Na stronie RCL został opublikowany projekt ustawy z 23 kwietnia 2024 r. O zmianie ustawy o krajowym systemie cyberbzpieczeńswa oraz niektórych innych ustaw. Nowelizacja ustawy o KSC wprowadza nowe wymogi i procedury, których celem jest zwiększenie ochrony przed zagrożeniami cybernetycznymi. Wprowadzenie procedury uznania dostawcy za DWR oraz surowe kary finansowe za jej niewykonanie stanowią kluczowe elementy tej regulacji. Warto już dziś monitorować zmiany, aby w odpowiednim czasie powziąć działania zmierzające do zapewnienia zgodności z nowymi wymogami. Po uzyskaniu opinii Kolegium, Minister Cyfryzacji podejmuje decyzję o uznaniu dostawcy DWR.
Zmiany w przepisach dotyczących CSIRT sektorowych
Zobowiązano także OSSB do przekazywania prezesowi UKE informacji o zawartych umowach i ich warunkach. W ustawie z 7 czerwca 2023 roku (kolejnej wersji nowelizacji ustawy o KSC – red.) przyjętej przez rząd pojawiło się kilka kluczowych obszarów, istotnych dla całego rynku cyberbezpieczeństwa. Minister cyfryzacji po konsultacji z zespołem incydentów krytycznych będzie mógł wydać akt (w formie decyzji generalnej) i nakazać określonym podmiotom działanie, którego celem będzie przeciwdziałanie incydentowi krytycznemu (dotyczące wykluczenia podatności, szacowania ryzyka itp.). Obecnie obowiązująca ustawa z 5 lipca 2018 roku jest już – pisząc oględnie – przestarzała, zwłaszcza jeśli weźmie się pod uwagę rosnącą skalę cyberzagrożeń, sytuację geopolityczną i potrzebę wzmocnienia systemu bezpieczeństwa państwa zarówno na poziomie krajowym, jak i międzynarodowym.
Minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanym jako Toolbox 5G. Wdrożenie dyrektywy NIS2 znacznie zwiększy cyberbezpieczeństwo państwa – z uwagi na potrzebę przeprowadzenia całego procesu legislacyjnego tak, aby przepisy mogły wejść w życie w zakładanym terminie – nie przewidujemy wydłużenia terminu konsultacji publicznych. Rozwiązania zapewniają szybkie reagowanie na incydenty poważne, skoordynowane działanie, a sprawozdania okresowe i końcowe informacje o incydencie poważnym i jego przebiegu. Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie ponosi odpowiedzialności za treść informacji zawartych na stronach partnerów współpracujących oraz nie ponosi odpowiedzialności za skutki użycia wszelkich informacji lub materiałów dostępnych na stronach partnerów współpracujących. Korzystając z linku użytkownik przechodzi na stronę należącą do innego właściciela. Progi uznania incydentu za incydent poważny zostaną określone w drodze rozporządzenia przez Radę Ministrów.
Inne istotne zmiany, jakie zostaną dokonane w projekcie dotyczą:
Dzień wcześniej z obrad Stałego Komitetu Rady Ministrów wycofana została poprzednia wersja nowelizacji, z 25 marca br. Propozycja zmian w ustawie o KSC ma na celu usprawnienie funkcjonowania systemu cyberbezpieczeństwa, poprzez m.in. Ujednolicenie procedur zgłaszania incydentów, przyspieszenie tworzenia sektorowych Indeks trendów zatrudnienia USA wzrasta do 110,97 punktów we wrześniu zespołów cyberbezpieczeństwa, czy umożliwienie włączenia centrów wymiany informacji i analiz (ISAC) do krajowego systemu cyberbezpieczeństwa. Więcej obowiązków dla ISAC, dostawców sprzętu lub oprogramowania czy przedsiębiorców telekomunikacyjnych.
