Zmiany w systemie cyberbezpieczeństwa: niepełny kompromis i kontrowersje

Choć uwzględniło sporo postulatów przedsiębiorców, np. w zakresie kontroli, kar i audytów, to przepisy budzące największe ich obawy nie będą zmienione.

Aktualizacja: 08.10.2024 06:39 Publikacja: 08.10.2024 04:44

Wicepremier, minister cyfryzacji Krzysztof Gawkowski podczas konferencji prasowej nt. cyberbezpieczeństwa

Foto: PAP/Marcin Obara

Szymon Cydzik

Resort cyfryzacji zakończył pracę nad projektem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, która ma implementować dyrektywę NIS2 do naszego prawa. Teraz projektem zajmie się Rada Ministrów, co ma potrwać ok. trzech miesięcy. Minister cyfryzacji Krzysztof Gawkowski wyraził nadzieję, że przepisy uda się uchwalić w I kwartale 2025 r., a więc niemal rok od publikacji pierwszej wersji projektu. Jak wskazał minister podczas konferencji prasowej, w ramach trwających dziewięć miesięcy prac w resorcie projekt zmieniano kilkanaście razy. W konsultacjach wzięło udział ponad 200 podmiotów, złożono 1567 uwag. MC twierdzi, że uwzględniono 70 proc. z nich.

– Nie we wszystkich miejscach znaleźliśmy kompromis, ale też nie wszędzie chcieliśmy go znaleźć. Bo jeśli ktoś chciałby namówić Ministerstwo Cyfryzacji, by w ustawie nie było przepisów o tym, co dla ustawy kluczowe, np. dostawcy wysokiego ryzyka, to nie możemy się na to fundamentalnie zgodzić. Cyberbezpieczeństwo w kategorii państwa jest bezcenne – mówił podczas konferencji Krzysztof Gawkowski.

– Wiele podmiotów nie tylko nie jest gotowych na nowe przepisy, a nawet pozostaje nieświadomych obowiązków, które na nich spoczną. To niestety pokazuje, z jakim wyzwaniem się mierzymy. Pamiętajmy, że ustawa dotyczy podmiotów, których sprawne funkcjonowanie ma wpływ na nasze codzienne życie – mówi Aleksander Kostuch, inżynier systemowy Stormshield.

Czytaj więcej

Opinie Prawne

Bogusław Chrabota: Między cyberbezpieczeństwem i nadgorliwością

Przepisy o Krajowym Systemie Cyberbezpieczeństwa na równi winny służyć bezpieczeństwu i biznesowi. Tylko taka równowaga jest racjonalna.

Podmioty ważne i kluczowe dla cyberbezpieczeństwa

Projekt ustawy, w ślad za dyrektywą NIS2, wprowadza rozróżnienie na podmioty kluczowe, które mają największe obowiązki z zakresu cyberbezpieczeństwa, oraz podmioty ważne. Państwa członkowskie mają jednak dużo swobody w określeniu, które branże zaliczają się do której kategorii.

– Podmioty kluczowe są zobowiązane do zgłaszania incydentów poważnych niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia do odpowiedniego CSIRT sektorowego (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego). Podmioty ważne mają mieć więcej czasu na zgłaszanie incydentów lub mniej rygorystyczne wymagania dotyczące sprawozdawczości z incydentów – mówi Aleksander Kostuch.

Do kategorii podmiotów kluczowych zaliczona zostanie m.in. centralna administracja rządowa, publiczni dostawcy sieci i usług łączności elektronicznej, cyfrowych i telekomunikacyjnych, na przykład operatorzy chmurowi, i platformy sieci społecznościowych. A także instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki.

Czytaj więcej:

ABC Firmy

Cyberbezpieczeństwo. Prawniczka: nadregulacja uderzy w biznes

Pro

Z kolei podmiotami ważnymi w rozumieniu przepisów będą m.in. dostawcy wyszukiwarek internetowych, e-platformy handlowe, usługi pocztowe, kurierskie i łączności elektronicznej, przedsiębiorstwa gospodarujące odpadami lub jedyni dostawcy usług określonego rodzaju w danym państwie.

