Unia Europejska od lat dąży do wzmocnienia bezpieczeństwa cybernetycznego w całej Wspólnocie. W tym celu wprowadzona została dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 (NIS). Celem NIS było zbudowanie zdolności w zakresie cyberbezpieczeństwa, łagodzenie zagrożeń dla sieci i systemów informatycznych oraz zapewnienie ciągłości kluczowych usług w przypadku incydentów. Przegląd tej dyrektywy wykazał, że skutecznie zmieniła ona podejście do cyberbezpieczeństwa w Unii Europejskiej. Dzięki niej utworzono krajowe ramy bezpieczeństwa oraz podwaliny do współpracy na poziomie Unii.
Jednak szybka transformacja cyfrowa i rozwój sieci wzajemnych połączeń przyniosły nowe wyzwania, wymagające bardziej dostosowanych i skoordynowanych reakcji. Liczba i różnorodność incydentów cybernetycznych rośnie, co stanowi poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych, a tym samym dla gospodarki i społeczeństwa Unii. W związku z tym konieczne było wprowadzenie nowej dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2).
Konieczne są zmiany w KSC
Obecne zapisy ustawy o krajowym systemie cyberbezpieczeństwa (KSC) implementowały wcześniejszą dyrektywę NIS. Nowa dyrektywa NIS2 wprowadza znacznie bardziej rozbudowane regulacje, które mają na celu jeszcze skuteczniejsze zabezpieczenie sieci i systemów informatycznych na terenie Unii Europejskiej. Aby Polska mogła w pełni dostosować się do nowych wymagań, konieczne są zmiany w KSC. Oto kluczowe powody, dla których wprowadzenie zmian jest niezbędne:
Harmonizacja przepisów
NIS2 ma na celu wyeliminowanie rozbieżności między państwami członkowskimi poprzez ustanowienie minimalnych przepisów dotyczących funkcjonowania skoordynowanych ram regulacyjnych. W praktyce oznacza to, że każde państwo członkowskie musi dostosować swoje przepisy, aby zapewnić jednolity poziom ochrony na terenie całej Unii. Harmonizacja przepisów ułatwi również współpracę transgraniczną, co jest kluczowe w kontekście globalnych zagrożeń cybernetycznych. Dzięki temu wszystkie państwa mają stosować podobne standardy bezpieczeństwa, co zwiększy efektywność reagowania na incydenty oraz przeciwdziałania im.
Zwiększenie zakresu regulacji
Nowa dyrektywa obejmuje szerszy zakres sektorów i usług, co oznacza, że więcej podmiotów będzie podlegać regulacjom. Dotychczas KSC koncentrowała się na węższym zakresie sektorów, takich jak energetyka, transport czy infrastruktura krytyczna. NIS2 rozszerza te regulacje na dodatkowe sektory, w tym usługi cyfrowe, dostawców usług chmurowych, zarządzania sieciami i centrami danych, a także szeroki zakres innych usług, które są kluczowe dla funkcjonowania społeczeństwa i gospodarki. Dzięki temu zwiększa się poziom ochrony w sektorach, które do tej pory mogły być mniej regulowane, ale równie narażone na zagrożenia cybernetyczne.
Wzmocnienie obowiązków
NIS2 wprowadza bardziej szczegółowe wymagania dotyczące zarządzania ryzykiem i zgłaszania incydentów cybernetycznych. Aktualna ustawa o KSC musi zostać zaktualizowana, aby te wymagania wdrożyć na poziomie krajowym. Nowe przepisy nakładają na przedsiębiorstwa obowiązek stosowania bardziej zaawansowanych środków ochrony, regularnego oceniania ryzyka oraz szybszego i bardziej szczegółowego raportowania incydentów. Dodatkowo, przedsiębiorstwa będą musiały prowadzić regularne audyty bezpieczeństwa i szkolenia dla kadry zarządzającej, co ma zwiększyć ich zdolność do skutecznego reagowania na zagrożenia.
Wzmocnienie sankcji i egzekwowania prawa
NIS2 przewiduje surowsze sankcje za naruszenia przepisów, co ma na celu zwiększenie dyscypliny wśród podmiotów zobowiązanych do ich przestrzegania. Wprowadzenie bardziej rygorystycznych kar finansowych i innych sankcji administracyjnych ma na celu zmotywowanie przedsiębiorstw do bardziej odpowiedzialnego podejścia do kwestii cyberbezpieczeństwa. Ustawa o KSC musi uwzględniać te nowe mechanizmy egzekwowania prawa, aby zapewnić skuteczne wdrażanie i przestrzeganie przepisów.
Aktualny stan zmian w ustawie o krajowym systemie cyberbezpieczeństwa
Proces dostosowywania polskiego prawa do wymagań dyrektywy NIS2 jest w toku. Poniżej przedstawiamy jakie etapy zostały zrealizowane i jak wyglądać będzie dalszy proces prac legislacyjnych:
- Projekt nowelizacji: Projekt został opublikowany 24 kwietnia 2024 r. w Rządowym Centrum Legislacji.
- Uzgodnienia: Organy i instytucje miały okazję wyrazić swoje stanowisko wobec projektu. Obecnie udostępniono 25 odniesień z etapu uzgodnień.
- Konsultacje publiczne: W ramach konsultacji wpłynęło 136 pism z uwagami i propozycjami zmian projektu.
- Opiniowanie: Projekt jest na etapie opiniowania przez specjalistów i inne organy administracji rządowej. Obecnie udostępniono 23 pisma z uwagami i propozycjami zmian.
Ministerstwo Cyfryzacji jest na etapie opracowania tabeli odniesień, w której ustosunkuje się do wszystkich przekazanych uwag i sugestii.
Co dalej?
Projekt zmian do ustawy o KSC zostanie przekazany w dalszych krokach do:
- Komitetu do Spraw Europejskich
- Komitetu Społeczny Rady Ministrów
- Komitetu Ekonomiczny Rady Ministrów
- Stałego Komitetu Rady Ministrów
- Komisji Prawniczej
- Potwierdzenia projektu przez Stały Komitet Rady Ministrów
- Rady Ministrów
- Notyfikacji
- Skierowania projektu ustawy do Sejmu
- Wdrożenia i dostosowania: Po przyjęciu nowelizacji podmioty będą miały określony czas na dostosowanie się do nowych wymagań.
Podsumowanie
Wdrożenie dyrektywy NIS2 przez Unię Europejską ma na celu wzmocnienie bezpieczeństwa cybernetycznego w całej Unii. Aby Polska mogła spełnić te wymagania, konieczne są zmiany w ustawie o krajowym systemie cyberbezpieczeństwa (KSC). Proces dostosowywania polskiego prawa do nowych wymagań jest już w toku, ale nadal pozostaje wiele prac do wykonania.
W najbliższych miesiącach będziemy zatem świadkami dalszych prac legislacyjnych mających na celu wdrożenie nowelizacji ustawy o KSC. Podmioty będą miały określony czas na dostosowanie się do nowych wymagań. Projekt zmian KSC zakłada, że ustawa wejdzie w życie po upływie 1 miesiąca od dnia jej ogłoszenia. Dodatkowo przewiduje, że będzie 6-miesięczny okres dostosowawczy dla podmiotów kluczowych i podmiotów ważnych.