Zagadnienie Operatora Strategicznej Sieci Bezpieczeństwa jest wyzwaniem co do pogodzenia interesów i potrzeb oraz tego, co jest w praktyce możliwe do zrealizowania. W naszym projekcie mikroprzedsiębiorcy, o obrotach poniżej 10 mln zł rocznie, nie podlegaliby konieczności wdrażania postanowień o uznaniu technologii określonego dostawcy za wysoce ryzykowną. Pojawiały się bowiem głosy mówiące, aby od takich firm nie wymagać dostosowań ponad ich siły. 16 Możliwość fakultatywnego przekazywania informacji do CSIRT krajowych lub sektorowych. Oprócz opisanych wyżej zmian, w nowelizacji wprowadzono dodatkowe przepisy dotyczące kar pieniężnych, które mają służyć zwiększeniu ich skuteczności i egzekwowalności. Świadczenie przez nią usług ma istotne znaczenie na poziomie krajowym lub województwa lub ma znaczenie dla dwóch lub więcej sektorów określonych w załączniku nr 1 lub nr 2 do ustawy.
Kolej wróci po latach do 14 miejscowości. Intercity uruchamia nowe połączenia
Jeśli incydent nie zostanie Euro: EUR/USD (EUR=X) Major Support At 1.16 zakończony w ciągu miesiąca, zgłaszający powinien przesłać sprawozdanie z postępu obsługi incydentu, a sprawozdanie końcowe przedłożyć do miesiąca po zakończeniu takiej obsługi. Przypomniała też, że po 17 października Polska jest po terminie wdrożenia dyrektywy NIS2. Chce, aby projekt ten został przyjęty przez Radę Ministrów i skierowany do prac parlamentarnych, tak aby uchwalić ustawę z początkiem 2025 r.
Firmy wciąż nie są gotowe na bezpieczne skalowanie AI
W świecie cyfrowym bezpieczeństwo systemów teleinformatycznych jest kluczowe dla funkcjonowania państwa i gospodarki. Krajowy System Cyberbezpieczeństwa (KSC) to zbiór przepisów i mechanizmów, które mają na celu ochronę instytucji publicznych, przedsiębiorstw i obywateli przed zagrożeniami cyfrowymi. Nowelizacja ustawy KSC dostosowuje polskie regulacje do wymogów unijnej dyrektywy NIS-2, ale jednocześnie rodzi wiele pytań i wątpliwości. „To jeden z najbardziej, moim zdaniem nośnych aspektów tej konkretnej nowelizacji, co wydaje się mieć na celu dostosowanie sankcji do realnych możliwości finansowych i zapewnienia proporcjonalności kar w stosunku do naruszeń. Wcześniejsze regulacje mogły powodować sytuacje, w których strach przed wysokimi sankcjami paraliżował angażowanie się w cyberbezpieczeństwo i jego konsekwencje. Wdrażania środków bezpieczeństwa i traktowania cyberzagrożeń priorytetowo.
- Wprowadza się jednak zasadę informowania ministra właściwego do spraw informatyzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa o ujawnionych podczas oceny bezpieczeństwa podatnościach, które mogą występować w systemach informacyjnych innych podmiotów.
- Planowane jest skierowanie projektu do prac w Sejmie jeszcze w tym roku.
- Nie zapominajmy jednak, że Dyrektywa NIS2 nałożyła na państwa członkowskie obowiązek implementacji przepisów do 17 października 2024 roku, co oznacza, że organizacje objęte regulacją powinny już być przygotowane do wdrożenia wymaganych mechanizmów.
- Nowa wersja projektu dokonuje podziału podmiotów publicznych na kluczowe i ważne.
Procedura uznania dostawcy za DWR
Niezwłocznie, nie później niż 24 godziny po wykryciu incydentu poważnego (a w przypadku przedsiębiorców komunikacji elektronicznej – 12 godzin), powinno zostać złożone tzw. Dane zgłaszającego, w tym kontakt do osób uprawnionych do składania wyjaśnień oraz informacje o momencie wystąpienia incydentu. Ostrzeżenie wczesne może także zawierać wniosek o wskazanie wytycznych dotyczących środków łagodzących skutki incydentu lub o wsparcie techniczne. Jeśli incydent kwalifikuje się jako przestępstwo, sektorowy CSIRT przekazuje informacje o sposobie zgłoszenia tego faktu organom ścigania. Sektorowy CSIRT musi udzielić wsparcia w ciągu 24 godzin zgodnie z treścią wniosku. Projekt jasno wskazuje, że dostawcy publicznych sieci łączności elektronicznej i dostawcy publicznie dostępnych usług łączności elektronicznej, w zależności od wielkości prowadzonego przedsiębiorstwa, będą traktowani jako podmioty kluczowe lub ważne.
Jest to dostosowanie do realnych możliwości nie obciążając nadmiernie osób zarządzających tymi podmiotami. Wysokość kar będzie jednak zależała od szeregu kryteriów, w tym rodzaju i skali naruszenia, czasu jego trwania, możliwości finansowych podmiotu oraz poziomu współpracy z organami nadzoru” – tłumaczy Aleksander Kostuch. Podmioty ważne-publiczne nie będą zobowiązane do stosowania środków zarządzania ryzykiem na poziomie określonym w Art. 8 ust.