Jak poinformował podczas konferencji prasowej Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w MC, resort w ostatniej wersji projektu zdecydował się przenieść z kategorii podmiotów kluczowych do kategorii ważnych takie sektory, jak produkcja, wytwarzanie, dystrybucja chemikaliów oraz żywności, a także produkcja wyrobów medycznych, urządzeń elektrycznych, maszyn, samochodów, sprzętu transportowego.

Cyberbezpieczeństwo: audyt, kary i kontrole ze zmianami

Złagodzone zostały też obowiązki co do audytu. Podmioty kluczowe będą musiały przeprowadzać go raz na trzy lata (a nie, jak wcześniej proponowano, co dwa), a podmioty ważne – tylko gdy zajdą ku temu przesłanki. Z kolei przedsiębiorcy usług komunikacyjnych mają mieć 24, a nie 12 godzin na zgłoszenie incydentu.

Czytaj więcej

Polska przyjmie jedno z bardziej rygorystycznych stanowisk przy implementacji dyrektywy NIS2 – wynik

Prawo dla Ciebie

Te przepisy budzą kontrowersje. "Polska nadreguluje" - twierdzą jedni. Inni: to uzasadnione

Polska przyjmie jedno z bardziej rygorystycznych stanowisk przy implementacji dyrektywy NIS2 – wynika z raportu EY. Inni eksperci są zdania, że to uzasadnione.

Marcin Wysocki wskazał też, że zrezygnowano z kar za niezastosowanie się do ostrzeżenia. Doprecyzowane mają też zostać przesłanki orzekania kar okresowych albo zakazu działalności za naruszenie ustawy, a także środki nadzoru i kontroli oraz związane z nimi procedury.

Chodzi tu o podmioty podlegające pod właściwość wielu organów czy resortów, tak jak banki, firmy telekomunikacyjne czy energetyka. Wprowadzono możliwość wyznaczania jednego tzw. organu wiodącego do sprawowania nadzoru.

Ma to z jednej strony zmniejszyć uciążliwość i pozwolić kilku kontroli, a z drugiej – usprawnić możliwość reagowania na zagrożenia dla cyberbezpieczeństwa. Temu drugiemu celowi mają służyć kontrole doraźne, które pozwolą na natychmiastową reakcję w wypadku zagrożenia cyberatakiem. Wprowadzono także możliwość odwołania do WSA od środków nadzorczych.

W projekcie pozostały jednak budzące kontrowersje zapisy o rozpoznawaniu skarg od decyzji MC na posiedzeniach niejawnych oraz przekazywania stronie uzasadnienia bez informacji niejawnych. Resort zapewnia, że jest to podyktowane koniecznością ochrony tych informacji, a sąd rozpatrujący sprawę ma do nich dostęp.

Etap legislacyjny: przed Radą Ministrów

Opinia dla „Rzeczpospolitej”

Piotr Podgórski, radca prawny, Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl

W ogłoszonym projekcie o zmianie ustawy w dalszym ciągu pozostawiono niepokojące uregulowania dotyczące niejasnej procedury, na podstawie której dostawca sprzętu lub oprogramowania informacyjno-komunikacyjnego (ICT) dla podmiotów kluczowych i ważnych (np. przedsiębiorców z sektora gospodarowania odpadami, z sektora ścieków, producentów, komputerów) uznany może zostać za dostawcę wysokiego ryzyka. Jeśli to się stanie, podmiot kluczowy lub ważny zobowiązany będzie do pozbycia się jego oprogramowania lub sprzętu w terminie siedmiu lat. Wiązało się to będzie z ogromnymi kosztami, jakie będą musieli ponieść przedsiębiorcy. Nie mówiąc o tym, że niejednokrotnie obecny dostawca sprzętu oferował konkurencyjne ceny, a jego produkt lub usługa cechowały się wysoką jakością. Największe obawy budzą jednak kryteria nietechniczne, na podstawie których dany dostawca będzie mógł zostać uznany za dostawcę wysokiego ryzyka.

