24 kwietnia 2024 r. Ministerstwo Cyfryzacji opublikowało projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa[1] – czyli ustawy, która ma wdrożyć unijną dyrektywę NIS 2. Warto jednak zauważyć, iż w wielu aspektach polski projekt odbiega od zasad wynikających z dyrektywy NIS 2.
Mimo iż projekt nowelizacji stosunkowo wiernie oddaje treść i zasady wynikające z dyrektywy NIS 2, polski ustawodawca wprowadził do niego pewne rozbieżności w stosunku do tekstu dyrektywy (w tym nowe, autonomiczne rozwiązania). Poniżej przedstawiamy pięć najważniejszych różnic.
1. Rozszerzenie zakresu podmiotowego.
Projekt nowelizacji rozszerza zakres podmiotowy regulacji, klasyfikując wszystkich dostawców usług zarządzanych w zakresie cyberbezpieczeństwa (niezależnie od ich wielkości) jako podmioty kluczowe. Projekt nowelizacji włącza również do grona podmiotów kluczowych podmioty wskazane w załączniku nr 2 do ustawy, które przewyższają wymogi dla średniego przedsiębiorstwa, a także „przenosi” niektóre sektory ważne do sektorów kluczowych – np. sektor produkcji.
2. Wprowadzenie obowiązku rejestracji.
Projekt nowelizacji nakłada na podmioty najważniejsze i ważne obowiązek złożenia wniosku o wpis do adekwatnego wykazu. Podmioty najważniejsze i ważne będą miały 2 miesiące na złożenie wniosku, a jego niezłożenie może skutkować nałożeniem kary pieniężnej na taki podmiot.
3. Rozszerzenie uprawnień CSIRT.
Projekt nowelizacji przyznaje adekwatnym CSIRT[2] uprawnienie do badania produktów, usług i procesów ICT w celu identyfikacji podatności. W tym celu CSIRT będą uprawnione do stosowania technik, które mają na celu m.in. odtworzenie postaci źródłowej oprogramowania, zwielokrotnienie kodu programowego czy tłumaczenie jego formy. Jednocześnie CSIRT nie będą związane postanowieniami umów (w szczególności umów licencyjnych) badanych produktów, usług lub procesów ICT, a przeprowadzenie badania nie będzie wymagało zgody licencjodawcy lub dysponenta produktu, usługi lub procesu ICT.
4. Wprowadzenie pojęcia dostawcy wysokiego ryzyka.
Projekt nowelizacji wprowadza możliwość uznania dostawcy sprzętu lub systemu za dostawcę wysokiego ryzyka, o ile będzie on stanowił poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi. W konsekwencji podmioty najważniejsze i ważne nie będą mogły wprowadzać do użytkowania produktów, usług i procesów ICT pochodzących od takich dostawców, a te już wprowadzone będą musiały zostać wycofane.
5. Wprowadzenie kary pieniężnej w wysokości do 100 mln zł.
Projekt nowelizacji wprowadza możliwość nałożenia kary pieniężnej w wysokości choćby 100 mln zł na podmiot najważniejszy lub ważny, który powoduje:
- bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi;
- zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
Należy jednak pamiętać, iż wciąż mamy do czynienia z projektem nowelizacji, dlatego opisane rozwiązania mogą ulec zmianie w toku dalszych prac legislacyjnych. Jest to możliwe, ponieważ rozbieżności te zostały zasygnalizowane Ministerstwu Cyfryzacji w trakcie trwających w tej chwili konsultacji publicznych.
[1] Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (dostępny tutaj: https://legislacja.gov.pl/projekt/12384504/katalog/13055207)
[2] Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego