Sejm przyjął nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, wprowadzając zmiany dostosowujące polskie prawo do unijnej dyrektywy NIS2 i wzmacniające ochronę kluczowych branż przed cyberatakami.
Nowe regulacje poszerzają zakres Krajowego Systemu Cyberbezpieczeństwa o dodatkowe dziedziny gospodarki, w tym zarządzanie odpadami i oczyszczanie kanalizacji, działalność pocztową i kurierską, eksplorację kosmiczną, wytwarzanie substancji chemicznych oraz obrót produktami spożywczymi. W ramach tych sektorów powstaną specjalistyczne zespoły CSIRT, dedykowane reagowaniu na cyberincydenty. Te jednostki nie tylko pomogą w szybkim neutralizowaniu zagrożeń, ale także zgromadzą wiedzę na temat specyficznych słabości i ryzyk w poszczególnych branżach, co podniesie ogólną odporność gospodarki.
Organy odpowiedzialne za cyberochronę zyskają szersze uprawnienia, umożliwiające efektywniejsze działania. Ministrowie nadzorujący konkretne sektory, Komisja Nadzoru Finansowego czy Prezes Urzędu Komunikacji Elektronicznej będą mogli wydawać komunikaty ostrzegawcze, wyznaczać inspektorów do kontroli przestrzegania zasad przez firmy strategiczne, a także zlecać testy bezpieczeństwa systemów IT lub pełne audyty. Minister Cyfryzacji zyska możliwość kierowania instrukcjami awaryjnymi w sytuacjach kryzysowych, minimalizując ich skutki, oraz organizowania akcji edukacyjnych i warsztatów dla społeczeństwa na temat zagrożeń cyfrowych.
Pełnomocnik Rządu ds. Cyberbezpieczeństwa otrzyma dodatkowe narzędzia, takie jak formułowanie zaleceń dla operatorów systemów KSC w celu poprawy ich zabezpieczeń, domaganie się danych od instytucji państwowych, zlecanie analiz eksperckich czy nabywanie specjalistycznego oprogramowania dla centrum koordynacyjnego.
Zespoły CSIRT na poziomie krajowym, w tym te prowadzone przez NASK, będą lepiej przygotowane do obsługi rosnącej liczby chronionych podmiotów, oferując im bezpośrednie wsparcie w walce z incydentami. Ustawa formalnie włączy istniejące Połączone Centrum Operacyjne Cyberbezpieczeństwa jako hub wymiany danych o atakach, lukach i zagrożeniach między wszystkimi uczestnikami systemu.
Dyrektywa NIS2 dzieli podmioty na kluczowe i ważne, obejmując branże vitalne jak energetyka, transport lądowy i morski, instytucje finansowe czy systemy zaopatrzenia w wodę pitną. Firmy te będą zobowiązane do wdrożenia zaawansowanych zabezpieczeń technicznych i proceduralnych, proporcjonalnych do skali działalności, z osobistą odpowiedzialnością zarządu za ich realizację. Zgłaszanie incydentów uprości platforma S46, przesyłająca alerty prosto do odpowiednich CSIRT.
Podmioty strategiczne przeanalizują swoje aktywa, zmapują potencjalne ryzyka cybernetyczne, zaktualizują polityki wewnętrzne i przeszkolą załogę. Sektorowe CSIRT wesprą je poradami, szkoleniami i pomocą w usuwaniu skutków ataków.
Kluczową nowością jest mechanizm oceny dostawców technologii wysokiego ryzyka. Minister Cyfryzacji, we współpracy z Kolegium ds. Cyberbezpieczeństwa, przeprowadzi publiczne postępowanie administracyjne, by wykluczyć z użytku niebezpieczne urządzenia i oprogramowanie w systemach państwowych. Firmy nie będą mogły instalować produktów od takich dostawców, a istniejące sprzęt wycofają w terminie siedmiu lat. Sprzeciwieni producenci odwołają się do sądu administracyjnego.
Sejm zaakceptował poprawki doprecyzowujące ustawę. Jedna z nich obliguje do włączenia przedstawiciela Prezydenta RP w przygotowania uchwały Rady Ministrów dotyczącej Krajowego planu zarządzania kryzysami cybernetycznymi na dużą skalę, określającego strategie i procedury. Druga poprawka odracza pierwsze kary administracyjne za naruszenia na dwa lata od wejścia przepisów w życie, dając czas na adaptację.