cyberbezpieczeństwo

Pozostało 90% artykułu

2 / 3

artykułów

Czytaj dalej. Subskrybuj

Czym jeździć

Technologia, której nie zobaczysz. Ale możesz ją poczuć

Moc, moment obrotowy i przyspieszenie dzięki nowym technologiom imponują. To wartości, które łatwo można zmierzyć. W nowej Skodzie Superb jest jednak wiele technologii, których nie widać na pierwszy rzut oka, a które podczas jazdy można poczuć.

Materiał Promocyjny

BaseLinker uratuje e-sklep przed przestojem

W e-commerce każda minuta przestoju może przynieść firmie poważne straty. Szczególnie w okresach wzmożonej sprzedaży, takich jak święta czy inne sezonowe promocje, systemy IT muszą działać bez zarzutu. Awaria trwająca zaledwie 30 minut może nie tylko spowodować straty finansowe, ale także zniszczyć reputację firmy.

Tu i Teraz

Skoda Kodiaq - nowy wymiar przestrzeni

Czy sześć centymetrów to dużo? W samochodzie to sporo. Nowa Skoda Kodiaq jest większa od poprzedniczki właśnie o te dodatkowe centymetry. Dzięki nim wygospodarowano więcej miejsca dla pasażerów i przestrzeni na bagaże, a bryła dużego SUV-a zyskała na monumentalności.

Mieszkanie na dziecko można przepisać poprzez umowę darowizny, umowę dożywocia lub testament

Spadki i darowizny

Jak przepisać mieszkanie na dziecko? Trzy sposoby. Mniej i bardziej kosztowne

Decyzja o przepisaniu nieruchomości na dziecko wymaga wyboru najbardziej korzystnej metody. Oprócz zapisu w testamencie można zdecydować się na umowę darowizny lub umowę dożywocia. Czym się kierować przy wyborze? Z jakimi kosztami należy się liczyć?

Pupila będzie trzeba zarejestrować w Krajowym Rejestrze Oznakowanych Psów i Kotów.

Prawo dla Ciebie

Nowy obowiązek dla właścicieli psów i kotów. Znamy szacowany koszt

Pupila będzie trzeba zarejestrować w Krajowym Rejestrze Oznakowanych Psów i Kotów. Ułatwi to znalezienie zwierzęcia jeśli zaginie.

Materiał Promocyjny

Nowa Alfa Romeo Junior od 129 600 zł. Zakochaj się raz jeszcze!

Edukacja i wychowanie

Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw

Za nami dopiero pierwsze tygodnie nowego roku szkolnego 2024/2025. Wielu uczniów i rodziców myśli już jednak o odpoczynku od nauki. Warto w związku z tym sprawdzić, jakie są terminy ferii zimowych 2025 dla poszczególnych województw.

Materiał Promocyjny

Umowa Serwisowa „Pełna Obsługa” dla samochodów dostawczych za 999 zł netto!

Opinie Prawne

Bogusław Chrabota: Między cyberbezpieczeństwem i nadgorliwością

Przepisy o Krajowym Systemie Cyberbezpieczeństwa na równi winny służyć bezpieczeństwu i biznesowi. Tylko taka równowaga jest racjonalna.

Nawigator prawny

Cyberzagrożenia, klęski żywiołowe i wojna hybrydowa – jak zabezpieczyć swoją firmę?

Ataki phishingowe, klęski żywiołowe, a nawet działania związane z wojną hybrydową to tylko niektóre z wyzwań, z którymi muszą się mierzyć przedsiębiorcy w obszarach cyberbezpieczeństwa swojej firmy.

Cyberbezpieczeństwo i dyrektywa NIS 2. Jest wspólny apel branży cyfrowej

22 organizacje zrzeszone w ramach DigitalEurope wnioskują o zharmonizowaną transpozycję dyrektywy NIS2, która jest „kamieniem węgielnym europejskiego cyberbezpieczeństwa” – podała Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji (KIGEiT), która jest sygnatariuszem apelu.

Opinie Prawne

Prof. Michał Jackowski: Alkoholowe tubki i zakazane systemy AI

Gdyby alkotubki były systemami AI, ewidentnie ich sprzedaż byłaby zakazana.

ABC Firmy

Cyberbezpieczeństwo. Prawniczka: nadregulacja uderzy w biznes

Rozumiem wagę kwestii cyberbezpieczeństwa. Jednak przedsiębiorstwa powinny wiedzieć, dlaczego mają przestrzegać bardziej surowych wymogów niż te, które obowiązują w pozostałych 26 krajach Unii Europejskiej. Tego polski ustawodawca nie uzasadnił – mówi Justyna Wilczyńska-Baraniak, partnerka EY Law.

Polityka

Nowe przepisy o cyberbezpieczeństwie. Eksperci: to będzie sąd kapturowy

Polska musi pilnie znowelizować ustawę o cyberbezpieczeństwie. Jeśli zrobi to według przygotowanego przez resort cyfryzacji projektu, do systemu prawnego zostaną wprowadzone rozwiązania korupcjogenne, które w najmniejszej mierze nie podniosą poziomu bezpieczeństwa kraju – ostrzegają eksperci.

Autonomiczna ciężarówka Freightliner w maju, 2024

Wizja Przyszłości

Coraz bliżej do jazdy na turkusowych światłach

Autonomiczne samochody są coraz bliżej, nowe rozwiązania wprowadzają koncerny w modelach osobowych, jednak przeszkód nadal nie brakuje.

Biznes

Oszustwo „na InPost”. Nowa i bardzo groźna metoda wyłudzeń

Oszuści w natarciu – jak ostrzega znana firma kurierska, pojawiła się kampania tzw. phishingowa, w której wykorzystując markę InPost, przestępcy próbują wykraść dane osobowe i informacje z kart płatniczych użytkowników.

Świat

Wojna Rosji z Ukrainą. Dzień 958

24 lutego 2022 roku Rosja rozpoczęła pełnowymiarową inwazję na Ukrainę. We wtorek w Moskwie odbywa się szczyt Wspólnoty Niepodległych Państw.

Przestępczość

Pięć lat się ukrywał, wpadł na dworcu w Zakopanem

Adam Z. powiązany ze środowiskiem łódzkich pseudokibiców został zatrzymany na dworcu w Zakopanem. Miał kierować gangiem narkotykowym.

Aplikacja MoodMon analizuje 234 parametry naszego zdrowia i zachowania. Dzięki temu sztuczna intelig

Biznes Ludzie Startupy

Polska sztuczna inteligencja walczy z depresją. Jak poprawić nastrój?

Warszawska spółka z branży IT opracowała nowatorską technologię do monitorowania zdrowia psychicznego. Projekt, który został już doceniony w UE, zakłada, że sztuczna inteligencja wesprze osoby z przewlekłymi zaburzeniami nastroju.

Przedsiębiorcy z terenów powodziowych mogą wnioskować m.in. o świadczenie interwencyjne i odroczenie

W sądzie i w urzędzie

Nabór wystartował 5 października. Jak wnioskować o świadczenie interwencyjne?

Trwa nabór wniosków o pomoc finansową dla właścicieli firm, które poniosły straty w wyniku wrześniowej powodzi. ZUS przypomina o kluczowych warunkach i wymaganej dokumentacji. O jaką pomoc można się ubiegać? Jakie warunki należy spełnić?

Prawo w Polsce

Zmiany w systemie cyberbezpieczeństwa: niepełny kompromis i kontrowersje

Choć uwzględniło sporo postulatów przedsiębiorców, np. w zakresie kontroli, kar i audytów, to przepisy budzące największe ich obawy nie będą zmienione.

