Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Zmienia się ustawa o krajowym systemie cyberbezpieczeństwa

04 sierpień 2023

Zmienia się ustawa o krajowym systemie cyberbezpieczeństwa
Redakcja

Redakcja

Zmienią się dotychczasowe przepisy związane z cyberbezpieczeństwem? Projekt nowelizacji ustawy ma rozszerzyć obowiązki nakładane na firmy. Które z branż obejmie? Co dokładnie zawiera nowelizacja ustawy?

Projekt nowelizacji trafia do sejmu

Rządowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (UKSC) trafił w końcu do sejmu. Jednak wdrożenie przepisów w życie niekoniecznie będzie takie proste. Prace nad nowelizacją będą przeniesione z powodu skierowania jej do wysłuchania publicznego. To ma mieć miejsce 11 września 2023 r. Warto podkreślić, że to już 13 propozycja tego aktu.

Obecnie obowiązujący tekst UKSC został wprowadzony z powodu konieczności wprowadzenia unijnej dyrektywy NIS. Jednak w trakcie prac nad nowelizacją UKSC opublikowano dyrektywę NIS 2, która zastępuje swoją poprzedniczkę i ma być zaimplementowana do 17 października 2024 r.  Równolegle do prac nad nowelizacją UKSC trwa proces ustanowienia prawa komunikacji elektronicznej (PKE). To ma zastąpić obecnie obowiązujące prawo telekomunikacyjne. PKE ma dotyczyć głównie przedsiębiorców komunikacji elektronicznej. Ci według propozycji nowelizacji UKSC mają zostać włączeni do krajowego systemu cyberbezpieczeństwa.

Propozycje PKE i nowelizacji UKSC są ze sobą powiązane. Wielokrotnie w projekcie nowelizacji UKSC odnosi się do PKE. W uzasadnieniu projektu wskazano również, że oba akty powinny wejść w życie w tym samym czasie. Nie mamy jednak pewności w jakiej dokładnie formie i kiedy oba te projekty wejdą w życie. A to ze względu na NIS 2 oraz kończącą się kadencję rządu.

Na czym polega ustawa UKSC?

Projekt nowelizacji UKSC nakłada na przedsiębiorców komunikacji elektronicznej szereg obowiązków związanych z cyberbezpieczeństwem. Przewiduje się, że będą oni musieli systematycznie szacować ryzyko wystąpienia sytuacji szczególnego zagrożenia,jak i podejmować środki techniczne czy organizacyjne zapewniające poufność, integralność, dostępność oraz autentyczność przetwarzanych danych, zgodnie z poziomem bezpieczeństwa odpowiednim do zidentyfikowanego ryzyka.

Tego typu firmy będą również musiały dokumentować podejmowane działania w ramach cyberbezpieczeństwa oraz obsługi incydentów bezpieczeństwa. Mowa tutaj np. o zgłaszaniu incydentów i współpracy z organami cyberbezpieczeństwa. Co w przypadku niewywiązania się z takich obowiązków? Nowelizacja przewiduje karę, która może wynieść do 3% rocznego przychodu ukaranej organizacji. Z kolei osoby kierujące taką firmą naruszającą obowiązki mogą być obłożone karą pieniężną do 300% miesięcznego wynagrodzenia.

Nowelizacja UKSC przewiduje również rozszerzenie katalogu podmiotów publicznych podlegających obowiązących w zakresie cyberbezpieczeństwa. Obejmować to ma zarówno podmioty administracji publicznej na różnych szczeblach, jak i instytucje sektora finansowego, opieki zdrowotnej oraz inne sektory krytyczne dla funkcjonowania państwa. Są to np. Państwowe Gospodarstwo Wodne Wody Polskie, Polski Fundusz Rozwoju, Polska Agencja Rozwoju Przedsiębiorczości, uczelnie i szkolnictwo wyższe itd. itp.

