Nowelizacja ustawy o KSC co przewiduje najnowsza wersja projektu?

Home / Forex Trading / Nowelizacja ustawy o KSC co przewiduje najnowsza wersja projektu?
0

Ponadto, system zarządzania bezpieczeństwem informacji będzie wdrożony nie tylko w systemie informacyjnym wykorzystywanym do świadczenia usług, ale również w procesach organizacji mających na celu świadczenie usług. Konsekwencje tego wydają się być oczywiste – do stosowania regulacji nowelizacji ustawy o KSC będą zobowiązane podmioty, które według poprzedniego projektu byłyby z tego zwolnione. Po przyjęciu aktualnej wersji projektu, istotna zmiana czeka jednostki funkcjonujące jako CSIRT poziomu krajowego 6. Część ich kompetencji przekazana zostanie CSIRT sektorowym (lub podsektorowym). Przede wszystkim zmieni się sposób zgłaszania incydentów – operatorzy usług kluczowych będą je notyfikować nie CSIRT poziomu krajowego, jak do tej pory, ale CSIRT właściwemu dla sektora lub podsektora, który reprezentują. Ten dopiero będzie zgłaszał incydenty poważne do CSIRT poziomu krajowego.

Dyrektywa NIS2 w samorządzie – zarys obowiązków w zakresie cyberbezpieczeństwa (część II)

Organizacje Kontrakty CFD powinny przeprowadzić audyty wewnętrzne, które pozwolą na wykrycie luk w zabezpieczeniach oraz określenie działań koniecznych do dostosowania się do wymagań. Kolejnym krokiem jest nawiązanie współpracy z jednostkami certyfikującymi posiadającymi odpowiednią akredytację, które są uprawnione do przeprowadzania szczegółowych ocen zgodności z przepisami​. Przede wszystkim nowelizacja obejmie nowe podmioty określone jako kluczowe i ważne, których w perspektywie przyszłości będzie tysiące. Będą musiały się dostosować do wymogów ustawy pod katem bezpieczeństwa usług cyfrowych.

Minister właściwy do spraw informatyzacji prowadził będzie wykaz SOC, do którego dostęp będą miały przede wszystkim CSIRT poziomu krajowego, CSIRT sektorowe i – w zakresie go dotyczącym – operator usługi kluczowej (OUK). Cyberprzestrzeń bez cienia wątpliwości stanowi dziś istotny obszar wrogich działań, co potwierdzają dane przytaczane m.in. Dlatego tak istotne jest między innymi, że w projekcie nowelizacji ustawy o KSC znalazły się odwołania do europejskiego zestawu środków dla cyberbezpieczeństwa sieci 5G (5G toolbox), szczególnie w odniesieniu do Dostawców Wysokiego Ryzyka.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa jest bezpośrednią odpowiedzią na wymogi dyrektywy NIS2, której implementacja w Polsce miała zostać zakończona do 17 października 2024 roku. Przedstawione w projekcie zmiany koncentrują się przede wszystkim na harmonizacji przepisów z regulacjami unijnymi oraz na poprawie współpracy międzynarodowej w zakresie cyberbezpieczeństwa. Oprócz tego rozszerzono katalog podmiotów objętych regulacjami, wprowadzono nowe obowiązki w zakresie raportowania incydentów i wdrażania planów zarządzania ryzykiem. Nowelizacja przewiduje również utworzenie nowych struktur organizacyjnych oraz zwiększenie nadzoru nad przestrzeganiem przepisów. Wprowadzane zmiany w nowelizacji ustawy o KSC mają istotne znaczenie dla podmiotów kluczowych i ważnych, które będą musiały dostosować swoje działania do nowych regulacji.

Certyfikacja zgodności z ustawą o krajowym systemie cyberbezpieczeństwa – jak to zrobić?

Projekt nowelizacji zawiera propozycję mechanizmu uznania za dostawcę wysokiego ryzyka określonego dostawcy sprzętu lub oprogramowania dla szczególnego rodzaju podmiotów gospodarczych i społecznych. W szczególności chodzi tutaj, zgodni z uzasadnieniem do projektu, o sytuację zagrożenia bezpieczeństwa kluczowych podmiotów w Polsce, a przez to w konsekwencji także funkcjonowaniu państwa. Proponowana procedura jest odpowiedzią na zidentyfikowane tak na poziomie krajowym, jak i unijnym, ryzyka związane choćby z rozwojem sieci 5G, niskiej jakości lub nieadekwatnie zabezpieczonych względem zagrożeń produktów i rozwiązań, a także coraz poważniejszych cyberzagrożeń. Udostępniono projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, która ma implementować do polskiego porządku prawnego dyrektywę NIS 21. Czas na jej wdrożenie do krajowych porządków prawnych mija 17 października 2024 roku.

