagań audytowych do rzeczywistych zagrożeń, jednocześnie zwiększając kontrolę nad poziomem cyberbezpieczeństwa organizacji.
Osobista odpowiedzialność kierowników podmiotów kluczowych i ważnych
W odróżnieniu od przepisów dyrektywy NIS 2, w projekcie nowelizacji przewidziano, że dostawca usług zarządzanych w zakresie cyberbezpieczeństwa (podmiot typu Security Operations Center, Computer Emerge Response Team itp.) jest podmiotem kluczowym niezależenie od wielkości. Zmianą w stosunku do postanowień dyrektywy jest również objęcie przepisami ustawy wszystkich podmiotów publicznych, niezależnie od wielkości. Istotną zmianą jest również znaczące podwyższenie górnych limitów kar, które dla podmiotów kluczowych mogą sięgać 10 milionów euro lub 2% rocznych przychodów, a dla podmiotów ważnych 7 milionów euro lub 1,4% rocznych przychodów. Co więcej, w przypadkach rażących naruszeń związanych z zagrożeniem bezpieczeństwa publicznego lub krytycznymi usługami, możliwe jest nałożenie kary sięgającej 100 milionów złotych. Dynamiczna sytuacja międzynarodowa, że konieczne jest wzmocnienie krajowego systemu cyberbezpieczeństwa. W 2022 roku do CSIRT NASK, czyli specjalnego zespołu ekspertów, który pomaga radzić sobie z problemami związanymi z bezpieczeństwem w sieci, zgłoszono ponad 39 tys.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – najważniejsze zmiany dla podmiotów
Incydentów cyberbezpieczeństwa, w 2023 roku – ponad 75 tys., a w 2024 roku już ponad 103 tys. Nowy projekt nowelizacji ustawy o KSC nie wprowadza rewolucyjnych zmian w stosunku do projektu z listopada 2024 r. Zespoły CSIRT poziomu krajowego, w tym CSIRT NASK, zyskają nowe kompetencje związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym będzie udzielane wsparcie w reagowaniu na incydenty.
Nowym rozwiązaniem zaproponowanym w nowelizacji, mającym zwiększać bezpieczeństwo systemów informacyjnych wykorzystywanych przez podmioty krajowego systemu cyberbezpieczeństwa, jest ocena bezpieczeństwa, przeprowadzana w celu identyfikacji podatności danego systemu informacyjnego. Na początku 2023 roku weszła w życie dyrektywa NIS 2, która ma na nowo uregulować kwestie cyberbezpieczeństwa w Unii Europejskiej. Zastąpi ona obecnie obowiązującą dyrektywę NIS, zaimplementowaną w Polsce przede wszystkim w ustawie o krajowym systemie cyberbezpieczeństwa.
- Wpłynie ona istotnie na szpitale, kierownicy podmiotów medycznych na razie nie przygotowują się jednak na jej skutki – a te mogą być dotkliwe również w kontekście finansowym.
- Wskazuje w nim czynności, jakie podmiot powinien podjąć, aby zapobiec takim naruszeniom lub ich zaprzestać.
- Po drugie, CSIRT będzie mógł zyskać dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, a także uzyskać dostęp do całości lub części systemu informacyjnego.
- Wydłuża obowiązkowy cykl audytów dla podmiotów kluczowych z 2 do 3 lat, co zmniejsza częstotliwość ich przeprowadzania, a tym samym obciążenie finansowe organizacji.
Postępowanie w sprawie uznania dostawcy za dostawcę wysokiego ryzyka ma umożliwić wyeliminowanie niebezpiecznego sprzętu i usług z kluczowych dla funkcjonowania państwa systemów informatycznych. Umożliwi to ich identyfikację oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego, a także zapewni wykonywanie czynności nadzorczych przez organy właściwe do spraw cyberbezpieczeństwa. Takie działanie umożliwi także przekazywanie danych o liczbie tych podmiotów do Komisji Europejskiej i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa. W nowelizacji został dodany zupełnie nowy w stosunku do obowiązującej wersji ustawy rozdział 13a, dotyczący Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę (dalej w tekście jako ,,Krajowy plan”).
