Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw Kancelaria Prezesa Rady Ministrów Portal Gov pl

Obiekt obsługuje międzynarodowe połączenia wykonywane przez 10 regularnych linii lotniczych. W okresie letnim oferuje podróżnym szereg dodatkowych połączeń czarterowych. Do portu można szybko dojechać samochodem prywatnym, a zapewniony przez lotnisko parking Wrocław spełnia potrzebny wszystkich podróżnych.

DL Invest Group i Boosteroid wspólnie zbudują europejską sieć centrów danych

Przedsiębiorców telekomunikacyjnych, podmiotów krytycznych, dostawców usług zaufania czy podmiotów publicznych. Dane wykorzystane w tym celu będą pochodzić  z rejestrów publicznych. Co ważne, dostawca, który nie zgadza się z decyzją, będzie mógł złożyć skargę do sądu administracyjnego. Za brak wdrożenia systemu zarządzania bezpieczeństwem informacji lub niezarejestrowanie się w wykazie podmiotów kluczowych i ważnych. Pozostałe zmiany wprowadzone w czwartej wersji projektu nowelizacji mają charakter bardziej kosmetyczny i nie wpływają w Richard Dennis – Znani handlowcy znaczący sposób na prawa lub obowiązki podmiotów kluczowych i ważnych. Po wejściu w życie nowych przepisów, podmiot kluczowy lub ważny będzie zobowiązany do wdrożenia systemu zarządzania bezpieczeństwem informacji w odniesieniu do systemów informatycznych wykorzystywanych w procesach mających wpływ na świadczenie jego usług.

Wyłączenie niektórych przepisów procedury administracyjnej

Wydaje się, że tak szerokie rozumienie tego pojęcia nie jest uzasadnione. Świadczenie usług doradczych w zakresie cyberbezpieczeństwa należy oddzielić od świadczenia usług prawnych, a poza tym nie powinno ono obejmować incydentalnego przekazywania pewnych wskazówek czy rekomendacji. Wydaje się, iż tak szerokie rozumienie tego pojęcia nie jest uzasadnione.

Zaangażowanie zewnętrznych ekspertów i doradców w proces oceny podlegania pod przepisy UKSC pozwala na zmniejszenie ryzyka niezakwalifikowania organizacji. Umożliwi to ich identyfikację oraz aktywne wsparcie przez zespoły CSIRT sektorowe i zespoły CSIRT poziomu krajowego, a także zapewni wykonywanie czynności nadzorczych przez organy właściwe do spraw cyberbezpieczeństwa. Takie działanie umożliwi także przekazywanie danych o liczbie tych podmiotów do Komisji Europejskiej i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa. Nowelizacja – jak już wspomniano wcześniej – wprowadza nową klasyfikację podmiotów, dzieląc je na kluczowe i ważne. Wprowadzono również nowe obowiązki rejestracji w wykazie prowadzonym przez Ministerstwo Cyfryzacji.

Ważną zmianą, którą wprowadził jeszcze poprzedni projekt nowelizacji ustawy o KSC, było częściowe ograniczenie omawianej powyżej zasady uwzględniania danych spółek powiązanych i partnerskich przy ustalaniu wielkości danego podmiotu. Polski ustawodawca postanowił wyłączyć zasadę uwzględniania danych przedsiębiorstw zależnych lub partnerskich, gdy system informacyjny danego podmiotu jest niezależny od systemów informacyjnych tych przedsiębiorstw (art. 5 ust. 6 oraz 7 projektowanej nowelizacji ustawy o KSC). Warto podkreślić, że omawiane ograniczenie jest zgodne z dyrektywą NIS 2 – możliwość wprowadzenia ograniczeń dla podmiotów w grupie kapitałowej została przewidziana w motywie 16 dyrektywy NIS 2. W ramach konsultacji publicznych kwestią jest to, że zakresem definicji dostawców usług zarządzanych (oraz usług zarządzanych cyberbezpieczeństwa) objęte będą podmioty, które świadczą takie usługi wyłącznie na rzecz spółek w grupie kapitałowej. Warto podkreślić, iż omawiane ograniczenie jest zgodne z dyrektywą NIS 2 – możliwość wprowadzenia ograniczeń dla podmiotów w grupie kapitałowej została przewidziana w motywie 16 dyrektywy NIS 2. W ramach konsultacji publicznych kwestią jest to, iż zakresem definicji dostawców usług zarządzanych (oraz usług zarządzanych cyberbezpieczeństwa) objęte będą podmioty, które świadczą takie usługi wyłącznie na rzecz spółek w grupie kapitałowej.

