Projekt ustawy dotyczącej zmian w krajowym systemie cyberbezpieczeństwa oraz innych aktach prawnych trafił do Sejmu dnia 3 lipca 2023 roku. Po niemal 33 miesiącach prac nad nowymi przepisami, proces uchwalania nowelizacji napotkał na kolejne przeszkody. Obecnie prace nad nią zostały odroczone, ponieważ projekt został skierowany do wysłuchania publicznego, które zaplanowane jest na 11 września 2023 roku.

Nowa definicja cyberbezpieczeństwa

Jedną z głównych zmian, wprowadzonych przez nowelizację, jest nowa definicja cyberbezpieczeństwa. Ta zmiana ma na celu zapewnienie spójności terminologii z innymi aktami prawnymi, w szczególności z regulacjami unijnymi. Takowa definicja odpowiada tej zawartej w unijnym Akcie o cyberbezpieczeństwie.

W obecnym brzmieniu definicji cyberbezpieczeństwa, zawartym w projekcie nowelizacji, pojawiła się także definicja bezpieczeństwa systemów informacyjnych. Niestety, ta definicja nie jest w pełni dostosowana do terminologii używanej w innych unijnych aktach prawnych, takich jak rozporządzenie DORA czy dyrektywa NIS 2.

Nowy katalog podmiotów podlejących UKSC

Nowelizacja UKSC przewiduje również rozszerzenie zakresu podmiotów podlegających przepisom dotyczącym krajowego systemu cyberbezpieczeństwa oraz nałożenie na nie nowych obowiązków. Obecnie, największą grupę podmiotów objętych tymi obowiązkami stanowią operatorzy usług kluczowych, dostawcy usług cyfrowych oraz podmioty publiczne. Jednak dzięki nowelizacji, do tego grona mogą dołączyć przedsiębiorcy komunikacji elektronicznej, tacy jak przedsiębiorcy telekomunikacyjni oraz podmioty świadczące publicznie dostępną usługę komunikacji interpersonalnej bez wykorzystania numerów.

Projekt nowelizacji UKSC proponuje również, że przedsiębiorcy komunikacji elektronicznej zostaną zobowiązani do systematycznego szacowania ryzyka wystąpienia sytuacji szczególnego zagrożenia oraz podejmowania odpowiednich środków technicznych i organizacyjnych, które zapewnią poufność, integralność, dostępność i autentyczność przetwarzanych danych. Ponadto, będą musieli zapewnić odpowiedni poziom bezpieczeństwa zgodnie z zidentyfikowanym ryzykiem.

Nowa wersja przepisów wprowadza również obowiązek dokumentowania działań związanych z cyberbezpieczeństwem oraz obsługi incydentów bezpieczeństwa, w tym zgłaszania incydentów i współpracy z odpowiednimi organami ds. cyberbezpieczeństwa.

Zwiększone sankcje

Nowelizacja przewiduje surowe sankcje finansowe za niewywiązanie się z tych obowiązków przez przedsiębiorców komunikacji elektronicznej. Mogą one wynosić nawet do 3% rocznego przychodu osiągniętego przez ukaraną jednostkę w poprzednim roku kalendarzowym. Osoba kierująca podmiotem naruszającym obowiązki określone w UKSC może również być ukarana karą pieniężną w wysokości do 300% jej miesięcznego wynagrodzenia, obliczanego jak dla celów ekwiwalentu za urlop wypoczynkowy.

Wraz z wejściem w życie nowelizacji, do krajowego systemu cyberbezpieczeństwa zostaną również włączone inne podmioty publiczne, takie jak uczelnie, Urząd Komisji Nadzoru Finansowego, Państwowe Gospodarstwo Wodne Wody Polskie, oraz instytucje rozwoju, takie jak Polski Fundusz Rozwoju czy Polska Agencja Rozwoju Przedsiębiorczości.

Zespoły CSIRT INT oraz CSIRT Telco i SOC

Nowelizacja przewiduje również utworzenie dwóch nowych zespołów reagowania na incydenty bezpieczeństwa komputerowego - CSIRT INT oraz CSIRT Telco. CSIRT INT będzie działać na rzecz jednostek organizacyjnych podległych ministrowi ds. zagranicznych oraz Agencji Wywiadu, natomiast CSIRT Telco zostanie powołany na potrzeby przedsiębiorców komunikacji elektronicznej.

Kolejną istotną zmianą, wprowadzoną w ramach nowelizacji, jest utworzenie instytucji SOC (operacyjne centrum bezpieczeństwa). SOC ma na celu objęcie aktualnych struktur cyberbezpieczeństwa u operatorów usług kluczowych. Będą to zespoły specjalistów ds. cyberbezpieczeństwa, które będą odpowiedzialne za monitorowanie i zarządzanie cyberbezpieczeństwem u operatorów usług kluczowych oraz, opcjonalnie, dla innych podmiotów.

Nowelizacja UKSC zakłada również utworzenie krajowego systemu certyfikacji cyberbezpieczeństwa, w ramach którego zostanie opracowany krajowy program certyfikacji cyberbezpieczeństwa. Programy certyfikacji będą dedykowane dla różnych produktów, usług i procesów ICT, z uwzględnieniem ich specyfiki.

Nowelizacja wejdzie w życie po upływie 6 miesięcy od dnia ogłoszenia. To jest wydłużony termin vacatio legis, wcześniej proponowano 30 dni. Zmiana ta ma na celu uspójnienie nowelizacji UKSC z przepisami dotyczącymi Powszechnej Karty Praw Obywatelskich (PKE).

W przypadku pytań pozostajemy do Państwa dyspozycji. W ramach naszych praktyk zajmujemy się prawem nowych technologii, w tym dotyczącym cyberbezpieczeństwa. Więcej na temat cyberbezpieczeństwa i nowelizacji mogą Państwo znaleźć w naszym poprzednim artykule.