W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies. Korzystając z naszej strony akceptujesz zasady Polityki Cookie.
  • Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa – nowe obowiązki dla firm
Artykuł:

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa – nowe obowiązki dla firm

26 października 2020

W dniu 6 października zakończyły się konsultacje społeczne nad projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, przygotowanej przez Ministerstwo Cyfryzacji. Planowany termin wejścia w życie nowelizacji to 21 grudnia 2020 r.

Nowelizacja związana jest w dużej mierze z projektowaną ustawą Prawo komunikacji elektronicznej (mająca zastąpić aktualnie obowiązującą ustawę Prawo telekomunikacyjne), stanowiącą element procesu implementacji do polskiego porządku prawnego Dyrektywy Parlamentu Europejskiego i Rady ustanawiającej Europejski Kodeks Łączności Elektronicznej.

Głównym celem nowelizacji jest wdrożenie standardów i zaleceń unijnych zawartych w tzw. 5G Toolbox, mających na celu poprawę cyberbezpieczeństwa sieci telekomunikacyjnych. W praktyce oznacza to szereg nowych obowiązków dla producentów sprzętu informatycznego, dostawców oprogramowania oraz podmiotów korzystających z ich usług.

Jedną z istotniejszych zmian wprowadzanych przez nowelizację jest rozszerzenie kompetencji Kolegium ds. Cyberpezbieczeństwa, organu opiniodawczo-doradczego w sprawach działalności sektorowych zespołów cyberbezpieczeństwa i zespołów CSIRT (Computer Security Incident Response Team).

Nowelizacja przyznaje Kolegium uprawnienia do oceny ryzyka dostawców sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa. Ocena będzie obejmować cztery stopnie ryzyka: „wysokie”, „umiarkowane”, „niskie” oraz „brak ryzyka”. Kolegium przy ocenie podmiotu będzie przeprowadzało w szczególności analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania. Przy ocenie brane będzie pod uwagę w szczególności prawdopodobieństwo wywierania na dostawcę wpływu przez państwo spoza Unii Europejskiej lub NATO z uwzględnieniem jego prawodawstwa w zakresie ochrony danych osobowych i praw człowieka, struktury własnościowej dostawcy, czy zdolności ingerencji tego państwa w swobodę działalności gospodarczej dostawcy.

Uzyskanie przez dostawcę oceny ryzyka na poziomie „wysokim” lub „umiarkowanym” będzie skutkowało ograniczeniami w korzystaniu z jego produktów i usług przez wymienione w ustawie podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa. W zależności od stopnia ryzyka będą one zobowiązane do wycofania określonych produktów z użytku lub objęte będą zakazem korzystania z nowych rozwiązań, z możliwością kontynuacji korzystania z rozwiązań nabytych wcześniej.

Dodatkowo ocena dostawcy będzie mogła być uwzględniania w procedurze udzielania zamówień publicznych - w praktyce uzyskanie takiej oceny dla dostawcy będzie mogło oznaczać ograniczenie dostępu do rynku lub nawet jego wykluczenie. Dostawca będzie miał prawo odwołania się od oceny Kolegium w terminie 14 dni od jej opublikowania. Odwołanie będzie rozpatrywane przez ten sam organ.

Niedostosowanie się przez uczestników krajowego systemu cyberbezpieczeństwa do wspomnianych ograniczeń będzie zagrożone w przypadku podmiotów prywatnych karą w wysokości do 3% całkowitego rocznego obrotu, zaś w przypadku podmiotów publicznych - do 100.000 zł. 

Nowelizacja wprowadza również dodatkowe kompetencje Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa mające na celu sprawniejsze reagowanie na incydenty krytyczne, takie jak ostrzeżenie oraz polecenie zabezpieczające.

Nowelizacja zakłada ponadto ujednolicenie procedury zgłaszania incydentów poprzez nałożenie nowych obowiązków na przedsiębiorców komunikacji elektronicznej w rozumieniu przepisów projektowanej ustawy Prawo komunikacji elektronicznej (grupa obejmująca m.in. dotychczasowych przedsiębiorców telekomunikacyjnych). Do tej pory przepisy ustawy o krajowym systemie cyberbezpieczeństwa nie miały zastosowanie do przedsiębiorców telekomunikacyjnych.

Kolejnym założeniem nowelizacji jest ułatwienie powstawania sektorowych zespołów reagowania na incydenty bezpieczeństwa komputerowego we wszystkich kluczowych sektorach gospodarki (CSIRT). Do tej pory utworzono tylko jeden taki zespół - dla sektora bankowości i infrastruktury rynków finansowych. Zespoły te mają być odpowiedzialne za reagowanie na incydenty naruszenia bezpieczeństwa.

Następną zmianą będzie wprowadzenie przepisów umożliwiających utworzenie ISAC (Information Sharing and Analysis Center) - organizacji działających w celu wymiany wiedzy, doświadczeń oraz informacji m.in. o incydentach, zagrożeniach i dobrych praktykach między podmiotami krajowego systemu cyberbezpieczeństwa. Do tej pory takie organizacje nie funkcjonowały w Polsce, m.in. przez brak odpowiednich regulacji.

Nowelizacja wprowadzi także operacyjne centra bezpieczeństwa (SOC) - jednostki umożliwiające reagowanie na cyberzagrożenia. Operatorzy usług kluczowych będą mieć obowiązek powołania własnego zespołu SOC albo zlecenia prowadzenia SOC podmiotowi wyspecjalizowanemu w zakresie cyberbezpieczeństwa.

Podsumowanie

Nie ulega wątpliwości, że wprowadzane zmiany wpłyną na przedsiębiorców telekomunikacyjnych, a pośrednio również na ich klientów. Nowe przepisy mają  wzmocnić cyberbezpieczeństwo poprzez utworzenie wyspecjalizowanych jednostek reagujących na zagrożenia oraz poprzez system ocen dostawców. Założenie eliminacji korzystania z produktów i usług podmiotów stwarzających poważne ryzyko dla bezpieczeństwa należy ocenić pozytywnie, jednak z  drugiej strony spotkać można się z ocenami, że kompetencje Kolegium dotyczące oceny dostawców są zbyt szerokie, a kryteria oceny – nieprecyzyjne. Dodatkowo skutkiem nałożenia nowych obowiązków na dostawców usług telekomunikacyjnych może być znaczący wzrost cen i kosztów usług, który ostatecznie poniosą klienci.