Projekt ustawy implementującej NIS 2
24 kwietnia 2024 r. na stronach Ministerstwa Cyfryzacji pojawił się projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa. Jej celem jest implementacja Dyrektywy NIS2 do polskiego porządku prawnego. Przypomnijmy – UE wyznaczyła termin na wdrożenie do 17 października 2024 r. Dodatkowo, przepisy mają wzmocnić ochronę obywateli i instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni.
Co zakłada projekt?
Projekt, w miejsce wyłącznie operatorów usług kluczowych, zakłada podział podmiotów obowiązanych do stosowania przepisów na:
a) kluczowe – będą nimi w szczególności: podmioty wskazane wprost w załączniku do ustawy, przedsiębiorcy komunikacji elektronicznej, dostawcy usług DNS, usług zarządzanych w zakresie cyberbezpieczeństwa.
To m.in.:
- przewoźnicy kolejowi;
- banki, instytucje kredytowe;
- podmioty lecznicze;
- podmioty produkujące podstawowe substancje farmaceutyczne i leki oraz hurtownie farmaceutyczne i apteki;
- przedsiębiorstwa wodociągowo-kanalizacyjne;
- hurtownie sprzedaży wody;
- dostawcy punktu wymiany ruchu internetowego;
- rejestry nazw domen najwyższego poziomu (TLD);
- dostawcy usług chmurowych, usług ośrodka przetwarzania danych;
- dostawcy sieci dostarczania treści;
- podmioty świadczące usługi rejestracji nazw domen;
- instytuty badawcze;
- spółki wykonujące zadania o charakterze użyteczności publicznej w rozumieniu przepisów o gospodarce komunalnej;
- przedsiębiorstwa spożywcze; podmioty produkujące wyroby medyczne.
b) ważne – będą nimi w szczególności: podmioty wskazane wprost w załączniku do ustawy, mikro-, lub mały przedsiębiorca komunikacji elektronicznej, mikro-, lub mały niekwalifikowany dostawca usług zaufania.
To m.in.:
- przedsiębiorstwa świadczące usługi zbierania, transportu lub przetwarzania odpadów;
- dostawcy internetowych platform handlowych lub wyszukiwarek internetowych;
- dostawcy platform sieci usług społecznościowych;
- organizacje badawcze.
Co ważne – w przeciwieństwie do aktualnego stanu prawnego (operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej), wprowadzono jako podstawy mechanizm samoidentyfikacji – podmioty kluczowe i ważne będą musiały zarejestrować się w nowym systemie – np. poprzez stronę internetową. Odpowiedni wniosek trzeba będzie złożyć w ciągu 2 miesięcy od dnia spełnienia wymogów opisanych w przepisach.
Nowe obowiązki
Projekt zakłada szczegółowe obowiązki podmiotów kluczowych i ważnych. Najważniejsze z nich to:
- podejście oparte na ryzyku;
- nowe zasady zgłaszania incydentów do jednostek CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego);
- obowiązek przeprowadzania audytów bezpieczeństwa co 2 lata;
- obowiązek korzystania przez podmioty kluczowe i ważne z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach;
- realizacja generalnych poleceń zabezpieczających Ministra Cyfryzacji – nowej instytucji, która ma stanowić reakcję na incydent krytyczny i być adresowana do konkretnych grup adresatów.
Nowe sektory objęte NIS2
Nowe sektory jakie zostaną objęte zakresem ustawy to:
- ścieki;
- zarządzanie usługami ICT;
- przestrzeń kosmiczna;
- usługi pocztowe;
- gospodarowanie odpadami;
- produkcja, wytwarzanie i dystrybucja chemikaliów;
- produkcja, przetwarzanie i dystrybucja żywności;
- produkcja;
- badania naukowe.
Ważne terminy
Zgodnie z założeniem projektu, nowe przepisy mają wejść w życie w ciągu 1 miesiąca od dnia ogłoszenia ustawy w Dzienniku Ustaw. W ciągu miesiąca od wejścia w życie przepisów Minister Cyfryzacji uruchomić ma wykaz podmiotów kluczowych i podmiotów ważnych.
Natomiast:
- nowe podmioty kluczowe i ważne będą miały obowiązek rozpocząć realizację obowiązków wynikających z ustawy w ciągu 6 miesięcy od dnia spełnienia przesłanek do uznania ich odpowiednio za podmiot kluczowy lub podmiot ważny;
- podmioty, które z dniem wejścia w życie ustawy, spełniać będą już przesłanki uznania ich za podmiot kluczowy albo ważny, będą musiały wdrożyć nowe obowiązki w ciągu 6 miesięcy od dnia wejścia w życie przepisów i zarejestrować się w wykazie podmiotów kluczowych i podmiotów ważnych, zgodnie z harmonogramem określonym przepisami.