Doering & Partnerzy
Konsultacje

Bezpieczeństwo informacji według projektu Ustawy o Krajowym Systemie Cybebezpieczeństwa

.

Paulina Jurkiewicz
Paulina Jurkiewicz

W dniu 07.10.2024 roku zakończył się etap konsultacji nad projektem ustawy. Już z pewnością można mówić, że ustawa nie wejdzie w życie przed 18 października 2024 roku, o czym mówi Dyrektywa Parlamentu Europejskiego i Rady [UE] 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych. Ministerstwo Cyfryzacji przewiduje, że uchwalenie projektu będzie w przyszłym roku.

Już nie będzie operatora usług kluczowych?

Ustawa ta ma na celu zastąpienie obecnej wersji ustawy, jednocześnie rozszerzając liczbę podmiotów, które będą musiały zadbać o bezpieczeństwo cyfrowe. Zamiast operatora usług kluczowych, mają być:

  • podmioty kluczowe,
  • podmioty ważne.

Każdy z podmiotów będzie miał obowiązki do zrealizowania, jak chociażby:

  • prowadzenie cyklicznego szacowania ryzyka;
  • posiadanie i utrzymywanie Systemu Zarządzania Bezpieczeństwem Informacji oraz Systemu Zarządzania Ciągłością Działania;
  • zarządzanie incydentami;
  • stosowanie bezpiecznych środków komunikacji elektronicznej z uwzględnieniem uwierzytelnienia wieloskładnikowego;
  • oczywiście jest też cała lista najważniejszych obowiązków, które muszą wykonywać podmioty krytyczne i ważne.

Podmiot kluczowy i ważny – jaki będzie podział?

Ze względu na to, że nowy projekt ustawy będzie rozgraniczać podmioty na podmioty kluczowe oraz ważne, warto wiedzieć, jak wygląda obecnie podział sektorów.

Do podmiotów krytycznych będą należeć poszczególne sektory, jak: energia, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych, zaopatrzenie w wodę pitną i jej dystrybucja, zbiorowe odprowadzanie ścieków, infrastruktura cyfrowa, zarządzanie usługami ICT, przestrzeń kosmiczna, podmioty publiczne.

W przypadku podmiotów ważnych, zaplanowano kilka sektorów, które będą do niego włączone. Wyróżnione zostały usługi pocztowe, gospodarowanie odpadami, produkcja (zarówno ogółem, jak i wytwarzanie i dystrybucja chemikaliów oraz przetwarzanie i dystrybucja żywności), dostawcy usług cyfrowych i badania naukowe.

Jakie zostały wyróżnione zmiany w projekcie ustawy?

Oprócz podziału operatorów na podmioty, dochodzą kolejne, dosyć istotne zmiany. Na etapie obecnego projektu ustawy, który ma trafić do komisji, można wyróżnić dodatkowo:

  • zmiany w definicji dostawców usług zarządzanych w zakresie cyberbezpieczeństwa;
  • wydłużenie czasu na zgłoszenie wczesnego ostrzeżenia ze strony przedsiębiorców telekomunikacyjnych z 12 na 24 godziny;
  • wprowadzeniem mapowania norm w ramach zastąpienia odwoływania się do ISO;
  • precyzyjne określenie kryteriów klasyfikacji podmiotów kluczowych i ważnych;
  • dla podmiotów kluczowych będzie obowiązkowy audyt cykliczny – wykonywany co 3 lata, nie co 2 lata;
  • dla podmiotów kluczowych i ważnych będzie obowiązek wyznaczenia minimum dwóch osób, które będą odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa (dla mikro oraz małych przedsiębiorców, którzy będą spełniać kryteria podmiotu kluczowego lub ważnego, będzie obowiązek zgłoszenia co najmniej jednej osoby);
  • precyzyjne określenie środków nadzoru i kontroli oraz dodanie m.in. nowego środka – kontroli doraźnej oraz możliwość dokonania skargi do sądy administracyjnego od środków nadzorczych;
  • w ramach sprawozdania finansowego raz w roku będzie badany status podmiotu ważnego i kluczowego.