Polecenie określa obowiązki dla podmiotów, takie jak ocena ryzyka, aktualizacje bezpieczeństwa czy ograniczenia technologiczne i jest natychmiast wykonalne na okres do dwóch lat. Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązuje do 1 sierpnia 2018 r. Aby nadążyć za zmieniającymi się zagrożeniami potrzebna jest skuteczna i precyzyjna nowelizacja obowiązującego obecnie aktu, która ma znacznie wzmocnić system bezpieczeństwa teleinformatycznego na poziomie krajowym. Taki ISAC zostaje następnie wpisany do wykazu prowadzonego przez ministra właściwego do spraw informatyzacji. Podsumowując, jako przedsiębiorca musisz aktywnie monitorować procedury uznawania dostawców za DWR, być gotowym do szybkiego reagowania i dostosowywania swojej działalności do nowych regulacji.
Kolejną zmianą jest budowa sześciu CSIRT-ów sektorowych, co ma pomóc w skuteczniejszym reagowaniu na incydenty. Mowa jest też wprost o CSIRT Telco, który ma wspierać przedsiębiorców komunikacji elektronicznej w obsłudze incydentów z ich zakresu. Cyberbezpieczeństwa poprzez dodatkowe uprawnienia w zakresie wydawania ostrzeżeń o incydentach krytycznych wraz z zalecaniem określonych zachowań. Będzie mógł też wydawać rekomendacje, by wzmocnić poziom cyberbezpieczeństwa systemów informacyjnych podmiotów wchodzących w skład KSC. Na stronie RCL został opublikowany projekt ustawy z dnia 5 kwietnia 2024 r. O zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego.
stopka Ministerstwo Cyfryzacji
Jeśli zostanie ono stwierdzone, będą musiały zostać wycofane – sprzęt lub oprogramowanie – w ciągu 7 lat od wydania decyzji administracyjnej przez ministra właściwego ds. Co warte podkreślenia, kierownik podmiotu kluczowego lub ważnego z mocy ustawy ponosić ma odpowiedzialność za wykonywanie obowiązków podmiotu w zakresie cyberbezpieczeństwa, także wtedy jeżeli niektóre z obowiązków zostały powierzone innej osobie za jego zgodą. To punkt, który niewątpliwie wzbudzał największe kontrowersje w przypadku każdej kolejnej próby nowelizacji. W projekcie zawarto regulacje dotyczące możliwości wskazania dostawcy wysokiego ryzyka (HRV), co ma się odbywać w drodze decyzji administracyjnej podjętej przez ministra cyfryzacji. Kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację tych zadań przez dany podmiot i w przypadku niewywiązania się z zadań kierownika takiego podmiotu będą mogły być nałożone na niego kary.
Jednocześnie wprowadza się zmiany regulacyjne ułatwiające korzystanie z tego systemu. W poprzednich wersjach nowelizacji ustawy o KSC zawarty został rozdział dotyczący powstania i funkcjonowania spółki Polskie 5G. Miała być ona utworzona przez OSSB w celu realizacji ogólnopolskiej hurtowej sieci 5G na zakresach częstotliwości 703–713 MHz oraz 758–768 MHz. Wprowadzenie do ustawy wspomnianych zapisów wywołało jednak sprzeciw ze strony przedstawicieli branży telekomunikacyjnej, według których ewentualne utworzenie takiej spółki powinno być wynikiem dobrowolnych rozmów zainteresowanych podmiotów, a nie ustawowego przymusu. Ramy zarządzania ryzykiem związanym z ICT w DORA mają zastosowanie głównie do dostawców usług cyfrowych oraz instytucji finansowych.
- Ernst & Young Global Limited, brytyjska spółka z odpowiedzialnością ograniczoną do wysokości gwarancji (company limited by guarantee) nie świadczy usług na rzecz klientów.
- Dodatkowo, organ do spraw cyberbezpieczeństwa ma prawo nakazać przeprowadzenie audytu i określić termin przekazania sprawozdania.