Nowelizacja UKSC ma również na celu usprawnienie reakcji na incydenty cyberbezpieczeństwa. Projekt zakłada utworzenie CSIRT INT i CSIRT Telco, które mają działać na rzecz jednostek organizacjnych podległych właściwemu ministerstwu czy na potrzeby przedsiębiorstw telekomunikacyjnych. Powołane zostanie rówineż Operacyjne Centrum Bezpieczeństwa, ktora ma na celu zastąpić dotychczasowe struktury odpowiedzialne za cyberbezpieczeństwo operatorów usług kluczowych. Podzieli się ono na wewnętrzne i zewnętrzne, czyli będzie pełnić funkcje u operatorów, jak i zlecać pełnienie tej funkcji. 

Według planowanej nowelizacji UKSC, operatorzy usług kluczowych będą musieli mieć w swojej infrastrukturze właśnie rzeczone Centrum Operacyjne Bezpieczeństwa. Będą one wówczas odpowiedzialne za kilka ważnych funkcji, takich jak zarządzanie bezpieczeństwem, tworzenie i aktualizacja dokumentacji związanej z cyberbezpieczeństwem oraz obsługa incydentów. Co więcej, personel pracujący w tych centrach będzie musiał posiadać poświadczenie bezpieczeństwa osobowego do obsługi informacji o klauzuli „poufne”. To ważne kroki mające na celu wzmocnienie ochrony systemów i danych w kraju.

Strategiczna sieć cyberbezpieczeństwa

Nowelizacja ustawy UKSC zakłada też stworzenie strategicznej sieci bezpieczeństwa, czyli specjalnej infrastruktury telekomunikacyjnej. Jej celem będzie dbanie o bezpieczeństwo państwa i porządku publicznego w telekomunikacji. Sieć ma umożliwiać bezpieczną komunikację między użytkownikami końcowymi w przypadku przesyłania danych, prowadzenia rozmów głosowych i wysyłania wiadomości tekstowych.

W ramach nowelizacji powołany zostanie osobny podmiot, czyli Operator Strategicznej Sieci Bezpieczeństwa (OSSB). Organizacja ta ma oferować usługi telekomunikacyjne i zapewinać cyberbezpieczeństwo najważniejszym organom Polski, a także zarządzać strategiczną siecią bezpieczeństwa. Wybrana zostaine przez premiera z organizacji spełniających określone kryteria. Musi to być jednoosobowa spółka Skarbu Państwa, przedsiębiorca telekomunikacyjny i zapewniać odpowiednie wykonywanie zadań operatora strategicznej sieci bezpieczeństwa.

OSSB będzie korzystać z częstotliwości państwowych, chyba że zaistnieje konieczność wykorzystania tych cywilnych. Wówczas prezes Urzędu Komunikacji Elektronicznej (UKE) będzie miał możliwość nałożenia na organizację, który posiada rezerwację częstotliwości cywilnych, obowiązku udostępnienia ich OSSB. Istnieją jednak obawy dotyczące zgodności tego rozwiązania z prawem Unii, w szczególności z Europejskim kodeksem łączności elektronicznej, który określa warunki dostępu do częstotliwości oraz wyjątki od zasady swobodnego dostarczania sieci i świadczenia usług telekomunikacyjnych. To jednak nie są jedyne kontrowersje związane z UKSC.

Kontrowersje przy nowelizacji UKSC

Jednak niektóre organizacje pozarządowe i eksperci z dziedziny cyberbezpieczeństwa wyrażają swoje obawy dotyczące nowelizacji UKSC. Krytycy podkreślają, że obowiązki i sankcje finansowe nakładane na podmioty mogą być zbyt restrykcyjne, zwłaszcza dla sektora MMŚP. Istnieje również obawa, że brak odpowiednich środków finansowych i technologicznych może utrudnić spełnienie nowych wymagań.

Ustawa przewiduje też rozszerzenie uprawnień „ministra właściwego do spraw informatyzacji”. Nowa regulacja umożliwi mu przeprowadzanie postępowań mających na celu uznanie danego podmiotu za dostawcę wysokiego ryzyka. W rezultacie, minister będzie mógł wydać decyzję administracyjną, która uzna dostawcę sprzętu lub oprogramowania za podmiot stanowiący poważne zagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi. Jeśli taka decyzja zapadnie, to szczególnie narażone organizacje, takie jak dostawcy usług cyfrowych czy operatorzy usług kluczowych lub niektóre prezdsiębiorstwa telekomunikacyjne nie będą mogły korzystać z usług firmy usankcjonowanej przez ministra.

