W ubiegłym tygodniu do Sejmu trafił projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), który wdraża w Polsce dyrektywę NIS 2. Projekt zakłada, że firmy z sektorów kluczowych i ważnych (czyli m.in. energii, zdrowia, bankowości, produkcji, zaopatrzenia w wodę), będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem. Obowiązkowe będzie m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych - red.) oraz regularnie ocenianie ryzyka wystąpienia incydentów.
Potężne kary finansowe
Projekt zakłada, że firmom z sektorów objętych KSC za niewykonanie obowiązków będą grozić kary finansowe. W przypadkach, gdy podmiot kluczowy lub ważny będzie naruszać przepisy i jednocześnie stwarzać poważane zagrożenie m.in. dla obronności czy życia ludzi, kara może wynieść nawet 100 mln zł. To maksymalny limit przewidziany w projekcie w takich przypadkach.
- Kary przewidziane w nowelizacji są elementami wymuszania tego, żeby firmy, instytucje publiczne, państwo i obywatele traktowali cyberbezpieczeństwo bardzo poważnie - podkreślił wicepremier i szef Ministerstwa Cyfryzacji.
- Wysokie kary są dla tych, którzy nie stosują przepisów i mogą stworzyć poważne zagrożenie dla bezpieczeństwa. Jak nikt nie będzie łamał prawa, żadnych kar nie będzie - dodał.
Zapewnił, że "państwo nie będzie nadmiernie karało" przedsiębiorców.
Wicepremier: przepisy mają zapewnić bezpieczeństwo
Jak zaznaczył, nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma zapewniać bezpieczeństwo w przypadku sytuacji krytycznych w cyberprzestrzeni. - Ma dawać gwarancję, że wojna hybrydowa z Rosją, czy z innymi państwami będzie wygrana; że nie zabraknie prądu w gniazdku czy wody w kranie obywateli. Ma dawać bezpieczeństwo firmom i instytucjom publicznym - podkreślił.
Nowelizacja ustawy o KSC ma wdrażać w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na "podmioty kluczowe" i "podmioty ważne". Wprowadza także nowe sektory, które są objęte obowiązkami związanymi z cyberbezpieczeństwem. Obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej, w dyrektywie NIS 2 dodano następujące sektory: ścieki, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję i dystrybucję chemikaliów oraz produkcję i dystrybucję żywności.
Za nieprzestrzeganie przepisów na przedsiębiorców z tych sektorów będą nakładane kary: co do zasady na podmioty kluczowe o wysokości minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł); a na podmioty ważne - min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł). Kara może też wynieść 2 proc. przychodów przedsiębiorcy osiągniętych w poprzednim roku obrotowym - w przypadku podmiotów kluczowych; a w przypadku podmiotów ważnych - 1,4 proc. przychodów.
Niezależnie od limitów, za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.
Natomiast kara do 100 mln zł dotyczyć będzie sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
Resort cyfryzacji: kary powinny być odpowiednio wysokie
W uzasadnieniu projektu noweli resort cyfryzacji podkreślił, że jeśli naruszenie przepisów wiąże się z poważnymi konsekwencjami dla państwa i jego obywateli, kary powinny być "odpowiednio wysokie". Ma to na celu odstraszenie danej firmy od kolejnych naruszeń. Jak zaznaczyło MC, jest to istotne, ponieważ obecnie w Polsce obwiązuje drugi stopień alarmowy (BRAVO-CRP), który jest wprowadzany, gdy istnieje realne prawdopodobieństwo wystąpienia zdarzenia o charakterze terrorystycznym w cyberprzestrzeni, jednak konkretny cel ataku nie został zidentyfikowany.
Obecna wersja ustawy o KSC pochodzi z 2018 roku i nie ma w niej przepisów implementujących unijną dyrektywę NIS 2. Termin jej wdrożenia do krajowego porządku prawnego upłynął 18 października 2024 r.
Autorka/Autor: mp/kab
Źródło: PAP
Źródło zdjęcia głównego: Marian Zubrzycki/PAP