Raporty ekonomiczne

Polska zaściankiem innowacji. AI może nas jeszcze bardziej pogrążyć

Polska przestaje być kuźnią talentów w dziedzinie technologii. Liczba kształcących się specjalistów IT niebezpiecznie spada, a na rozwój sztucznej inteligencji, która może być dźwignią rozwojową gospodarki, wydajemy mniej niż inne kraje.

Czy Polska powinna wprowadzić przepisy zakazujące wprowadzania przez polityków w błąd?

Polityka

Koalicja Obywatelska: czas na kary za kłamstwa polityków

Z rządzącej KO płyną głosy, że Polska powinna wprowadzić przepisy zakazujące wprowadzania przez polityków w błąd, podobne do tych proponowanych w Walii. Zdaniem PiS to abstrakcja i przekazanie zbyt dużej władzy w ręce sądów.

Biznes

Spór o władzę w Polsat Plus w świetle kamerek

Od ZE PAK Zygmunt Solorz zaczął odwoływanie synów z władz spółek grupy, którą zbudował. Dzieci kwestionują skuteczność tych działań. Czekają na wyrok sądu w Liechtensteinie.

W sądzie i w urzędzie

Ile kosztuje Karta Dużej Rodziny? Do jakich zniżek uprawnia?

Rodziny posiadające troje lub więcej dzieci mogą w naszym kraju liczyć na szereg ulg i zniżek. Te umożliwia Karta Dużej Rodziny (KDR). Wyjaśniamy, czym jest i w jaki sposób ją uzyskać. Kto może ją posiadać i jak długo jest ważna?

Ameryka nie pamięta tak wyrównanej walki o Biały Dom

Polityka

Wybory w USA. Zdecydować może jeden głos

Ameryka nie pamięta tak wyrównanej walki o Biały Dom. Na miesiąc przed datą pójścia do urn żaden z dwojga kandydatów nie jest faworytem.

Kalendarium

Kalendarium - wtorek 8 października

Co dziś nowego w prawie i gospodarce? Co opublikowano w Dzienniku Ustaw, jakie akty prawne wchodzą w życie, jakie ważne interpretacje wydały sądy, co ogłosił GUS, a co zapowiedział rząd? Oto subiektywne kalendarium dla profesjonalistów.

Opinie Ekonomiczne

Adam Roguski: Deweloperzy uciekają spod topora, a klient płaci

Na horyzoncie już niektórzy widzą obniżki stóp procentowych, które ponownie rozruszają rynek kredytowy i mieszkaniowy. Jak dotąd żaden kryzys powodujący spadek popytu nie trwał na tyle długo, by przełożyć się na cięcie cen przez deweloperów.

Raporty ekonomiczne

Mieszkania są coraz mniej dostępne. Ile pensji potrzeba na nowe lokum w największych miastach?

Średnia cena 55-metrowego mieszkania w Warszawie stanowi równowartość 92 przeciętnych pensji brutto, w Krakowie – 84, w Katowicach – 73. Siła nabywcza klientów wyraźnie maleje. Ratunkiem byłoby zwiększenie podaży.

Pieniądze zabezpieczone przez prokuraturę w czasie zatrzymania podejrzanych

Przestępczość

Korupcja na Ukrainie: Były urzędnik i nauczyciel chcieli wziąć ponad milion dolarów łapówki

Troje mieszkańców obwodu połtawskiego zostało zatrzymanych w ramach działań prokuratury, która oskarża aresztowanych o wyłudzenie 1,25 mln dolarów od przedsiębiorcy z Połtawy.

Część pracowników ma prawo do deputatu węglowego lub do ekwiwalentu pieniężnego za ten deputat. Nie

Praca, Emerytury i renty

Gdzie trzeba dziś pracować, żeby dostać deputat węglowy?

