Zmiany w ustawie o Krajowym Systemie Cyberbezpieczeństwa

Projektowane zmiany w ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC) to większa liczba podmiotów objętych tą ustawą, więcej obowiązków oraz odpowiedzialność osobista członków zarządu.

Jeśli jesteście Państwo ciekawi, czy ustawa – po zmianach – będzie Was dotyczyła – zapraszam do lektury artykułu.

Krajowym systemem cyberbezpieczeństwa objęte są m.in. podmioty kluczowe oraz podmioty ważne.

Podmioty (sektory) kluczowe to:

• centralna administracja rządowa i inne podmioty publiczne;
• publiczni dostawcy sieci i usług komunikacji elektronicznej, cyfrowych i      telekomunikacyjnych;
• instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki: zaopatrzenie w wodę pitną i zbiorowe odprowadzanie ścieków;
• przedsiębiorstwa z sektora energetycznego (m.in.: wydobywanie kopalin, energia elektryczna, paliwa, gaz, energetyka jądrowa, wodór);
• przedsiębiorstwa transportowe (transport lotniczy, kolejowy, wodny, drogowy);
• bankowość i infrastruktura rynków finansowych;
• udzielanie świadczeń zdrowotnych i zdrowie publiczne;
• produkcja i dystrybucja substancji czynnych, produktów leczniczych i medycznych, w tym podmioty produkujące leki i pozostałe wyroby farmaceutyczne, a także wyroby medyczne, które uznane są za mające kluczowe znaczenie podczas stanu zagrożenia zdrowia publicznego czy hurtownie farmaceutyczne, wytwórcy produktu leczniczego, importerzy produktu leczniczego, apteki.

Podmioty(sektory) ważne to m.in.:

• dostawcy wyszukiwarek internetowych;
• e-platformy handlowe;
• usługi pocztowe, kurierskie i łączności elektronicznej;
• przedsiębiorstwa gospodarujące odpadami tj. transport odpadów i ich przetwarzanie oraz obrót;
• produkcja, wytwarzanie, dystrybucja chemikaliów;
• produkcja, wytwarzanie, dystrybucja żywności;
• produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro;
• produkcja urządzeń elektrycznych, maszyn, urządzeń elektronicznych i optycznych;
• produkcja samochodów oraz sprzętu transportowego;
• badania naukowe, w tym organizacje badawcze oraz podmioty, o których mowa w
• art.7 ust. 1 pkt 1–4, 6–7 ustawy z dnia z dnia 20 lipca 2018 r.– Prawo o szkolnictwie
• wyższym i nauce.

Podstawowe obowiązki podmiotów kluczowych i ważnych

Podmiot kluczowy lub podmiot ważny są zobligowane m.in. do:

• wdrożenia  systemu zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez ten podmioty;
• prowadzenia systematycznego szacowania ryzyka i zarządzanie ryzykiem związanym z cyberbezpieczeństwem;
• wdrożenia odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych;
• zbierania informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczonych usług;
• stosowania środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczonych usług;
• wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług,
• obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa

Projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa  ma istotnie wzmocnić ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni. Uwzględnia on przepisy unijnej dyrektywy NIS2, do implementacji, której Polska jest zobowiązana. Zmiany mają wejść w życie w 2025 r. (obecnie projekt jest na etapie prac rządowych).