Oprócz tego dostęp do danych z wykazu będzie miał również organ właściwy do spraw cyberbezpieczeństwa w zakresie nadzorowanego sektora lub podsektora, a także podmiot kluczowy lub ważny w zakresie go dotyczącym. Ponadto, o dostęp do tych danych będą mogły wnioskować inne organy państwa takie jak np. Aby zagwarantować podmiotom bezpieczeństwo i zapewnić ochronę ich interesów, do wykazu nie będą miały zastosowania przepisy ustawy o dostępie do informacji publicznej5 oraz ustawy o otwartych danych6. Do tej pory operatorzy usług kluczowych byli wyznaczani w drodze decyzji administracyjnej organu właściwego do spraw cyberbezpieczeństwa.
Wspomniał przy tym o systemie S46, za którego tworzenie odpowiada NASK. Po zmianach, odpowiedzialność za cyberbezpieczeństwo nabierze zupełnie nowego wymiaru. Wysokość kar przewidziana w nowelizacji robi wrażenie – zwłaszcza jak porównamy je do obowiązującej ustawy.
Środki egzekwowania przepisów
Będzie również prowadził kampanie i programy edukacyjne z zakresu cyberbezpieczeństwa. Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) służy wdrożeniu na polskim gruncie unijnej dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii w skrócie NIS2 – red.. Wprowadza ona istotne zmiany w zakresie obowiązków dotyczących zapewnienia ochrony przed cyberzagrożeniami i w znacznym stopniu będzie dotyczyła także sektora zdrowotnego. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono więc jako podstawy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie – np.
- W przeciwieństwie do obecnie obowiązujących przepisów ustawy, które przewidują, że Strategia ustalana jest na okres pięciu lat, z możliwością wprowadzenia zmian w okresie jej obowiązywania, w nowelizacji nie wskazano okresu, na który ma ona zostać uchwalona.
- Wpisanie do wykazu w ten sposób jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego.
- Decyzja o uznaniu za dostawcę wysokiego ryzyka jest wydawana przez ministra właściwego ds.
- Może on jednak skorzystać z tego uprawnienia jedynie w przypadku, gdy wymaga tego ochrona bezpieczeństwa lub porządku publicznego.
- Ta ostatnia kwestia uwzględniać musi rozważenie przepisów prawa oraz praktyk ich stosowania w zakresie regulującym stosunki pomiędzy dostawcą a krajem spoza UE i NATO.
Wydarzenie zostało otwarte przez wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego. Jak powiedział przedstawiciel rządu, według statystyk na koniec III kwartału 2025 roku, od 1 stycznia odnotowano ponad pół miliona incydentów cyberbezpieczeństwa. Z kolei zdarzeń, które zostały obsłużone przez zespoły, zanotowano ponad 170 tys. Zdaniem Gawkowskiego, wiele wskazuje na to, że rekord z poprzednich lat zostanie pobity. Liczba incydentów na koniec III kwartału 2025 roku sięgnęła pół miliona – powiedział we wtorek podczas VI Seminarium Cyberbezpieczeństwa Infrastruktury Krytycznej wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco rozszerza zakres obowiązków dotyczących zarządzania incydentami. Podmioty kluczowe i ważne będą musiały wdrożyć systemy monitorowania infrastruktury IT w trybie ciągłym, które umożliwią szybką detekcję i klasyfikację zagrożeń. Nowe przepisy pozwalają również na ograniczenie ruchu sieciowego w przypadku wykrycia podatności lub cyberzagrożeń, z uwzględnieniem minimalizacji skutków dla świadczonych usług. Tymczasowe blokowanie określonych adresów IP, segmentację sieci czy ograniczenie dostępu do zasobów krytycznych. Po pierwsze, znacząco zwiększone zostały górne granicy kary możliwej do nałożenia na podmiot kluczowy lub ważny. W znowelizowanej wersji ustawy, na podmiot, który dopuści się tego rodzaju naruszeń, organ może nałożyć karę w maksymalnej wysokości aż do 100 milionów złotych.
