10 kwietnia na stronie Kancelarii Prezesa Rady Ministrów, w ramach wykazu prac legislacyjnych, zamieszczona została informacja o przygotowaniu projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.
Zapowiadany projekt ustawy wiąże się oczywiście z niechybnie zbliżającym się terminem implementacji do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. Urz. UE L 333 z 27.12.2022 str. 80), zwanej Dyrektywą NIS 2.
Polski projektodawca zdecydował o implementacji Dyrektywy NIS 2 za sprawą nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Zapowiadany projekt ma polegać w szczególności na:
1) rozszerzeniu katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki;
2) nałożeniu obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe i podmioty ważne w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2;
3) nałożeniu obowiązków z zakresu środków zarządzania ryzykiem w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2;
4) wprowadzeniu możliwości zgłaszania incydentów przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego;
5) utworzeniu zespołów CSIRT sektorowych, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa;
6) wzmocnieniu kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa;
7) wprowadzeniu nowych administracyjnych kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe i podmioty ważne;
8) wprowadzeniu Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;
9) rozszerzeniu kompetencji ministra właściwego do spraw informatyzacji (organ ten będzie mógł dokonać, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka, będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego).
Przypominamy, że zgodnie z przepisami Dyrektywy NIS 2, państwa członkowskie powinny stosować przepisy niezbędne do wykonania Dyrektywy począwszy od 18 października 2024 r.
Serdecznie zachęcamy do śledzenia dalszych informacji na temat postępów we wdrożeniu Dyrektywy NIS 2 na łamach publikacji Kancelarii KWKR oraz prowadzonych konferencji i warsztatów z udziałem naszych specjalistów.