Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw

{"register":{"columns":[{"header":"Numer projektu","value":"UC32","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"sequence":{"regex":"UC{#UC_1}"},"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Rodzaj dokumentu","registerId":20874195,"dictionaryValues":[{"id":"Projekty ustaw","value":"Projekty ustaw"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Typ dokumentu","registerId":20874195,"dictionaryValues":[{"id":"C – projekty implementujące UE","value":"C – projekty implementujące UE"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Cele projektu oraz informacja o przyczynach i potrzebie rozwiązań planowanych w projekcie","value":"Projektowana ustawa ma na celu wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. Urz. UE L 333 z 27.12.2022 str. 80), zwana dalej „dyrektywą NIS 2”.\nPojawianie się nowych cyberzagrożeń, jak również szybki wzrost katalogu usług publicznych dostępnych online, powodują, że instytucje publiczne jak i podmioty prywatne odpowiedzialne za cyberbezpieczeństwo będą zmuszone poświęcać coraz więcej środków na zapewnienie cyberbezpieczeństwa. Zmieniająca się sytuacja międzynarodowa oraz konieczność dostarczenia usług dużej grupie nowych klientów sprawia, że niezbędne jest dalsze wzmacnianie podmiotów krajowego systemu cyberbezpieczeństwa. Tą sytuację uwidaczniają statystyki zespołu CSIRT NASK. W 2022 r. do zespołu CSIRT NASK zgłoszono ponad 39 000 incydentów cyberbezpieczeństwa, a w 2023 r. ponad 75 000 incydentów cyberbezpieczeństwa. Dyrektywa NIS 2 i przepisy ją implementujące są odpowiedzią na dynamicznie zmieniającą się sytuację w cyberprzestrzeni.\nDyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych określony w dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 194 z 19.07.2016, str. 1), zwana dalej „dyrektywą NIS I”, na podmioty kluczowe i podmioty ważne. Ponadto rozszerzeniu uległ katalog sektorów objętych dyrektywą. Dyrektywa NIS 2 nakłada również szereg obowiązków na podmioty kluczowe i podmioty ważne. Jako podstawowy obowiązek należy wskazać stosowanie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.\nZmiany wprowadzone przez dyrektywę NIS 2 oraz pojawiające się nowe cyberzagrożenia powodują konieczność wprowadzenia stosownych zmian w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913 i 1703), zwanej dalej „KSC”. Istotne jest więc uspójnienie krajowego systemu cyberbezpieczeństwa z rozwiązaniami europejskimi.\n","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Istota rozwiązań planowanych w projekcie, w tym proponowane środki realizacji","value":"Zmiany wprowadzone przez dyrektywę NIS 2 oraz pojawiające się nowe cyberzagrożenia powodują konieczność wprowadzenia stosownych zmian w KSC. Jest to podstawowy akt dotyczący cyberbezpieczeństwa w Polsce, który poprzednio wdrożył dyrektywę NIS 1. Poprzez zmianę KSC wdrożone zostaną także postanowienia Toolboxa 5G.\nNowelizacja ustawy o KSC polega w szczególności na:\n1) rozszerzeniu katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki;\n2) nałożeniu obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe i podmioty ważne w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2; \n3) nałożeniu obowiązków z zakresu środków zarządzania ryzykiem w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2; \n4) wprowadzeniu możliwości zgłaszania incydentów przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego;\n5) utworzeniu zespołów CSIRT sektorowych, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa;\n6) wzmocnieniu kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa;\n7) wprowadzeniu nowych administracyjnych kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe i podmioty ważne;\n8) wprowadzeniu Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;\n9) rozszerzeniu kompetencji ministra właściwego do spraw informatyzacji (organ ten będzie mógł dokonać, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka, będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego).\n\nProjekt ustawy służy realizacji celów Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–2024, zwanej dalej „Strategią”, jakimi są podniesienie poziomu odporności na cyberzagrożenia oraz poziomu ochrony informacji w sektorach: publicznym, militarnym i prywatnym. Projekt realizuje także cel szczegółowy Strategii, odnoszący się do rozwoju krajowego systemu cyberbezpieczeństwa poprzez ewaluację przepisów prawa dotyczących cyberbezpieczeństwa. Ponadto, projekt realizuje cele Strategii w odniesieniu do zapewnienia bezpieczeństwa łańcucha dostaw.\nJednocześnie wprowadzenie w życie projektowanych zmian w KSC zrealizuje kamień milowy reformy C3.1. Krajowego Planu Odbudowy i Zwiększania Odporności.\n","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Oddziaływanie na życie społeczne nowych regulacji prawnych","value":"","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Spodziewane skutki i następstwa projektowanych regulacji prawnych","value":"","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Sposoby mierzenia efektów nowych regulacji prawnych","value":"","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Organ odpowiedzialny za opracowanie projektu","registerId":20874195,"dictionaryValues":[{"id":"MC","value":"MC"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Osoba odpowiedzialna za opracowanie projektu","value":"Paweł Olszewski Sekretarz Stanu \n","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Organ odpowiedzialny za przedłożenie projektu RM","registerId":20874195,"dictionaryValues":[{"id":"MC","value":"MC"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Planowany termin przyjęcia projektu przez RM","value":"III kwartał 2024 r.","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Informacja o rezygnacji z prac nad projektem","value":"","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Status realizacji","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"}]}}

