Projekt ustawy implementującej NIS 2

24 kwietnia 2024 r. na stronach Ministerstwa Cyfryzacji pojawił się projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa. Jej celem jest implementacja Dyrektywy NIS2 do polskiego porządku prawnego. Przypomnijmy – UE wyznaczyła termin na wdrożenie do 17 października 2024 r. Dodatkowo, przepisy mają wzmocnić ochronę obywateli i instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni.

Co zakłada projekt?

Projekt, w miejsce wyłącznie operatorów usług kluczowych, zakłada podział podmiotów obowiązanych do stosowania przepisów na:

a) kluczowe – będą nimi w szczególności: podmioty wskazane wprost w załączniku do ustawy, przedsiębiorcy komunikacji elektronicznej, dostawcy usług DNS, usług zarządzanych w zakresie cyberbezpieczeństwa.

To m.in.:

• przewoźnicy kolejowi;
• banki, instytucje kredytowe;
• podmioty lecznicze;
• podmioty produkujące podstawowe substancje farmaceutyczne i leki oraz hurtownie farmaceutyczne i apteki;
• przedsiębiorstwa wodociągowo-kanalizacyjne;
• hurtownie sprzedaży wody;
• dostawcy punktu wymiany ruchu internetowego;
• rejestry nazw domen najwyższego poziomu (TLD);
• dostawcy usług chmurowych, usług ośrodka przetwarzania danych;
• dostawcy sieci dostarczania treści;
• podmioty świadczące usługi rejestracji nazw domen;
• instytuty badawcze;
• spółki wykonujące zadania o charakterze użyteczności publicznej w rozumieniu przepisów o gospodarce komunalnej;
• przedsiębiorstwa spożywcze; podmioty produkujące wyroby medyczne.

b) ważne – będą nimi w szczególności: podmioty wskazane wprost w załączniku do ustawy, mikro-, lub mały przedsiębiorca komunikacji elektronicznej, mikro-, lub mały niekwalifikowany dostawca usług zaufania.

To m.in.:

• przedsiębiorstwa świadczące usługi zbierania, transportu lub przetwarzania odpadów;
• dostawcy internetowych platform handlowych lub wyszukiwarek internetowych;
• dostawcy platform sieci usług społecznościowych;
• organizacje badawcze.

Co ważne – w przeciwieństwie do aktualnego stanu prawnego (operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej), wprowadzono jako podstawy mechanizm samoidentyfikacji – podmioty kluczowe i ważne będą musiały zarejestrować się w nowym systemie – np. poprzez stronę internetową. Odpowiedni wniosek trzeba będzie złożyć w ciągu 2 miesięcy od dnia spełnienia wymogów opisanych w przepisach.

Nowe obowiązki

Projekt zakłada szczegółowe obowiązki podmiotów kluczowych i ważnych. Najważniejsze z nich to:

• podejście oparte na ryzyku;
• nowe zasady zgłaszania incydentów do jednostek CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego);
• obowiązek przeprowadzania audytów bezpieczeństwa co 2 lata;
• obowiązek korzystania przez podmioty kluczowe i ważne z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach;
• realizacja generalnych poleceń zabezpieczających Ministra Cyfryzacji – nowej instytucji, która ma stanowić reakcję na incydent krytyczny i być adresowana do konkretnych grup adresatów.

Nowe sektory objęte NIS2

Nowe sektory jakie zostaną objęte zakresem ustawy to:

• ścieki;
• zarządzanie usługami ICT;
• przestrzeń kosmiczna;
• usługi pocztowe;
• gospodarowanie odpadami;
• produkcja, wytwarzanie i dystrybucja chemikaliów;
• produkcja, przetwarzanie i dystrybucja żywności;
• produkcja;
• badania naukowe.

Ważne terminy

Zgodnie z założeniem projektu, nowe przepisy mają wejść w życie w ciągu 1 miesiąca od dnia ogłoszenia ustawy w Dzienniku Ustaw. W ciągu miesiąca od wejścia w życie przepisów Minister Cyfryzacji uruchomić ma wykaz podmiotów kluczowych i podmiotów ważnych.

Natomiast:

• nowe podmioty kluczowe i ważne będą miały obowiązek rozpocząć realizację obowiązków wynikających z ustawy w ciągu 6 miesięcy od dnia spełnienia przesłanek do uznania ich odpowiednio za podmiot kluczowy lub podmiot ważny;
• podmioty, które z dniem wejścia w życie ustawy, spełniać będą już przesłanki uznania ich za podmiot kluczowy albo ważny, będą musiały wdrożyć nowe obowiązki w ciągu 6 miesięcy od dnia wejścia w życie przepisów i zarejestrować się w wykazie podmiotów kluczowych i podmiotów ważnych, zgodnie z harmonogramem określonym przepisami.