Ustawa o Krajowym Systemie Cyberbezpieczeństwa weszła w życie w sierpniu 2018 roku i została sformułowana na podstawie dyrektywy NIS (Network and Information Systems), którą dwa lata wcześniej uchwalił Parlament Unii Europejskiej. Dyrektywa NIS była pierwszym europejskim prawem regulującym kwestie cyberbezpieczeństwa w krajach członkowskich UE. Składała się z trzech filarów, pośród których, obok obowiązku współpracy pomiędzy członkami wspólnoty i przekazywania sobie informacji, znalazły się także:

 

• konieczność stworzenia krajowych instytucji sprawujących kontrolę nad bezpieczeństwem firmy,

 

• zalecenia dotyczące systemów i praktyk cyberbezpieczeństwa w podmiotach poszczególnych sektorów gospodarki.

 

Zadaniem ustawy KSC, przygotowanej przez Ministerstwo Cyfryzacji, było opracowanie uregulowań prawnych umożliwiających implementację dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym (KSC), w szczególności:

 

• niezakłóconego świadczenia usług kluczowych i usług cyfrowych,

 

• osiągnięcia odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.

 

Podmioty sklasyfikowane jako operatorzy usług kluczowych (m.in. z sektora energetycznego, transportowego, zdrowotnego i bankowości) otrzymywali od Ministerstwa Cyfryzacji specjalne pismo administracyjne, które zobowiązywało ich do wdrożenia istotnych zmian w zakresie bezpieczeństwa informacji, m.in. skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem, przeprowadzania audytów kontrolnych, przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z powołanymi zespołami CSIRT (z ang. Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego). W skład KSC poza operatorami usług kluczowych oraz zespołami CSIRT (CSIRT NASK, CSIRT GOV i CSIRT MON) wchodzą również dostawcy usług cyfrowych, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa, a także jednostki administracji publicznej oraz przedsiębiorcy telekomunikacyjni.

   

Pod koniec 2020 roku dyrektywa NIS doczekała się aktualizacji w postaci dyrektywy NIS2. Tym samym pojawiła się potrzeba nowelizacji polskiej ustawy o KSC, by jej założenia były zgodne z przepisami unijnymi.

 

Dyrektywa NIS2 jest aktualizacją istniejącego prawa unijnego. Główne zmiany, jakie wprowadza dyrektywa NIS2, to rozszerzenie obowiązku zwiększenia bezpieczeństwa i kontroli kolejnych sektorów gospodarki, które podczas uchwalania pierwszej dyrektywy nie zostały uznane za kluczowe. Do wzrostu poziomu cyfryzacji oraz przeniesienia wielu usług na platformy cyfrowe z całą pewnością przyczyniła się także pandemia COVID-19.

 

Przewiduje się, że ustawa o KSC zostanie znowelizowana w ciągu kilku miesięcy, a jej przepisy obejmą nie kilkaset podmiotów kluczowych, jak miało to miejsce w pierwotnej wersji przepisów, ale nawet kilka tysięcy firm i instytucji. Oprócz omawianych wcześniej operatorów usług kluczowych (OUK), na liście znajdą się też tak zwane podmioty istotne. O szczególne bezpieczeństwo danych będą więc musiały zadbać także podmioty świadczące usługi:

 

• kurierskie,

 

• pocztowe,

 

• transportowe,

 

• zajmujące się produkcją chemikaliów, maszyn i pojazdów transportowych,

 

• telekomunikacyjne,

 

• a także dostawcy usług cyfrowych, firmy gospodarujące odpadami i wiele innych.

 

Ustawa o KSC – nowelizacja – na co powinniśmy się przygotować?

 

• Już za kilka miesięcy w życie wejdzie nowelizacja ustawy o KSC, obejmująca nawet kilka tysięcy nowych podmiotów, które nie zostaną poinformowane administracyjnie o tym fakcie, tak jak to miało miejsce przy pierwszej regulacji. Nie zwolni to ich jednak z obowiązku dostosowania się do przepisów.

 

• Ustawą o KSC zostaną objęci również przedsiębiorcy telekomunikacyjni.

 

• Nowelizacja ustawy zakłada, że cyberbezpieczeństwem w firmach i instytucjach objętych regulacjami mogą zajmować się zespoły SOC (Security Operations Center) – powołane wewnętrznie jednostki organizacyjne lub wyspecjalizowane podmioty zewnętrze.

 

• Niedostosowanie się do obowiązujących przepisów rodzi skutki prawne i może podlegać wysokim karom, które przewidział ustawodawca (wchodzą w to również kary nakładane na zarządy firm). Kary mogą sięgać do 10 milionów € lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa.

 

• Ustawodawca proponuje niezwykle krótkie vacatio legis (30 dni), w porównaniu z realnym czasem samodzielnego wprowadzenia w życie wymaganych ustawą rozwiązań, np. uformowanie zespołu SOC przy ogromnym niedoborze specjalistów na rynku, może zająć w niektórych przypadkach nawet 2 lata, nie wspominając o kosztach utrzymania takiego zespołu, które mogą przekroczyć kwotę 2-3 miliony zł rocznie.