Zmiany w systemie cyberbezpieczeństwa: niepełny kompromis i kontrowersje

Choć ministerstwo cyfryzacji uwzględniło sporo postulatów przedsiębiorców, np. w zakresie kontroli, kar i audytów, to przepisy budzące największe ich obawy nie będą zmienione.

Aktualizacja: 08.10.2024 08:26 Publikacja: 08.10.2024 04:44

Wicepremier, minister cyfryzacji Krzysztof Gawkowski podczas konferencji prasowej nt. cyberbezpieczeństwa

Foto: PAP/Marcin Obara

Szymon Cydzik

Resort cyfryzacji zakończył pracę nad projektem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, która ma implementować dyrektywę NIS2 do naszego prawa. Teraz projektem zajmie się Rada Ministrów, co ma potrwać ok. trzech miesięcy. Minister cyfryzacji Krzysztof Gawkowski wyraził nadzieję, że przepisy uda się uchwalić w I kwartale 2025 r., a więc niemal rok od publikacji pierwszej wersji projektu. Jak wskazał minister podczas konferencji prasowej, w ramach trwających dziewięć miesięcy prac w resorcie projekt zmieniano kilkanaście razy. W konsultacjach wzięło udział ponad 200 podmiotów, złożono 1567 uwag. MC twierdzi, że uwzględniono 70 proc. z nich.

– Nie we wszystkich miejscach znaleźliśmy kompromis, ale też nie wszędzie chcieliśmy go znaleźć. Bo jeśli ktoś chciałby namówić Ministerstwo Cyfryzacji, by w ustawie nie było przepisów o tym, co dla ustawy kluczowe, np. dostawcy wysokiego ryzyka, to nie możemy się na to fundamentalnie zgodzić. Cyberbezpieczeństwo w kategorii państwa jest bezcenne – mówił podczas konferencji Krzysztof Gawkowski.

– Wiele podmiotów nie tylko nie jest gotowych na nowe przepisy, a nawet pozostaje nieświadomych obowiązków, które na nich spoczną. To niestety pokazuje, z jakim wyzwaniem się mierzymy. Pamiętajmy, że ustawa dotyczy podmiotów, których sprawne funkcjonowanie ma wpływ na nasze codzienne życie – mówi Aleksander Kostuch, inżynier systemowy Stormshield.

Czytaj więcej

Opinie Prawne

Bogusław Chrabota: Między cyberbezpieczeństwem i nadgorliwością

Przepisy o Krajowym Systemie Cyberbezpieczeństwa na równi winny służyć bezpieczeństwu i biznesowi. Tylko taka równowaga jest racjonalna.

Podmioty ważne i kluczowe dla cyberbezpieczeństwa

Projekt ustawy, w ślad za dyrektywą NIS2, wprowadza rozróżnienie na podmioty kluczowe, które mają największe obowiązki z zakresu cyberbezpieczeństwa, oraz podmioty ważne. Państwa członkowskie mają jednak dużo swobody w określeniu, które branże zaliczają się do której kategorii.

– Podmioty kluczowe są zobowiązane do zgłaszania incydentów poważnych niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia do odpowiedniego CSIRT sektorowego (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego). Podmioty ważne mają mieć więcej czasu na zgłaszanie incydentów lub mniej rygorystyczne wymagania dotyczące sprawozdawczości z incydentów – mówi Aleksander Kostuch.

Do kategorii podmiotów kluczowych zaliczona zostanie m.in. centralna administracja rządowa, publiczni dostawcy sieci i usług łączności elektronicznej, cyfrowych i telekomunikacyjnych, na przykład operatorzy chmurowi, i platformy sieci społecznościowych. A także instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki.

Czytaj więcej:

ABC Firmy

Cyberbezpieczeństwo. Prawniczka: nadregulacja uderzy w biznes

Pro

Z kolei podmiotami ważnymi w rozumieniu przepisów będą m.in. dostawcy wyszukiwarek internetowych, e-platformy handlowe, usługi pocztowe, kurierskie i łączności elektronicznej, przedsiębiorstwa gospodarujące odpadami lub jedyni dostawcy usług określonego rodzaju w danym państwie.

Jak poinformował podczas konferencji prasowej Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w MC, resort w ostatniej wersji projektu zdecydował się przenieść z kategorii podmiotów kluczowych do kategorii ważnych takie sektory, jak produkcja, wytwarzanie, dystrybucja chemikaliów oraz żywności, a także produkcja wyrobów medycznych, urządzeń elektrycznych, maszyn, samochodów, sprzętu transportowego.

