Celem ustawy jest powstanie Krajowego Systemu Cyberbezpieczeństwa (KSC), który będzie wykrywał, zapobiegał i minimalizował skutki ataków naruszających bezpieczeństwo informatyczne kraju. Nowe przepisy wdrażają do polskiego prawa unijną dyrektywę NIS i wejdą w życie po upływie 14 dni od dnia ogłoszenia.

Prezydent podpisał ustawę o krajowym systemie cyberbezpieczeństwa. Co się zmieni?

Ustawa utworzy w Polsce krajowy system cyberbezpieczeństwa. W jego skład wejdą m.in. najwięksi przedsiębiorcy z wybranych sektorów gospodarki oraz administracja rządowa i samorządowa.

Ustawa nakłada obowiązki na operatorów usług, które mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej (usługi kluczowe). Wśród operatorów znajdą się największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale i podmioty tworzące w Polsce infrastrukturę cyfrową.

Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach i ich obsługi we współpracy z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Wymienione podmioty będą również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.

Wymaganiami z zakresu cyberbezpieczeństwa zostaną także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte zharmonizowanym na poziomie UE reżimem regulacyjnym. Na przykład firmy działające w sektorze e-commerce będą musiały raportować o wyciekach danych.

Więcej o dyrektywie NIS i Krajowym Systemie Cyberbezpieczeństwa można przeczytać tutaj.

Ministerstwo Cyfryzacji/RT