12 lutego 2025 roku na stronie Rządowego Centrum Legislacji opublikowano kolejny projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, datowany na 7 lutego 2025 r. W nowej wersji wprowadzane zostały zmiany m.in. w klasyfikacji podmiotów publicznych oraz stawianych im wymaganiach. Projekt utrzymuje dotychczasowe wymagania wobec podmiotów prywatnych.
Podmioty publiczne podzielone na kluczowe i ważne
Jedną z najistotniejszych zmian jest wprowadzenie rozróżnienia między podmiotami publicznymi kluczowymi a ważnymi. Wcześniej wszystkie jednostki publiczne były traktowane jako kluczowe, co oznaczało dla nich równoznaczne wymagania w zakresie cyberbezpieczeństwa. Nowa wersja projektu dokonuje podziału podmiotów publicznych na kluczowe i ważne. Do podmiotów ważnych zaliczane zostają m.in. samorządowe jednostki budżetowe, zakłady budżetowe oraz instytucje kultury, co oznacza, że będą objęte mniej restrykcyjnymi wymaganiami niż podmioty publiczne zaklasyfikowane do podmiotów kluczowych.
System zarządzania bezpieczeństwem informacji na różnych zasadach
Przypomnijmy, że art. 8 projektu ustawy nakłada na podmioty kluczowe i ważne wdrożenia systemu zarządzania bezpieczeństwem informacji zapewniający szczegółowo określone kryteria. Natomiast obecna zmiana dla publicznych podmiotów ważnych wprowadza zobowiązanie do wdrożenia uproszczonego systemu zarządzania bezpieczeństwem informacji, którego szczegóły opisano w nowym załączniku nr 4 do ustawy.
Publiczne podmioty ważne z mniejszymi obowiązkami
Zgodnie z nowelizacją, publiczne podmioty ważne będą miały uproszczone obowiązki w zakresie zgłaszania incydentów. W praktyce oznacza to, że będą zobowiązane do raportowania jedynie tych naruszeń, które faktycznie wpływają na ich funkcjonowanie. Nie będą zobligowane do przekazywania wczesnych ostrzeżeń, sprawozdania okresowego i sprawozdania końcowego.
Podmioty publiczne mogą działać wspólnie
Nowelizacja KSC doprecyzowuje również zasady współpracy pomiędzy podmiotami publicznymi prowadzącymi systemy informacyjne w celu realizacji zadania publicznego zakresie cyberbezpieczeństwa. Jest to istotna zmiana dla podmiotów publicznych, gdyż pozwala na wyznaczenie jednostki odpowiedzialnej za realizację obowiązków wynikających z ustawy. Jednostki samorządu terytorialnego mogą zawrzeć porozumienie w sprawie powierzenia jednej z nich realizacji wskazanych obowiązków ustawowych. To bardzo korzystana zmiana dla podmiotów publicznych, która może zagwarantować skuteczniejsze i spójniejsze działanie w sferze cyberbezpieczeństwa.
Większe uprawnienia dla Ministra Cyfryzacji
Projekt nowelizacji zmienia zasady stosowania środków nadzoru nad podmiotami kluczowymi. Minister cyfryzacji uzyskuje uprawnienia do wstrzymania lub ograniczenia koncesji podmiotu kluczowego, zawieszenia jego działalności, a nawet zakazu wykonywania funkcji zarządczych, jeśli dany podmiot nie realizuje nakazów lub decyzji administracyjnych. We wcześniejszych wersjach projektu organ właściwy do spraw cyberbezpieczeństwa nie miał takich samodzielnych uprawnień.
Mniejsze kary finansowe dla kierowników podmiotów
Istotną zmianą jest również zmniejszenie maksymalnego wymiaru kary finansowej dla kierowników podmiotów kluczowych i ważnych. Nowelizacja KSC przewiduje obniżenie sankcji z 600% do 300% wynagrodzenia, co ma na celu dostosowanie ich do realnych możliwości finansowych. Wprowadzenie tej zmiany ma zapobiec sytuacjom, w których nadmierna wysokość kar mogłaby zniechęcać do podejmowania działań w zakresie cyberbezpieczeństwa.
Proces legislacyjny – przyjęcie projektu przez Komitet do Spraw Europejskich
Po zakończeniu prac nad projektem, 13 lutego 2025 r. Komitet do Spraw Europejskich przyjął projekt ustawy o zmianie ustawy o KSC oraz niektórych innych ustaw w trybie obiegowym. Potwierdzenie przyjęcia nastąpiło wraz z protokołem rozbieżności.
Komitet rekomendował przekazanie projektu do rozpatrzenia przez Stały Komitet Rady Ministrów po przedłożeniu go przez Ministra Cyfryzacji. Oznacza to, że projekt jest na kolejnym etapie procedury legislacyjnej i czeka na dalsze decyzje organów administracji rządowej
Podsumowanie
Nowelizacja KSC tj. ustawy o krajowym systemie cyberbezpieczeństwa stanowi element wdrażania dyrektywy NIS2 do polskiego porządku prawnego. Przepisy dyrektywy nakładają na państwa członkowskie obowiązek zwiększenia odporności infrastruktury krytycznej oraz wdrożenia skutecznych mechanizmów reagowania na cyberzagrożenia.
Jednak sama legislacja nie wystarczy, aby skutecznie chronić podmioty i publiczne i prywatne przed atakami. Kluczowe znaczenie ma kompleksowe podejście do bezpieczeństwa, które obejmuje odpowiednie procedury, technologie i systematyczne monitorowanie zagrożeń. Wszystkie podmioty powinny wdrażać rozwiązania dostosowane do swoich specyficznych potrzeb, zamiast polegać jedynie na zgodności z regulacjami.
Dostosowanie polskiego systemu cyberbezpieczeństwa do NIS2 to krok w stronę lepszej ochrony infrastruktury i usług kluczowych. Jednak, aby nowe przepisy były skuteczne, konieczne jest ich wsparcie przez inwestycje w nowoczesne systemy bezpieczeństwa oraz rozwój kompetencji pracowników.
Sprawdź czy jesteś gotowy na dyrektywę NIS2 i zmiany w KSC? Skontaktuj się z nami!