Cyberbezpieczeństwo: audyt, kary i kontrole ze zmianami

Złagodzone zostały też obowiązki co do audytu. Podmioty kluczowe będą musiały przeprowadzać go raz na trzy lata (a nie, jak wcześniej proponowano, co dwa), a podmioty ważne – tylko gdy zajdą ku temu przesłanki. Z kolei przedsiębiorcy usług komunikacyjnych mają mieć 24, a nie 12 godzin na zgłoszenie incydentu.

Czytaj więcej

Polska przyjmie jedno z bardziej rygorystycznych stanowisk przy implementacji dyrektywy NIS2 – wynik

Prawo dla Ciebie

Te przepisy budzą kontrowersje. "Polska nadreguluje" - twierdzą jedni. Inni: to uzasadnione

Polska przyjmie jedno z bardziej rygorystycznych stanowisk przy implementacji dyrektywy NIS2 – wynika z raportu EY. Inni eksperci są zdania, że to uzasadnione.

Marcin Wysocki wskazał też, że zrezygnowano z kar za niezastosowanie się do ostrzeżenia. Doprecyzowane mają też zostać przesłanki orzekania kar okresowych albo zakazu działalności za naruszenie ustawy, a także środki nadzoru i kontroli oraz związane z nimi procedury.

Chodzi tu o podmioty podlegające pod właściwość wielu organów czy resortów, tak jak banki, firmy telekomunikacyjne czy energetyka. Wprowadzono możliwość wyznaczania jednego tzw. organu wiodącego do sprawowania nadzoru.

Ma to z jednej strony zmniejszyć uciążliwość i pozwolić kilku kontroli, a z drugiej – usprawnić możliwość reagowania na zagrożenia dla cyberbezpieczeństwa. Temu drugiemu celowi mają służyć kontrole doraźne, które pozwolą na natychmiastową reakcję w wypadku zagrożenia cyberatakiem. Wprowadzono także możliwość odwołania do WSA od środków nadzorczych.

W projekcie pozostały jednak budzące kontrowersje zapisy o rozpoznawaniu skarg od decyzji MC na posiedzeniach niejawnych oraz przekazywania stronie uzasadnienia bez informacji niejawnych. Resort zapewnia, że jest to podyktowane koniecznością ochrony tych informacji, a sąd rozpatrujący sprawę ma do nich dostęp.

Etap legislacyjny: przed Radą Ministrów

Opinia dla „Rzeczpospolitej”

Piotr Podgórski, radca prawny, Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl

W ogłoszonym projekcie o zmianie ustawy w dalszym ciągu pozostawiono niepokojące uregulowania dotyczące niejasnej procedury, na podstawie której dostawca sprzętu lub oprogramowania informacyjno-komunikacyjnego (ICT) dla podmiotów kluczowych i ważnych (np. przedsiębiorców z sektora gospodarowania odpadami, z sektora ścieków, producentów, komputerów) uznany może zostać za dostawcę wysokiego ryzyka. Jeśli to się stanie, podmiot kluczowy lub ważny zobowiązany będzie do pozbycia się jego oprogramowania lub sprzętu w terminie siedmiu lat. Wiązało się to będzie z ogromnymi kosztami, jakie będą musieli ponieść przedsiębiorcy. Nie mówiąc o tym, że niejednokrotnie obecny dostawca sprzętu oferował konkurencyjne ceny, a jego produkt lub usługa cechowały się wysoką jakością. Największe obawy budzą jednak kryteria nietechniczne, na podstawie których dany dostawca będzie mógł zostać uznany za dostawcę wysokiego ryzyka.

cyberbezpieczeństwo

Pozostało 90% artykułu

Podatki

Skarbówka zażądała 240 tys. zł podatku od odwołanej darowizny. Jest wyrok NSA

Naliczenia podatku od spadków i darowizn, gdy w wyniku odwołania darowizny doszło do skutecznego anulowania podstawy przysporzenia i jego zwrotu, nie da się pogodzić z konstytucją – uznał NSA.

Materiał Promocyjny

Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!

Prawo w Polsce

Jest apel do premiera Tuska o usunięcie "pomnika rządów populistycznej władzy"

Amnesty International Polska oraz sześć innych organizacji zwróciło się do premiera Donalda Tuska o zainicjowanie przez rząd procesu legislacyjnego prowadzącego do nowelizacji ustawy prawo o zgromadzeniach.