UC32

Projekty ustaw

C – projekty implementujące UE

Projektowana ustawa ma na celu wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. Urz. UE L 333 z 27.12.2022 str. 80), zwana dalej „dyrektywą NIS 2”.
Pojawianie się nowych cyberzagrożeń, jak również szybki wzrost katalogu usług publicznych dostępnych online, powodują, że instytucje publiczne jak i podmioty prywatne odpowiedzialne za cyberbezpieczeństwo będą zmuszone poświęcać coraz więcej środków na zapewnienie cyberbezpieczeństwa. Zmieniająca się sytuacja międzynarodowa oraz konieczność dostarczenia usług dużej grupie nowych klientów sprawia, że niezbędne jest dalsze wzmacnianie podmiotów krajowego systemu cyberbezpieczeństwa. Tą sytuację uwidaczniają statystyki zespołu CSIRT NASK. W 2022 r. do zespołu CSIRT NASK zgłoszono ponad 39 000 incydentów cyberbezpieczeństwa, a w 2023 r. ponad 75 000 incydentów cyberbezpieczeństwa. Dyrektywa NIS 2 i przepisy ją implementujące są odpowiedzią na dynamicznie zmieniającą się sytuację w cyberprzestrzeni.
Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych określony w dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 194 z 19.07.2016, str. 1), zwana dalej „dyrektywą NIS I”, na podmioty kluczowe i podmioty ważne. Ponadto rozszerzeniu uległ katalog sektorów objętych dyrektywą. Dyrektywa NIS 2 nakłada również szereg obowiązków na podmioty kluczowe i podmioty ważne. Jako podstawowy obowiązek należy wskazać stosowanie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.
Zmiany wprowadzone przez dyrektywę NIS 2 oraz pojawiające się nowe cyberzagrożenia powodują konieczność wprowadzenia stosownych zmian w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913 i 1703), zwanej dalej „KSC”. Istotne jest więc uspójnienie krajowego systemu cyberbezpieczeństwa z rozwiązaniami europejskimi.

Zmiany wprowadzone przez dyrektywę NIS 2 oraz pojawiające się nowe cyberzagrożenia powodują konieczność wprowadzenia stosownych zmian w KSC. Jest to podstawowy akt dotyczący cyberbezpieczeństwa w Polsce, który poprzednio wdrożył dyrektywę NIS 1. Poprzez zmianę KSC wdrożone zostaną także postanowienia Toolboxa 5G.
Nowelizacja ustawy o KSC polega w szczególności na:
1) rozszerzeniu katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki;
2) nałożeniu obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe i podmioty ważne w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2;
3) nałożeniu obowiązków z zakresu środków zarządzania ryzykiem w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2;
4) wprowadzeniu możliwości zgłaszania incydentów przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego;
5) utworzeniu zespołów CSIRT sektorowych, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa;
6) wzmocnieniu kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa;
7) wprowadzeniu nowych administracyjnych kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe i podmioty ważne;
8) wprowadzeniu Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;
9) rozszerzeniu kompetencji ministra właściwego do spraw informatyzacji (organ ten będzie mógł dokonać, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka, będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego).

Projekt ustawy służy realizacji celów Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–2024, zwanej dalej „Strategią”, jakimi są podniesienie poziomu odporności na cyberzagrożenia oraz poziomu ochrony informacji w sektorach: publicznym, militarnym i prywatnym. Projekt realizuje także cel szczegółowy Strategii, odnoszący się do rozwoju krajowego systemu cyberbezpieczeństwa poprzez ewaluację przepisów prawa dotyczących cyberbezpieczeństwa. Ponadto, projekt realizuje cele Strategii w odniesieniu do zapewnienia bezpieczeństwa łańcucha dostaw.
Jednocześnie wprowadzenie w życie projektowanych zmian w KSC zrealizuje kamień milowy reformy C3.1. Krajowego Planu Odbudowy i Zwiększania Odporności.

Paweł Olszewski Sekretarz Stanu

III kwartał 2024 r.