Nowe kary zamiast zobowiązań

W ramach tego projektu, pojawiły się zapisy odnośnie do karania podmiotów, którzy nie będą przestrzegać ustawy. Za niedopełnienie obowiązków, jak chociażby niezgłoszenie poważnego naruszenia czy brak wyznaczonych osób do kontaktu, kierownik podmiotu może otrzymać karę finansową w wartości do 600% otrzymywanego przez ukaranego wynagrodzenia. Z tego jasno wynika, że okres dostosowania dokumentacji powoli będzie mijać i w ramach audytu będzie sprawdzane, czy podmioty kluczowe oraz ważne wykonują swoje obowiązki zgodnie z ustawą.

Warto jednak zaznaczyć, że obecny kształt projektu ustawy trafił właśnie do Komisji Wspólnej Rządu i Samorządu Terytorialnego.

Bezpieczeństwo informacji – Doering & Partnerzy

Szukasz sprawdzonej firmy, która pomoże we wdrożeniu dokumentów wraz z procedurami w zakresie bezpieczeństwa informacji oraz ciągłości działania? Nie miałeś/aś wcześniej możliwości przeprowadzenia audytu bezpieczeństwa informacji przez zewnętrznego specjalistę? Zastanawiasz się, w jaki sposób możesz poprawić bezpieczeństwo informacji, jak i poziom cyberbezpieczeństwa w swojej firmie? Szukasz firmy, która przeszkoli twoich pracowników w zakresie bezpieczeństwa informacji, jak również z zakresu cyberbezpieczeństwa?

Jeśli na któreś z tych pytań odpowiedziałeś/aś tak, to wiedz, że możesz liczyć na naszą pomoc. Skontaktuj się z nami, a chętnie Ci pomożemy.

Zapraszamy do współpracy

Zobacz nasze usługi:

Audyt bezpieczeństwa informacji

Bezpieczeństwo informacji

Audyt cyberbezpieczeństwa

Szkolenie z zakresu cyberbezpieczeństwa

Inspektor Ochrony Danych – RODO/IOD

Zobacz więcej:

NIS2 i Ustawa o Krajowym Systemie Cyberbezpieczeństwa – najważniejsza zmiana.

Bezpieczeństwo informacji w JST

Cyberslashing – czym jest i jak się przed tym chronić

Jak zapewnić bezpieczeństwo informacji? Krok po kroku.

Szkolenie w zakresie ochrony danych na przykładzie szpitala

Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych.

Audyt RODO.

Cyberbezpieczny Samorząd. Jak zrealizować grant?

Jak audyt bezpieczeństwa wygląda w praktyce?

2 odpowiedzi

  1. Czy jest już wiadomo z nową UoKSC?
    Proszę podesłać więcej informacji. Z góry dziękuję
    Z poważaniem Elżbieta Ścicborska
    II Manager – Oddział Warszawa

    Odpowiedz

    1. Bardzo proszę. Proszę poszukać na stronie rządowej.
      Projekt z dnia 7 lutego 2025 r.
      USTAWA
      z dnia ………………. 2025 r.
      o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.

      Jeśli będą trudności, proszę o sygnał. Podeślę projekt w pdf.
      Życzę pomyślności

      Odpowiedz

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Kategorie

Popularne wpisy

Ciekawe publikacje

Zaufali nam między innymi:

Miasto Toruń
Gmina Grzegorzew
Powiat Pucki
Powiat Gnieźnieński
Miasto Szczytno
Gmina Rogowo
Powiat Starogardzki
Uniwersytet im. Kazimierza Wielkiego w Bydgoszczy
Uniwersytet im. Mikołaja Kopernika w Toruniu
Uniwersytet im. Kazimierza Wielkiego w Bydgoszczy
Instytut Technik Węglowych
Toruńska Agencja Rozwoju Regionalnego
Lasy Państwowe
Prywatna Specjalizacyjna Przychodnia Lekarska Nowak & Nowak w Toruniu
EXEA
ADOP
Kancelaria Cieciórski Wacławik Kosiński
Conectio
BNI Polska
Kancelaria MP Legal
Pracodawcy Pomorza i Kujaw

Skontaktuj się z nami

kontakt@doering-partnerzy.pl​
rodo, sygnalista: +48 600 210 513
prace b+r: +48 690 495 513​

Zobacz nasze referencje

referencje w pdf

Usługi

KONTAKT

Dane firmy

Doering & Partnerzy sp. z o.o.
ul. Władysława Łokietka 5
87-100 Toruń
KRS 0000930066
NIP 8792735140
REGON 520316781

Prawa autorskie: Doering & Partnerzy

  Skip to content