Zmiany w ustawie KSC – nowy projekt i surowe kary

Ministerstwo Cyfryzacji 24 kwietnia 2024 r. przedstawiło nowy projekt ustawy o KSC. Nowe regulacje mają zwiększyć ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni. Wiąże się to m.in. z koniecznością wdrożenia systemu zarządzania bezpieczeństwem informacji przez dostawców usług cyfrowych oraz podmioty administracji publicznej. Za niespełnienie wymogów mają grozić wysokie kary.

Projekt jest osiemnastą nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Wdraża on unijne przepisy Toolbox 5G i dyrektywę NIS 2. Rozszerzono w nim m.in. listę sektorów objętych ustawą jak usługi pocztowe, ścieki, gospodarowanie odpadami, produkcję i badania naukowe. Ponadto doprecyzowano zadania organów państwa w obszarze cyberbezpieczeństwa, a także wprowadzono tzw. polecenie zabezpieczające, czyli instytucję prawną, umożliwiającą reakcję na incydent krytyczny.

Na podmioty, które nie dostosują się do nowych wymogów, nakładane będą kary. Minimalna kara dla podmiotów kluczowych wyniesie 20 tys. zł (nie będzie mogła przekroczyć 10 mln euro lub 2% przychodów z działalności gospodarczej w roku poprzedzającym wymierzenie kary), a dla podmiotów ważnych – 15 tys. zł (limit wynosi 7 mln euro lub 1,4% ww. przychodów).

Minister cyfryzacji Krzysztof Gawkowski w komunikacie publicznym podkreślił, że dzisiaj mówimy o 400 operatorach, którzy będą mieli cztery lata na dostosowanie się do nowych regulacji, jednak w przyszłości będzie ich tysiące. Każdy z podmiotów kluczowych i ważnych będzie zobowiązany wprowadzić systemu zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług. Dlatego też jest to priorytetowy projekt na ten rok, zwłaszcza że liczba incydentów w cyberprzestrzeni wciąż rośnie.

Zgodnie z zapowiedziami nowe przepisy mają zostać przyjęte jeszcze w tym roku. Konsultacje publiczne mają potrwać do 24 maja 2024.

Treść nowego projektu KSC dostępna jest tutaj: Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw

Co to jest ustawa o KSC?

Ustawa o krajowym systemie cyberbezpieczeństwa została przyjęta w sierpniu 2018 roku i jej zadaniem było zaimplementowanie do polskiego porządku prawnego unijnej dyrektyw NIS. Do dzisiaj doczekaliśmy się aktualizacji tego rozporządzenia pod nazwą NIS 2 (więcej o niej tu: Dyrektywa NIS 2 – ważne zmiany i obowiązki w zakresie cyberbezpieczeństwa). Celem KSC jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.

→ Zweryfikujemy gotowość Twojej firmy do spełnienia wymagań i obowiązków wynikających z nowych przepisów ustawy o KSC. Sprawdź ofertę: Audyt cyberbezpieczeństwa

Jesteś zainteresowany? Masz pytania?

Porozmawiajmy o Twoim projekcie!