Projekt ustawy implementującej NIS 2

24 kwietnia 2024 r. na stronach Ministerstwa Cyfryzacji pojawił się projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa. Jej celem jest implementacja Dyrektywy NIS2 do polskiego porządku prawnego. Przypomnijmy – UE wyznaczyła termin na wdrożenie do 17 października 2024 r. Dodatkowo, przepisy mają wzmocnić ochronę obywateli i instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni.

 

Co zakłada projekt?

Projekt, w miejsce wyłącznie operatorów usług kluczowych, zakłada podział podmiotów obowiązanych do stosowania przepisów na:

a) kluczowe – będą nimi w szczególności: podmioty wskazane wprost w załączniku do ustawy, przedsiębiorcy komunikacji elektronicznej, dostawcy usług DNS, usług zarządzanych w zakresie cyberbezpieczeństwa.

To m.in.:

  • przewoźnicy kolejowi;
  • banki, instytucje kredytowe;
  • podmioty lecznicze;
  • podmioty produkujące podstawowe substancje farmaceutyczne i leki oraz hurtownie farmaceutyczne i apteki;
  • przedsiębiorstwa wodociągowo-kanalizacyjne;
  • hurtownie sprzedaży wody;
  • dostawcy punktu wymiany ruchu internetowego;
  • rejestry nazw domen najwyższego poziomu (TLD);
  • dostawcy usług chmurowych, usług ośrodka przetwarzania danych;
  • dostawcy sieci dostarczania treści;
  • podmioty świadczące usługi rejestracji nazw domen;
  • instytuty badawcze;
  • spółki wykonujące zadania o charakterze użyteczności publicznej w rozumieniu przepisów o gospodarce komunalnej;
  • przedsiębiorstwa spożywcze; podmioty produkujące wyroby medyczne.

b) ważne – będą nimi w szczególności: podmioty wskazane wprost w załączniku do ustawy, mikro-, lub mały przedsiębiorca komunikacji elektronicznej, mikro-, lub mały niekwalifikowany dostawca usług zaufania.

To m.in.:

  • przedsiębiorstwa świadczące usługi zbierania, transportu lub przetwarzania odpadów;
  • dostawcy internetowych platform handlowych lub wyszukiwarek internetowych;
  • dostawcy platform sieci usług społecznościowych;
  • organizacje badawcze.

Co ważne – w przeciwieństwie do aktualnego stanu prawnego (operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej), wprowadzono jako podstawy mechanizm samoidentyfikacji – podmioty kluczowe i ważne będą musiały zarejestrować się w nowym systemie – np. poprzez stronę internetową. Odpowiedni wniosek trzeba będzie złożyć w ciągu 2 miesięcy od dnia spełnienia wymogów opisanych w przepisach.

Nowe obowiązki

Projekt zakłada szczegółowe obowiązki podmiotów kluczowych i ważnych. Najważniejsze z nich to:

  • podejście oparte na ryzyku;
  • nowe zasady zgłaszania incydentów do jednostek CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego);
  • obowiązek przeprowadzania audytów bezpieczeństwa co 2 lata;
  • obowiązek korzystania przez podmioty kluczowe i ważne z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach;
  • realizacja generalnych poleceń zabezpieczających Ministra Cyfryzacji – nowej instytucji, która ma stanowić reakcję na incydent krytyczny i być adresowana do konkretnych grup adresatów.

Nowe sektory objęte NIS2

Nowe sektory jakie zostaną objęte zakresem ustawy to:

  • ścieki;
  • zarządzanie usługami ICT;
  • przestrzeń kosmiczna;
  • usługi pocztowe;
  • gospodarowanie odpadami;
  • produkcja, wytwarzanie i dystrybucja chemikaliów;
  • produkcja, przetwarzanie i dystrybucja żywności;
  • produkcja;
  • badania naukowe.

Ważne terminy

Zgodnie z założeniem projektu, nowe przepisy mają wejść w życie w ciągu 1 miesiąca od dnia ogłoszenia ustawy w Dzienniku Ustaw. W ciągu miesiąca od wejścia w życie przepisów Minister Cyfryzacji uruchomić ma wykaz podmiotów kluczowych i podmiotów ważnych.

Natomiast:

  • nowe podmioty kluczowe i ważne będą miały obowiązek rozpocząć realizację obowiązków wynikających z ustawy w ciągu 6 miesięcy od dnia spełnienia przesłanek do uznania ich odpowiednio za podmiot kluczowy lub podmiot ważny;
  • podmioty, które z dniem wejścia w życie ustawy, spełniać będą już przesłanki uznania ich za podmiot kluczowy albo ważny, będą musiały wdrożyć nowe obowiązki w ciągu 6 miesięcy od dnia wejścia w życie przepisów i zarejestrować się w wykazie podmiotów kluczowych i podmiotów ważnych, zgodnie z harmonogramem określonym przepisami.