Edukacja i wychowanie

Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw

Za nami dopiero pierwsze tygodnie nowego roku szkolnego 2024/2025. Wielu uczniów i rodziców myśli już jednak o odpoczynku od nauki. Warto w związku z tym sprawdzić, jakie są terminy ferii zimowych 2025 dla poszczególnych województw.

Praca, Emerytury i renty

Ile trzeba zarabiać, żeby na konto trafiło 5000 zł

Zastanawiasz się, ile musisz zarabiać brutto, by na Twoje konto wpływało 5000 zł netto? Kwota ta znacząco różni się w zależności od formy zatrudnienia.

Materiał Promocyjny

Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?

Europejczycy są coraz bardziej przekonani, że mogą wpłynąć na ochronę klimatu poprzez zmianę codziennych nawyków

Warszawa, 26.02.2024. Minister sprawiedliwości, prokurator generalny Adam Bodnar oraz wceminister sp

Prawo karne

Rząd zmniejsza liczbę więźniów. Będzie 20 tys. wakatów w celach

W polskich aresztach i zakładach karnych przebywa o ponad 5 tys. więźniów mniej niż przed rokiem. Częściej wychodzą na wolność przed zakończeniem odbywania kary. - To dobra wiadomość - chwali ekspert.

Materiał Promocyjny

Opel Movano w leasingu 105% – sprawdź teraz!

Opinie Prawne

Tomasz Siemiątkowski: Szkodliwa nadregulacja w sprawie cyberbezpieczeństwa

W kwestii cyberbezpieczeństwa jesteśmy świadkami próby legitymizacji kontrowersyjnych instytucji prawnych rzekomymi wymogami unijnymi. To przykład tzw. goldplatingu – mówi prof. Tomasz Siemiątkowski, adwokat.

Biznes

Era postkwantowa: nowe wyzwania dla polskiej gospodarki

Wzrost liczby cyberataków pokazuje, że firmy powinny jak najszybciej wdrożyć nowe technologie pozwalające chronić wykorzystywane przez nie dane.

Polityka

Prof. Marcin Górski: Przepisy o cyberbezpieczeństwie budzą wiele wątpliwości

W projekcie ustawy o krajowym systemie cyberbezpieczeństwa znalazło się wiele sprzeczności z Kartą Praw Podstawowych UE – twierdzi dr hab. Marcin Górski, radca prawny i profesor Uniwersytetu Łódzkiego.

Uczestnicy debaty „Współczesne wyzwania w cyberbez-pieczeństwie” (od lewej): Maciej Ogórkiewicz (ING

Bezpieczeństwo

W sieci kluczowe są edukacja i prewencja

Najważniejsze wyzwania związane z bezpieczeństwem w sieci i budowa świadomości na ich temat zarówno wśród obywateli, jak i w organizacjach były tematem debaty ekspertów.

Gospodarka

Gawkowski: 100 miliardów złotych na cyfryzację to konieczność, by dogonić Europę

Głosowanie przez internet? – Pierwszym krokiem mogłyby być wybory przedterminowe, jako forma testu. Na przykład na poziomie gminy czy wyborów uzupełniających do Senatu – mówi „Rzeczpospolitej” Krzysztof Gawkowski, wicepremier i minister cyfryzacji (Nowa Lewica).

Biznes

Cypryjski bank ostrzega: Polska wśród głównych celów cyberprzestępców

Bank Centralny Cypru w ramach unijnej inicjatywy badającej cyberbezpieczeństwo wytypował kraje, w których hakerzy sieją największy zamęt. Polska znalazła się na podium niechlubnego rankingu. Skala incydentów jest gigantyczna.

Kradzież plików cookie może umożliwić przestępcom uzyskanie dostępu do poczty elektronicznej użytkow

Nowy sposób przejmowania kont pocztowych. Cyberprzestępcy kradną pliki cookie

Włamując się na naszą pocztę cyberprzestępcy nie tylko mają wgląd do wszelkich przechowywanych tam danych (znajdujących się na przykład w załącznikach). Za pośrednictwem adresu e-mail mogą również zyskać dostęp do innych, ważnych dla nas serwisów. Okazuje się, że przestępcy mają sposób na włamanie się nawet na te konta, w przypadku których występuję dwuskładnikowe uwierzytelnianie (jak np. Gmail).

Biznes

Centralizacja polityki spójności nie pomoże przedsiębiorcom

W Parlamencie Europejskim rozpoczęły się wysłuchania kandydatów na unijnych komisarzy, ale i burzliwe dyskusje nad kolejnymi wieloletnimi ramami finansowymi UE. Jakie czekają nas zmiany?