Ministerstwo Cyfryzacji zbliża się do zakończenia prac nad nowelizacją przepisów ustawy o krajowym systemie cyberbezpieczeństwa. Zakłada ona wdrożenie unijnych przepisów – Toolbox 5G oraz dyrektywy NIS 2.
Toolbox 5G
Pierwszy ze wspomnianych aktów ma na celu harmonizację i standaryzację sieci 5G na poziomie unijnym. Wyróżnia także 3 rodzaje środków zabezpieczających – na poziomie strategicznym (dot. większych uprawnień dla organów właściwych), wspierającym (dot. prac nad europejskim programem standaryzacji) oraz technicznym (dot. badania bezpieczeństwa oprogramowania).
Dyrektywa NIS 2
Dyrektywa nakłada nowe zobowiązania dotyczące zapewnienia bezpieczeństwa cybernetycznego na podmioty kluczowe oraz ważne. Te instytucje będą zobowiązane wdrożyć system zarządzania bezpieczeństwem informacji w ramach procesów związanych z świadczeniem usług. To odpowiada wymogom dotyczącym zarządzania ryzykiem określonym w art. 21 dyrektywy NIS 2.
Nowelizacja poszerza zakres podmiotów kluczowych i ważnych – podmiotem kluczowym będzie
- Osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, wskazana w załącznikach do ustawy (dostawcy energii, żywności, chemikaliów etc.), która przewyższa wymogi dla średniego przedsiębiorstwa,
- Przedsiębiorca komunikacji elektronicznej,
- Niezależnie od wielkości podmiotu: podmiot krytyczny, podmiot publiczny, dostawca usług DNS.
Podmiotami ważnymi będą między innymi:
- Osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, wskazana w załącznikach do ustawy, która nie jest podmiotem kluczowym,
- Niekwalifikowani dostawcy usług zaufania będący mikro-, małymi lub średnimi przedsiębiorcami;
- Przedsiębiorcy komunikacji elektronicznej będący mikro-, lub małymi przedsiębiorcami w rozumieniu rozporządzenia;
- Podmioty zidentyfikowane jako podmioty ważne przez organ właściwy do spraw cyberbezpieczeństwa.