Wprowadzenie nowych obowiązków, rozszerzenie katalogu podmiotów objętych regulacją oraz nacisk na proaktywne działania wymagają od organizacji strategicznego przygotowania. Audyt UKSC stanowi skuteczne narzędzie do oceny gotowości, identyfikacji luk i zaplanowania działań dostosowujących. W obliczu rosnących zagrożeń, odpowiedzialności zarządów i potencjalnych sankcji, warto już teraz podjąć kroki w kierunku zgodności z nowymi przepisami. Wczesne przygotowanie to nie tylko zgodność z prawem, ale także inwestycja w odporność organizacji. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej.

Ustawa o krajowym systemie cyberbezpieczeństwa – kogo dotyczy?

– Przed nami dużo pracy w zakresie współpracy z jednostkami administracji wszystkich szczebli oraz z sektorem prywatnym. Cyberbezpieczeństwo dotyka właściwie każdego elementu funkcjonowania wszystkich dużych usług. Zależy nam na zbudowaniu kompleksowego systemu, który będzie chronił instytucje, firmy oraz przede wszystkim obywateli – dodaje Paweł Olszewski, sekretarz stanu w Ministerstwie Cyfryzacji.

Zmiana zakresu definicji dostawcy usług zarządzanych cyberbezpieczeństwa (art. 2 pkt 4i nowelizowanej ustawy o KSC)

To rozwiązanie ma pozwolić na objęcie obowiązkami wynikającymi z ustawy nawet tych podmiotów, które z jakichś względów nie będą chciały samodzielnie zidentyfikować się jako kluczowe lub ważne. Wpisanie do wykazu w ten sposób jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego. Polska wciąż nie wdrożyła przepisów dyrektywy NIS2, a opóźnienie wynika z szerokiego zakresu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – projekt obejmuje kilkadziesiąt sektorów i wymaga uzgodnień z wieloma resortami.

• Naszym celem jest silna i bezpieczna cyfrowo Polska – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco wzmacnia nasze możliwości obrony.
• Po pierwsze, znacząco zwiększone zostały górne granicy kary możliwej do nałożenia na podmiot kluczowy lub ważny.
• Podobne przepisy wprowadziła już większość państw Unii Europejskiej.
• Jednostki samorządu terytorialnego oraz inne podmioty publiczne będą mogły wspólnie realizować zadania związane z cyberbezpieczeństwem.

Jako postulat de lege ferenda warto zatem zaproponować, żeby w jasny sposób zredagować przepisy i jednoznacznie przesądzić, że podmiotami kluczowymi i podmiotami ważnymi są tylko te podmioty publiczne, które prowadzą system informacyjny w celu realizacji zadania publicznego. Pozwoli 10 pipsy Ver 5 Forex Expert Advisor to uniknąć dalszych wątpliwości co do obowiązków pozostałych podmiotów publicznych. Powyższa wielostopniowa redakcja przepisów i klasyfikacji podmiotowej w zakresie podlegania przez podmioty publiczne pod regulacje nowelizacji UKSC powoduje trudności w klarownej wykładni tych przepisów.

Powinny one zostać poprawione w ramach prac rządowych lub sejmowych. W nowelizacji został dodany zupełnie nowy w stosunku do obowiązującej wersji ustawy rozdział 13a, dotyczący Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę (dalej w tekście jako ,,Krajowy plan”). Podobnie jak w przypadku Strategii Cyberbezpieczeństwa RP, Rada Ministrów przyjmuje ten dokument w drodze uchwały. Jest on opracowywany przez ministra właściwego do spraw informatyzacji we współpracy z Pełnomocnikiem, Rządowym Centrum Bezpieczeństwa oraz innymi ministrami i właściwymi kierownikami urzędów centralnych. Krajowy Plan podlega aktualizacji nie rzadziej niż raz na dwa lata. CSIRT sektorowe otrzymały także ustawowe upoważnienie do prowadzenia audytu bezpieczeństwa systemu informacyjnego w podmiotach kluczowych lub ważnych.

