CyberSecUpdate #7: Implementacja NIS2 uchwalona przez Sejm!
Po wielu trudach i wersjach (w tym co najmniej kilku oznaczonych jako „ostateczne”), Sejm uchwalił projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (tzw. #uksc2/ #ksc2) implementującej w Polsce postanowienia Dyrektywy #NIS2.
Najwyższy czas, gdyż termin na implementację dla państw członkowskich UE minął 17 października 2024 roku. Za projektem głosowało 407 posłanek i posłów, przeciwko było jedynie 10. Jeżeli chodzi o dalsze losy ustawy, to na pewno dobry znakiem byłoby gdyby dalej pozostawała ona poza sporem politycznym.
Nowelizacja jest tak obszerna i głęboka, że aż zainspirowało nas to w KWKR do uruchomienia cyklu #RozpracowujemyNIS2, ale spróbujmy krótko podsumować najważniejsze zmiany:
– rozszerzenie podmiotów objętych regulacjami – według szacunków rządowych takich podmiotów może być ok. 30 000, z rożnych branż uznanych za kluczowe (np. energetyka, transport, finanse, usługi zarządzane ICT, cyberbezpieczeństwo, infrastruktura cyfrowa, sektor publiczny, ochrona zdrowia, farmacja itp.) lub ważne (produkcja żywności, produkcja elektroniki, pojazdów mechanicznych, zaopatrzenie w wodę, gospodarowanie odpadami, usługi cyfrowe i in.);
– wdrożenie środków organizacyjnych i technicznych składających się na system zarządzania bezpieczeństwem informacji (SZBI/ ISMS), w tym polityki bezpieczeństwa informacji i polityk tematycznych (np. kontroli dostępu, szyfrowania, tworzenia backupów, zarządzania zmianami i in.), planów ciągłości działania i odtworzenia w razie katastrofy (disaster recovery plan);
– regularne, okresowe audyty bezpieczeństwa IT i szkolenia dla personelu oraz dla kierownictwa;
– zapewnienie bezpieczeństwa także w ramach łańcucha dostaw;
– wyciągnięcie odpowiedzialności za cyberbezpieczeństwo z działów IT/ cybersecurity i złożenie jej nieodwołalnie na barkach kierownictwa organizacji (zarządu spółki);
– nowe uprawnienia i obowiązki instytucji odpowiedzialnych za cyberbezpieczeństwo (np. w zakresie nakładania kar przez organy nadzoru), nowe zasady zgłaszania incydentów bezpieczeństwa;
– wprowadzenie procedury uznania za dostawcę wysokiego ryzyka.
Ustawa trafi teraz do Senatu, który ma 30 dni na to, aby przyjąć ją bez zmian, wprowadzić poprawki lub odrzucić w całości. Odrzucenie ustawy lub wprowadzenie do niej poprawek przez Senat będzie oznaczało konieczność przeprowadzenia kolejnego głosowania w Sejmie, który może odrzucić poprawki lub weto senackie bezwzględną większością głosów. Po zakończeniu prac parlamentarnych projekt zostanie przekazany do podpisu Prezydentowi RP, który może go zawetować (odrzucenie weta przez Sejm wymaga większości 3/5 głosów), skierować do kontroli pod kątem zgodności z Konstytucją do Trybunału Konstytucyjnego lub podpisać. Po podpisaniu przez prezydenta ustawa podlega opublikowaniu w Dzienniku Ustaw. UKSC2 wejdzie w życie po miesiącu od dnia publikacji, a przez dalsze sześć miesięcy podmioty kluczowe i ważne będą miały czas na dostosowanie się do nowych zasad.
Czasu nie jest więc wiele, warto pomyśleć o tym już teraz.
