Interpelacja w sprawie transpozycji dyrektywy PE dotyczącej bezpieczeństwa sieci i systemów informatycznych
21.11.2017
Arkadiusz Marchewka, Interpelacja nr 16664
Szanowni Państwo Ministrowie,
w roku 2018 nadejdzie termin transpozycji dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Rodzi to konieczność przyjęcia przepisów prawa krajowego prowadzących do implementacji norm dyrektywy. W Polsce w celu wykonania dyrektywy przygotowywany jest projekt ustawy o krajowym systemie cyberbezpieczeństwa znajdujący się w wykazie prac legislacyjnych i programowych Rady Ministrów. Za jego przygotowanie odpowiedzialne jest Ministerstwo Cyfryzacji. Dyrektywa stawia minimalne wymogi cyberbezpieczeństwa operatorom usług kluczowych, którymi w Polsce są m.in. wszystkie duże firmy energetyczne. Wciąż jednak nie wiadomo ile dokładnie firm będzie objętych przepisami dyrektywy oraz ustawy o krajowym systemie cyberbezpieczeństwa oraz czy za niespełnienie wymogów będą groziły kary - w Wielkiej Brytanii mogą one sięgnąć 4 proc. przychodów lub 18 mln funtów. Nieznane są także dokładne kryteria zaliczenia do grona operatorów usług kluczowych. W tym zakresie dyrektywa w swojej treści posługuje się zwrotami niedookreślonymi jak np. „kluczowe znaczenie” czy „istotny skutek zakłócający”.
Niemniej istotna niż przepisy ustawy jest współpraca spółek Skarbu Państwa w wyżej opisanym zakresie. W marcu 2017 r. Polskie Sieci Elektroenergetyczne S.A. podpisały porozumienie o współpracy z Energa S.A. Kluczowa w zwalczaniu cyberzagrożeń będzie współpraca wymienionych wyżej spółek, ponieważ samodzielna obrona systemów informatycznych może zagrażać bezpieczeństwu energetycznemu Polski.
Dodatkowy obowiązek w opisywanym wyżej zakresie przewiduje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, które stwierdza, że administrator danych powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych.
W związku z powyższym, kieruję do Państwa Ministrów następujące pytania:
- Ile podmiotów zostanie objętych obowiązkiem stosowania norm dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii i projektowanej ustawy o krajowym systemie cyberbezpieczeństwa jako operatorzy usług kluczowych?
- Jakie będą szczegółowe kryteria zaliczenia do grona operatorów usług kluczowych w prawie krajowym?
- Czy przewidziane są kary za niespełnienie wymogów cyberbezpieczeństwa przez operatorów usług kluczowych?
- Na czym polegać będzie współpraca między Polskimi Sieciami Elektroenergetycznymi S. A. i Energa S.A. w zakresie cyberbezpieczeństwa energetycznego?
- Czy do grona spółek Skarbu Państwa współpracujących ze sobą w zakresie cyberbezpieczeństwa dołączą także inne spółki poza wymienionymi w pytaniu trzecim?
Materiały
Odpowiedź na interpelację w sprawie transpozycji dyrektywy PE dotyczącej bezpieczeństwa sieci i systemów informatycznych152 Odpowiedź na interpelację w sprawie transpozycji dyrektywy PE dotyczącej bezpieczeństwa sieci i systemów informatycznych.pdf 0.10MB
- Ostatnia modyfikacja:
- 11.12.2017 14:29 Olga Zawadzka
- Pierwsza publikacja:
- 15.12.2017 08:47 Kinga Graczyk