Ma to się tyczyć również organizacji, których tyczy się ustawa o zamówieniach publicznych. W praktyce oznacza to, że takie podmioty nie będą mogły kupować produktów, oprogramowania czy usług od konkretnego, usankcjonowanego dostawcy. Dodanie nowej przesłanki wykluczenia wykonawcy z postępowania budzi pewne wątpliwości związane z zgodnością z unijnym prawem zamówień publicznych. Niektóre wątpliwości w tej kwestii wyraził Minister ds. Unii Europejskiej podczas konsultacji dotyczących projektu nowelizacji UKSC.

Wprowadzone zostaną również zmiany w ustawie PZP. Zostanie w niej wskazany dodatkowy powód odrzucenia oferty wykonawcy. Zgodnie z nowymi przepisami, oferta zostanie odrzucona, jeśli obejmuje produkt, usługę lub proces z dziedziny technologii informacyjno-komunikacyjnych (ICT), które zostały określone w decyzji o uznaniu organizacji za dostawcę wysokiego ryzyka.

W ramach nowelizacji UKSC przewiduje się również utworzenie krajowego systemu certyfikacji cyberbezpieczeństwa. Będzie to program mający na celu ocenę i certyfikację produktów, usług i procesów związanych z cyberbezpieczeństwem. Certyfikacja ta ma na celu zapewnienie wysokiego poziomu bezpieczeństwa i ochrony danych. Nowelizacja UKSC stawia również duży nacisk na współpracę międzynarodową w dziedzinie cyberbezpieczeństwa. Projekt zakłada intensyfikację współpracy z innymi państwami, organizacjami międzynarodowymi oraz sektorem prywatnym w celu wymiany informacji, dobrych praktyk i wspólnego działania przeciwko zagrożeniom cybernetycznym. Współpraca ta ma na celu zwiększenie skuteczności działań i ochronę przed transgranicznymi atakami.

Zmiany w definicji cyberbezpieczeństwa

Jedną z ważnych zmian wprowadzanych przez nowelizację UKSC jest nowa definicja cyberbezpieczeństwa. Jej celem jest dostosowanie terminologii do innych przepisów prawnych, w tym unijnych regulacji. Zgodnie z nową definicją, cyberbezpieczeństwo oznacza działania mające na celu ochronę systemów informacyjnych, użytkowników tych systemów i innych podmiotów przed zagrożeniami związanymi z cyberprzestrzenią. Natomiast pojęcie cyberzagrożeń, które również zostało wprowadzone przez nowelizację, odnosi się do wszelkich potencjalnych okoliczności, zdarzeń lub działań, które mogą spowodować szkodę, zakłócenia lub negatywny wpływ na systemy informacyjne, użytkowników i inne podmioty.

Warto zauważyć, że obecne brzmienie definicji cyberbezpieczeństwa w nowelizacji UKSC nie jest w pełni dostosowane do terminologii używanej w innych unijnych aktach prawnych, takich jak rozporządzenie DORA czy dyrektywa NIS 2. W ramach nowelizacji UKSC przewiduje się również utworzenie krajowego systemu certyfikacji cyberbezpieczeństwa. Będzie to program mający na celu ocenę i certyfikację produktów, usług i procesów związanych z cyberbezpieczeństwem. Certyfikacja ta ma na celu zapewnienie wysokiego poziomu bezpieczeństwa i ochrony danych.

Przepisy wynikające z nowelizacji UKCS mają wejść po upływie 6 miesięcy od dnia ogłoszenia. To oznacza, że musi upłynąć pewien okres po opublikowaniu zmian, zanim zaczną one obowiązywać. Czas oczekiwania na wejście w życie ustawy został jednak niedawno wydłużony. Wcześniej proponowano okres 30 dni, ale teraz zdecydowano się na 6 miesięcy. Ta zmiana ma na celu dostosowanie nowelizacji UKSC do innych aktów prawnych, takich jak PKE.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności