Cyberustawa coraz bliżej

Zakres regulacji

Projekt ustawy zapewnia wdrożenie do polskiego porzÄ…dku prawnego dyrektywy w sprawie Å›rodków na rzecz wysokiego wspólnego poziomu bezpieczeÅ„stwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148).

Stworzenie podstaw prawnych funkcjonowania krajowego systemu cyberbezpieczeÅ„stwa oraz jego rozbudowa ma umożliwić niezakÅ‚ócone Å›wiadczenie usÅ‚ug kluczowych z punktu widzenia paÅ„stwa i gospodarki oraz usÅ‚ug cyfrowych, zwiÄ™kszenie poziomu zabezpieczeÅ„ systemów informacyjnych sÅ‚użących do ich Å›wiadczenia oraz ograniczyć potencjalne skutki incydentów, w tym straty finansowe.

Efektem wprowadzonych regulacji ma być podniesienie odpornoÅ›ci kluczowych usÅ‚ug Å›wiadczonych z wykorzystaniem technologii informatycznych na ataki pochodzÄ…ce z cyberprzestrzeni. Tym samym projektowana regulacja przyczyni siÄ™ do lepszego zapewnienia ciÄ…gÅ‚oÅ›ci dziaÅ‚ania tych usÅ‚ug, tak aby zarówno obywatele, jak i przedsiÄ™biorstwa miaÅ‚y do nich staÅ‚y dostÄ™p.

Cele zmian

1. ustanowienie na szczeblu krajowym architektury ochrony systemów teleinformatycznych z uwzglÄ™dnieniem regulacji miÄ™dzynarodowych, oraz wskazanie organów wÅ‚adzy publicznej odpowiedzialnych za zarzÄ…dzanie bezpieczeÅ„stwem informacji;
2. ustanowienie krajowego systemu reagowania na zagrożenia dla bezpieczeństwa informacji przetwarzanych w systemach teleinformatycznych, pochodzące z cyberprzestrzeni;
3. ustalenie zasad wspóÅ‚pracy podmiotów zobowiÄ…zanych do wykrywania incydentów spowodowanych zagrożeniami cyberprzestrzeni i sposobów postÄ™powania w okresie trwania tych incydentów;
4. prawne umocowanie dokumentu ustanawiającego krajową strategię bezpieczeństwa sieci i informacji mającą na celu osiągnięcie akceptowalnego poziomu cyberbezpieczeństwa Rzeczpospolitej Polskiej;
5. wskazanie sektorów gospodarki narodowej, dla których zastosowanie bÄ™dÄ… miaÅ‚y przepisy ustawy oraz okreÅ›lenie kryteriów kwalifikacji podmiotów objÄ™tych regulacjÄ…;
6. ustalenie poziomu istotnoÅ›ci incydentu z zakresu bezpieczeÅ„stwa oraz wprowadzenie obowiÄ…zku notyfikowania incydentów wskazanemu organowi wÅ‚adzy publicznej;
7. ustalenie ustawowych wymagaÅ„ i powinnoÅ›ci z zakresu cyberbezpieczeÅ„stwa dla jednostek organizacyjnych z zakresu podmiotowego w obszarze organizacyjnym i technologicznym oraz delegowanie do aktów wykonawczych ustalenia szczegóÅ‚ów tych wymagaÅ„.

Wprowadzane zmiany

Ustawa doprecyzowuje kategorie incydentów, które różniÄ… siÄ™ w zależnoÅ›ci rodzaju podmiotu, który je zgÅ‚asza i stopnia jego oddziaÅ‚ywania (progów). Wyróżnia incydenty poważne, istotne, zgÅ‚aszane przez podmioty publiczne i incydenty krytyczne.

Jako novum w stosunku do poprzedniej wersji ustawa umożliwia ustanawianie sektorowych zespoÅ‚ów cyberbezpieczeÅ„stwa, które bÄ™dÄ… miaÅ‚y możliwość wsparcia obsÅ‚ugi poważnych incydentów we wspóÅ‚pracy z wÅ‚aÅ›ciwym CSIRT poziomu krajowego. 

Jednym z podstawowych zamierzeÅ„ projektodawcy byÅ‚o też zapewnienie peÅ‚nej wykonalnoÅ›ci przepisów dotyczÄ…cych audytów bezpieczeÅ„stwa systemów informacyjnych, przy jednoczesnym zapewnieniu konkurencyjnoÅ›ci rynku audytu, dlatego ustawa przewiduje wiele sposobów realizacji tego obowiÄ…zku.

 WyodrÄ™bnione zostaÅ‚y zasady udostÄ™pniania informacji i przetwarzania danych osobowych.WychodzÄ…c naprzeciw potrzebie wzmocnienia koordynacji dziaÅ‚aÅ„ i wymiany informacji pomiÄ™dzy instytucjami odpowiedzialnymi za cyberbezpieczeÅ„stwo projektodawca zakÅ‚ada powoÅ‚anie instytucji PeÅ‚nomocnika RzÄ…du do Spraw CyberbezpieczeÅ„stwa oraz Kolegium do Spraw CyberbezpieczeÅ„stwa. 

ZwiÄ™kszono również wysokość możliwych kar pieniężnych nakÅ‚adanych na podmioty zobowiÄ…zane.