- Do czasu osiągnięcia przez Operatora strategicznej sieci bezpieczeństwa pełnej zdolności operacyjnej do świadczenia usług, podmioty, o których mowa w ustawie, mogą zawierać umowy na świadczenie usług także z innymi operatorami telekomunikacyjnymi.
- – Zmiany w Krajowym Systemie Cyberbezpieczeństwa to dla nas priorytetowy projekt na ten rok.
Identyfikacja podmiotów kluczowych i ważnychNIS2 ma bardzo duży zakres podmiotowy. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów. W projektowanej regulacji wprowadzono więc jako podstawy mechanizm samoidentyfikacji – podmioty będą obowiązane zarejestrować się w nowym systemie – np. W poprzednich projektach nowelizacji ustawy o KSC sektorowe zespoły cyberbezpieczeństwa zastąpiono CSIRT sektorowymi. Mają to być Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego działające na poziomie sektora lub podsektora, ustanowione przez organ właściwy do spraw cyberbezpieczeństwa dla danego sektora lub podsektora.
Projektowana ustawa wprowadza nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej, które są objęte przepisami obecnej ustawy o krajowym systemie cyberbezpieczeństwa. Podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane wprowadzić system zarządzania bezpieczeństwem Spekulant giełdowy informacji w procesach służących świadczeniu przez nie usług. Podmioty kluczowe i ważne, których w skali kraju będą tysiące, zostaną zobowiązane wprowadzić system zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług. Podmioty te będą obowiązane wdrożyć system zarządzania bezpieczeństwem informacji wykorzystywanym do świadczenia usług i w procesach organizacji mających na celu świadczenie usług.
Zgodnie z postanowieniami projektu ustawy Minister Cyfryzacji może, po konsultacji z zespołem incydentów krytycznych wydać taki akt w formie decyzji generalnej, czyli w konkretnej sprawie, ale z rodzajowo określonymi adresatami. Wprowadzono także przepisy umożliwiające rozwiązanie przez dany podmiot umowy z OSSB, w przypadku uporczywego niewywiązywania się przez Operatora z obowiązków umownych. W takim przypadku świadczenie usług telekomunikacyjnych może być przez dany podmiot zlecone innemu operatorowi telekomunikacyjnemu, dającemu rękojmię zapewnienia Jak łatwo jest inwestować w Bitcoin na rynku Forex bezpieczeństwa świadczonych usług na poziomie nie niższym niż określony w rozwiązanej umowie z OSSB.
Powstanie OSSB
Aby zapewnić zgodność z nowymi przepisami, nowelizacja wprowadza szczegółowy system kar pieniężnych. Te sankcje mają na celu egzekwowanie przestrzegania przepisów zarówno przez podmioty kluczowe i ważne, jak i przez osoby zarządzające tymi podmiotami. Polecenie zabezpieczające to decyzja Ministra Cyfryzacji, stosowana w reakcji na incydenty krytyczne, wpływająca na podmioty kluczowe i ważne. Umożliwia szybkie działanie, pomijając niektóre procedury administracyjne. Jej wynikiem jest nałożenie na podmiot objęty decyzją obowiązku określonego zachowania, którego celem ma być ograniczenie skutków incydentu krytycznego.
Wdrożenie odpowiednich procedur zarządzania ryzykiem i planów awaryjnych jest kluczowe dla zapewnienia ciągłości operacyjnej Twojej firmy. W drodze polecenia zabezpieczającego można będzie nakazać danej grupie podmiotów określone zachowanie przeciwdziałające incydentowi krytycznemu – np. „zainstaluj poprawkę bezpieczeństwa”, „wycofaj oprogramowanie”, „przeprowadź szacowanie ryzyka”. Minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanym jako Toolbox 5G. Toolbox 5G wymaga transponowania przez kraje członkowskie, które mają wiele swobody co do jego wdrożenia.