Ponadto, podmioty kluczowe i ważne mają obowiązek przekazywania, na żądanie organu właściwego, danych, informacji i dokumentów niezbędnych do wykonywania przez organ jego ustawowych uprawnień i obowiązków z zakresu sprawowania nadzoru i kontroli. Żądanie organu powinno być proporcjonalne do celu, któremu ma służyć oraz zawierać m. Wskazanie zakresu żądanych danych, informacji lub dokumentów oraz uzasadnienie. Sama procedura opiniowania jest wieloetapowa i zakłada przede wszystkim, jako pierwszy krok, powołanie przez przewodniczącego Kolegium zespołu opiniującego spośród przedstawicieli członków tego organu. Każda wybrana osoba przygotowuje stanowisko w zakresie swojej właściwości, przekazywane następnie do całego zespołu. Zlecane jest także wykonanie niezbędnych ustawowo analiz.

Zadania zespołów CSIRT poziomu krajowego, zgodnie z powyższą właściwością, to monitorowanie zagrożeń cyberbezpieczeństwa, koordynacja obsługi incydentów i wspieranie w ich obsłudze oraz zapewnienie zaplecza analitycznego i badawczo-rozwojowego polegającego m.in. W uzasadnieniu wskazano, że rozwiązanie to nawiązuje do narzędzi strategicznych uzgodnionych przez państwa członkowskie w ramach 5G Toolbox 9. „Wysokie ryzyko”, o jakim mowa w projektowanych przepisach, ma Rentowności wzrosły Ostrożnie przed FOMC być jednym z określonych właśnie w tym dokumencie unijnym. W uzasadnieniu projektu nowelizacji KSC zwrócono szczególną uwagę na ryzyko prowadzenia „agresywnych działań w cyberprzestrzeni”.

  • Kierownik podmiotu kluczowego lub ważnego będzie odpowiedzialny za realizację tych zadań przez dany podmiot i w przypadku niewywiązania się z zadań kierownika takiego podmiotu będą mogły być nałożone na niego kary.
  • Tak samo jak na gruncie przepisów obecnie obowiązującej ustawy, w jej znowelizowanej wersji przewidziano przyjęcie przez Radę Ministrów w formie uchwały Strategii Cyberbezpieczeństwa RP.
  • Wsparcie zarządzania prawami własności intelektualnej oraz ochrony danych osobowych.
  • Przedsiębiorcy komunikacji elektronicznej to nowe podmioty, na które zostaną nałożone obowiązki po wejściu w życie nowelizacji ustawy o KSC.
  • W związku z włączeniem przedsiębiorców komunikacji elektronicznej do krajowego systemu cyberbezpieczeństwa projekt nowelizacji zakłada także wprowadzenie całkowicie nowego rozdziału 4a, który reguluje ich szczególne obowiązki w zakresie cyberbezpieczeństwa.

Ze względu na dużą ich ilość, w dalszej części artykułu przybliżone zostaną pokrótce tylko zaznaczone zmiany. Poza opisanymi powyżej zagadnieniami projekt nowelizacji przewiduje również inne zmiany – dokonano m.in. Podczas spotkania z cyklu #DigitalTalks, zorganizowanego przez Związek Cyfrowa Polska, specjaliści od cyberbezpieczeństwa rozprawili się z najczęściej powtarzanymi mitami dotyczącymi nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Jednym z nich jest rzekome “nadregulowanie” przepisów, które miałoby wykraczać poza unijne standardy.

Powiązane artykuły

Przedsiębiorców telekomunikacyjnych, podmiotów krytycznych, dostawców usług zaufania czy podmiotów publicznych. Dane wykorzystane w tym celu będą pochodzić  z rejestrów publicznych. To punkt, który niewątpliwie wzbudzał największe kontrowersje w przypadku każdej kolejnej próby nowelizacji. W projekcie zawarto regulacje dotyczące możliwości wskazania dostawcy Ian art i jego nowa książka, Forex dla sceptyków wysokiego ryzyka (HRV), co ma się odbywać w drodze decyzji administracyjnej podjętej przez ministra cyfryzacji.

