Implementacja Dyrektywy NIS2. Rząd rozpoczyna prace nad projektem ustawy
17 października 2024 r. upływa termin na wdrożenie unijnych przepisów tzw. Dyrektywy NIS2 dotyczącej zasad cyberbezpieczeństwa w organizacji. 10 kwietnia w wykazie prac legislacyjnych Kancelarii Prezesa Rady Ministrów pojawiła się informacja o przygotowaniu projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.
Czego dotyczy Dyrektywa NIS 2?
NIS2 to nowelizacja dyrektywy NIS, pierwszego europejskiego aktu w zakresie cyberbezpieczeństwa. Nowe przepisy precyzują i rozszerzają regulacje zwiększające bezpieczeństwo sieci i systemów informatycznych. Zmieniają zarówno podmiotowy (dzieląc podmioty obowiązane na kluczowe i ważne), jak i przedmiotowy zakres zastosowania (nowe obowiązki w zakresie podniesienia standardu bezpieczeństwa i raportowania incydentów).
Najważniejsze zmiany
Kluczowe zmiany, jakie przewiduje nowelizacja to:
- rozszerzenie katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki
- nałożenie obowiązków w zakresie zarządzania ryzykiem na podmioty kluczowe i ważne w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2
- nałożenie obowiązków w zakresie zarządzania ryzykiem w cyberbezpieczeństwie
- wprowadzenie możliwości zgłaszania incydentów przez podmioty kluczowe i ważne, za pomocą ministerialnego systemu teleinformatycznego, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego
- utworzeniu zespołów CSIRT sektorowych, wspierających podmioty kluczowe i ważne w obsłudze incydentów cyberbezpieczeństwa
- wzmocnienie kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa
- wprowadzenie nowych administracyjnych kar pieniężnych za niewykonanie obowiązków
- wprowadzeniu Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę.
Nowelizacja ma służyć realizacji celów Strategii Cyberbezpieczeństwa RP na lata 2019–2024. Są nimi:
- podniesienie poziomu odporności na cyberzagrożenia
- podniesienie poziomu ochrony informacji w sektorach: publicznym, militarnym i prywatnym.
Jednocześnie wprowadzenie w życie zmian w przepisach ustawy o krajowym systemie cyberbezpieczeństwa realizować ma kamień milowy reformy Krajowego Planu Odbudowy i Zwiększania Odporności.
Planowany termin przyjęcia projektu przez Radę Ministrów to III kwartał 2024 r.