W szczególności trochę więcej, niż wynika to z dyrektywy obowiązywać będzie nasze podmioty kluczowe. Mieliśmy do tego pełne prawo, ale przesłanką było zapewnienie skuteczności prawa przy funkcjonowaniu innych aktów prawnych albo aktów prawnych, które są projektowane. Przepisy dotyczące OSSB były tą częścią poprzedniej wersji ustawy, nad którą w ostatnim roku spędziliśmy najwięcej czasu, jeszcze zanim trafiła ona na poziom rządowy. Mając w pamięci różne potrzeby, interpretacje i oczekiwania podmiotów publicznych i komercyjnych w tej kwestii uznaliśmy, że ciężko było pogodzić każdego z interesariuszy. Co więcej, kara pieniężna może zostać nałożona na kierownika podmiotu kluczowego lub ważnego niezależnie od kary nałożonej na sam podmiot.
Rola CISO w nowoczesnej organizacji – wyzwania i odpowiedzialności
O zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („Projekt”). Zapoznaj się z porównaniem projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z dnia 3 października 2024 roku w stosunku do projektu z 23 kwietnia 2024 roku. Ustawodawca poprawił błąd występujący w poprzedniej wersji projektu nowelizacji, zgodnie z którym podmiotami kluczowymi były duże podmioty działające w sektorach wskazanych w załączniku nr 1 (sektory kluczowe) oraz nr 2 do ustawy (sektory ważne).
Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę
Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. 12 lutego 2025 roku na stronie Rządowego Centrum Legislacji opublikowano kolejny projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, datowany na 7 lutego 2025 r. W klasyfikacji podmiotów publicznych oraz stawianych im wymaganiach. Projekt utrzymuje dotychczasowe wymagania wobec podmiotów prywatnych. W nowelizacji zaproponowane zostały także zmiany w przepisach dotyczących kary pieniężnej, która może zostać nałożona na kierownika podmiotu objętego obowiązkami wynikającymi z ustawy.
- W przypadku wystąpienia incydentu krytycznego, minister w drodze decyzji może po prostu wydać, w określony sposób, polecenie zabezpieczające.
- W NIS2 nastąpiła zmiana dotychczasowego podziału na operatorów usług kluczowych, dostawców usług cyfrowych oraz podmioty publiczne.
- Informacja o ewentualnych zawartych porozumieniach w sprawie wymiany informacji o zdarzeniach z zakresu cyberbezpieczeństwa (m.in. porozumienie w sprawie inicjatyw typu ISAC) oraz informacja czy podmiot jest podmiotem krytycznym w rozumieniu dyrektywy CER.
- Wpisanie do wykazu w ten sposób jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego.
- Następnie ten może albo uwzględnić stanowisko podmiotu i odstąpić od zastosowania środków egzekwowania przepisów, albo odrzucić to stanowisko i zastosować takie środki.
Naszym zamiarem jest przeprowadzenie implementacji jak najszybciej. Myślę jednak, że finał, w postaci podpisu Prezydenta RP przed 17 października jest dziś założeniem optymistycznym. Chcielibyśmy, aby do tego czasu nowelizacja przynajmniej opuściła poziom rządowy. Powstałaby zapewne ogromna całościowa, kompletna ustawa, ale nasze doświadczenie wskazuje, że niezwykle trudno takie dokumenty procedować i wdrażać.
W pierwszej kolejności organ właściwy informuje podmiot kluczowy lub ważny o wstępnych ustaleniach, które mogą prowadzić do zastosowania wobec podmiotu środków egzekwowania przepisów. Może on jednak odstąpić od przekazania takiej informacji, jeżeli utrudniłoby to natychmiastowe działanie w celu zapobieżenia incydentom, reakcji na nie lub mogłoby mieć niekorzystny wpływ na bezpieczeństwo państwa lub porządek publiczny. Ponadto, podmioty kluczowe i ważne mają obowiązek przekazywania, na żądanie organu właściwego, danych, informacji Podłączyć się do świata z międzynarodowymi wiadomości i dokumentów niezbędnych do wykonywania przez organ jego ustawowych uprawnień i obowiązków z zakresu sprawowania nadzoru i kontroli. Żądanie organu powinno być proporcjonalne do celu, któremu ma służyć oraz zawierać m.
Nowe podejście zwiększa przejrzystość regulacji i obejmuje szerszy zakres organizacji, co znacząco wpływa na sposób wdrażania wymagań cyberbezpieczeństwa. W praktyce oznaczać to będzie wykorzystanie S46 do wymiany informacji zarówno o charakterze operacyjnym, jak i organizacyjnym przez wszystkie podmioty KSC. Przykładem tego drugiego typu danych będzie prowadzenie wykazu podmiotów kluczowych i ważnych (art. 46 ust. 1a projektu). Podmioty kluczowe i ważne będą korzystać z S46 w terminie 14 dni od dokonania wpisu do wykazu, a nieprzestrzeganie tego obowiązku narazi je (oraz organy zarządzające) na karę pienieżną. Do tej pory operatorzy usług kluczowych byli wyznaczani w drodze decyzji administracyjnej organu właściwego do spraw cyberbezpieczeństwa.
Jak podkreśla Marcin Wysocki, celem jest wypracowanie kompromisu między bezpieczeństwem państwa a interesami przedsiębiorców. W Ministerstwie Cyfryzacji trwają konsultacje z ekspertami i przedstawicielami rynku, aby zapewnić sprawiedliwe i skuteczne rozwiązania. Jak tłumaczy Marcin Wysocki, proces legislacyjny jest złożony – ustawa obejmuje sto kilkadziesiąt stron przepisów i wymaga uzgodnień między ministerstwami, instytucjami unijnymi i przedstawicielami biznesu. Nowelizacja przewiduje, że podmioty ważne-publiczne będą miały Musisz to wiedzieć uproszczone obowiązki w zakresie zgłaszania incydentów.