Legal Alert: Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (NIS

Nowelizacja Ustawy o k.s.c. ma wejść w życie po upływie 1 miesiąca od dnia jej ogłoszenia, przy czym przewiduje się 6-miesięczny okres dostosowawczy do jej przepisów, dla podmiotów kluczowych i podmiotów ważnych. Nowelizacja przewiduje również odrębny harmonogram rejestracji w wykazie podmiotów kluczowych i podmiotów ważnych. W ślad za Dyrektywą NIS2, Nowelizacja wprowadza też zmiany w zakresie zgłaszania incydentów poważnych.

Wykonywanie oceny bezpieczeństwa oraz identyfikowanie podatności systemów dostępnych w otwartych sieciach teleinformatycznych i powiadamianie ich właścicieli o wykrytych podatnościach oraz cyberzagrożeniach. Takie zespoły mają wspierać podmioty kluczowe i ważne w obszarze przyjmowania zgłoszeń i reagowania na incydenty. Do czasu osiągnięcia zdolności operacyjnej przez CSIRT sektorowe, podmioty kluczowe i ważne będą jednak zgłaszały incydenty poważne do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, tak jak obecnie.

  • O ile już teraz obowiązek ten dotyczy niektórych jednostek, to jednak po Nowelizacji krąg podmiotów nim objętych zostanie znacznie rozszerzony.
  • Projekt sporządzonej opinii jest następnie uzgadniany na posiedzeniu Kolegium, a po przeprowadzeniu tego procesu gotowy dokument trafia do ministra właściwego ds.
  • W ramach konsultacji publicznych kwestią jest to, że zakresem definicji dostawców usług zarządzanych (oraz usług zarządzanych cyberbezpieczeństwa) objęte będą podmioty, które świadczą takie usługi wyłącznie na rzecz spółek w grupie kapitałowej.
  • W odróżnieniu od przepisów dyrektywy NIS 2, w projekcie nowelizacji przewidziano, że dostawca usług zarządzanych w zakresie cyberbezpieczeństwa (podmiot typu Security Operations Center, Computer Emerge Response Team itp.) jest podmiotem kluczowym niezależenie od wielkości.
  • Przez ostatnie lata wiele zmieniło się w krajobrazie cyberprzestrzeni, a wyzwań jest coraz więcej biorąc pod uwagę liczbę incydentów i ich konsekwencje.

To najważniejsza zmiana przepisów, na którą rynek czeka od kilku lat. Tak jak do tej pory operatorzy usług kluczowych, tak i inne podmioty kluczowe i ważne będą obowiązane przeprowadzać audyty bezpieczeństwa swoich systemów informacyjnych, co dwa lata. Podmioty publiczne w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa to podmioty realizujące zadania publiczne zależne od systemu informacyjnego i znajdujące się w wymienionym w ustawie katalogu. Analogicznie, polskie organy właściwe udzielają pomocy organom innych państw członkowskich w sprawowaniu nadzoru nad podmiotami, których systemy informacyjne znajdują się w Polsce.

Co więcej, kara pieniężna może zostać nałożona na kierownika podmiotu kluczowego lub ważnego niezależnie od kary nałożonej na sam podmiot. Znowelizowana wersja ustawy przewiduje, że organy właściwe mogą, samodzielnie lub wspólnie, tworzyć metodyki nadzoru, określające szczegółowy sposób jego sprawowania nad podmiotami kluczowymi i ważnymi, w tym zakres i przyjęte kryteria oceny. Skuteczność metodyk powinna być co dwa lata oceniana przez organy właściwe w oparciu o ocenę efektywności.

Wprowadzono także wymóg dokumentowania wyników audytów, które mają być przedstawiane odpowiednim organom nadzoru​. Podmioty kluczowe i ważne mają obowiązek przeprowadzać audyt bezpieczeństwa systemu informacyjnego co najmniej raz na dwa lata. Po otrzymaniu raportu z audytu, podmioty te muszą przedstawić sprawozdanie z przeprowadzonego audytu właściwemu organowi do spraw cyberbezpieczeństwa w ciągu trzech dni roboczych.

Leave a Reply

Your email address will not be published.


The reCAPTCHA verification period has expired. Please reload the page.

Rokubet