Dyrektywa NIS 2 przekształca dotychczasowe ramy systemu cyberbezpieczeństwa w Unii Europejskiej. Nowe zadania dla państw członkowskich , rozszerza zakres podmiotów objętych obowiązkami z zakresu cyberbezpieczeństwa oraz redefiniuje kompetencje organów UE. Kolejnym krokiem jest wdrożenie dyrektywy do krajowych porządków prawnych – państwa mają na to czas do 17 października 2024 r. Polski projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa ma służyć  realizacji tego  wymogu. W związku z tym, rozszerza on krąg podmiotów objętych przepisami ustawy oraz katalog obowiązków, które powinny one spełniać.

Badanie umożliwia wczesną identyfikację luk w obszarze cyberbezpieczeństwa, ocenę dojrzałości obecnych mechanizmów zarządzania ryzykiem oraz przygotowanie organizacji do wdrożenia nowych obowiązków w sposób uporządkowany i efektywny. Nowelizacja przewiduje również mechanizm samoidentyfikacji – organizacje, które spełniają określone kryteria, są zobowiązane do zgłoszenia się do właściwego organu i poddania się obowiązkom wynikającym z ustawy. W przypadku braku zgłoszenia, a późniejszego stwierdzenia, że podmiot powinien był się zarejestrować, grożą wysokie kary finansowe.

• Polska należy do nielicznych państw UE, które jeszcze go nie implementowały, co może negatywnie wpłynąć na bezpieczeństwo danych obywateli i konkurencyjność polskich firm.
• Kierownik będzie zobowiązany do odbycia szkolenia w tym zakresie, a w razie niewywiązania się z obowiązków – będzie mógł ponieść karę.
• Wysokość kary zależy od charakteru naruszenia, czasu jego trwania oraz możliwości finansowych podmiotu.
• „Odnosząc się do poszczególnych pozycji pozytywnie oceniam pozostawienie bez zmian wydatków planowanych na NASK-PIB, jednak skala redukcji środków przeznaczonych na cyberbezpieczeństwo czy funkcjonowania CSIRT-ów jest sygnałem niepokojącym” – dodaje.

Choć projekt był już gotowy i miał wyjść z rządu do parlamentu, by jeszcze przed końcem roku zostać uchwalonym, niespodziewanie został cofnięty. Ministerstwo Cyfryzacji wskazało, że korekcie miały ulec zasady finansowania nowych obowiązków, jakie na jednostki centralne nakłada znowelizowana KSC. „Faktycznie, wieloletni budżet uległ znaczącej redukcji” – zaalarmował jako pierwszy branżowy serwis Telko.in. Ustawa o Krajowym Systemie Cyberbezpieczeństwa nadal jest na etapie prac legislacyjnych. Jak podkreśla Marcin Wysocki, celem jest wypracowanie kompromisu między bezpieczeństwem państwa a interesami przedsiębiorców. W Ministerstwie Cyfryzacji trwają konsultacje z ekspertami i przedstawicielami rynku, aby zapewnić sprawiedliwe i skuteczne rozwiązania.

W trakcie konsultacji społecznych swoje stanowisko do projektu przedstawiło 215 interesariuszy. Ministerstwo Cyfryzacji uwzględniło około 70% z ich propozycji, które mają usprawnić nadzór i jeszcze bardziej zwiększyć przejrzystość przepisów. Zmiany te zostały wprowadzone Rynek czeka na pauzę Fed na podstawie szczegółowej analizy uwag zebranych od podmiotów publicznych, firm oraz ekspertów rynku. – To milowy krok w zapewnieniu bezpieczeństwa cyfrowego naszego kraju. Nowa ustawa o KSC stworzy ramy prawne, które pozwolą jeszcze lepiej chronić strategiczne sektory przed atakami w sieci, a także wzmocnić mechanizmy nadzoru i kontroli.