Deputat to część wynagrodzenia za pracę które wypłacane jest w naturze. Jedną z jego najbardziej znanych form jest deputat węglowy. Wbrew pozorom, by go utrzymać, nie trzeba być koniecznie górnikiem. Często również deputat węglowy przybiera przyznawany jest w formie ekwiwalentu pieniężnego. Jego wysokości powiązana jest wtedy z ceną węgla.

Skoda Kodiaq dostępna jest również w wersji 7-osobowej.

Za Kierownicą

Skoda Kodiaq: SUV, który potrafi wszystko

Skoda nie zrewolucjonizowała drugiej generacji modelu Kodiaq. Dlaczego? Bo niemal wszystko było w porządku i niewiele w tym aucie trzeba było zmieniać. I w ten oto sposób wyszedł najlepszy SUV jaki Czesi kiedykolwiek oferowali.

Polityka

Elon Musk włącza się w kampanię Donalda Trumpa. Powalczy dla niego o Pensylwanię

Miliarder, właściciel platformy X, a także dyrektor generalny Tesli i SpaceX, Elon Musk, ma w tygodniach poprzedzających wybory włączyć się osobiście w kampanię Donalda Trumpa, kandydata Partii Republikańskiej na prezydenta - informuje "Politico".

Przewodnicząca Komisji Europejskiej Ursula von der Leyen

Fundusze europejskie

Polska przeciwna demontażowi polityki regionalnej. Ma poparcie europejskich regionów

Polska nie chce centralizacji unijnej polityki spójności. Również europejskie regiony są oburzone planem Ursuli von der Leyen. Obawiają się marginalizacji.

Giełda

GPW. Od hossy po marazm

Rok temu krajowy rynek akcji nabrał wiatru w żagle, m.in. za sprawą oczekiwanych efektów zmian na scenie politycznej.

Opinie Ekonomiczne

Jan Polowczyk: Paradoksy procesów społecznych i gospodarczych

Analitycy biznesu poszukujący źródeł sukcesów firm doszli do wniosku, że podstawową wspólną cechą doskonałych firm jest zdolność do zarządzania wieloznacznością i paradoksem.

Czy ukraińska armia będzie musiała wycofać się z Torećka?

Konflikty zbrojne

Walki w Donbasie: Rosjanie weszli do kolejnego miasta

Niespełna tydzień po wycofaniu się Ukraińców z Wuhłedaru, który był bastionem ukraińskiej armii od początku wojny, rosyjska armia pojawiła się na przedmieściach innego miasta w Donbasie, Torećka (do 2016 roku miasto nazywało się Dzierżyńsk).

Biznes Ludzie Startupy

Jak zbadać zadowolenie pracowników?

Polski start-up opracował inteligentnego asystenta, który ma odciążyć firmy w zadaniach związanych z przelewami, płatnościami i zarządzaniem zespołem. To też narzędzie do wyszukiwania dokumentów. Ale jego funkcjonalności ma szybko przybywać.

Fałszywe reklamy wyłudzające dane i pieniądze internautów to zmora Facebooka. Przestępcy wykorzystuj

Globalne Interesy

Fala fałszywych reklam z gwiazdami. Czy Facebook walczy z oszustami?

Sieć zalewają fałszywe reklamy. Oszuści, wykorzystując wizerunek znanych osób, naciągają internautów, ale platformy społecznościowe niewiele z tym robią.

Społeczeństwo

Aktualna prognoza pogody. Będzie cieplej niż zwykle o tej porze roku. Do kiedy?

Synoptycy przewidują, że w tym tygodniu temperatura w Polsce będzie wyższa niż norma z ostatnich 30 lat. Fala ciepłego powietrza które dociera nad nasz kraj z południowego zachodu to jeden efektów atlantyckiego huraganu Kirk. Zawirowania w pogodzie potrwają kilka dni. Po kilku dniach z temperaturą przekraczającą 20 stopni czeka nas spore ochłodzenie.