Operatorzy usług kluczowych i dostawcy usług cyfrowych mogą się spodziewać nałożenia kary w wysokości nawet miliona złotych. Taka sankcja ma grozić za uporczywe naruszanie przepisów ustawy o krajowym systemie cyberbezpieczeństwa. Nad zmianą aktu prawnego pracują posłowie. Nowelizacja przede wszystkim ujednolici polskie przepisy z normami unijnymi.
Zgodnie z nowelizacją powołane zostaną trzy Zespoły Reagowania na Incydenty Komputerowe (CSRiT). Działać będą przy Ministrze Obrony Narodowej, Narodowym Centrum Bezpieczeństwa oraz przy rządzie.
Kary mają grozić w sektorach usług mających kluczowe znaczenie dla państwa, a więc w:
- energetyce,
- transporcie,
- bankowości,
- instytucjach finansowych,
- sektorze ochrony zdrowia,
- sektorze zaopatrzenia w wodę,
- infrastrukturze cyfrowej.
Obowiązek zgłaszania incydentów
Powyższa kara ma dotyczyć między innymi sytuacji, gdy operator usługi kluczowej uchyla się od zgłaszania incydentów oraz nie stosuje odpowiednich zabezpieczeń.
Każdy incydent operator powinien niezwłocznie zgłosić do CSRiT. Musi również określić rodzaj tego incydentu i zakwalifikować go jako poważny, istotny lub krytyczny.
Ponadto w ustawie określone zostaną wymogi, jakie musi spełnić operator usługi kluczowej oraz pozostałe jego obowiązki. Najważniejszym z nich jest konieczność zapewnienia ciągłości świadczenia usług oraz ich bezpieczeństwo. Operator musi również wyznaczyć osobę do kontaktu z CSRiT, Ministerstwem Cyfryzacji oraz z pozostałymi operatorami usług kluczowych.
Obowiązki dostawców
Ustawa nakłada również szereg obowiązków na dostawców usług cyfrowych. Taki podmiot musi zapewnić odpowiedni poziom bezpieczeństwa usług, w zależności od ryzyka, na jakie są one narażone. Musi on więc:
- działać w sposób umożliwiający wykrycie, zarejestrowanie, przeanalizowanie oraz zaklasyfikowanie incydentów,
- zapewnić dostęp do tych informacji CSRiT.
Zgłaszanie istotnych incydentów
Nowelizacja opisuje ponadto procedurę zgłaszania istotnych incydentów. Ich zgłoszenie ma się odbywać w formie elektronicznej. W przypadku braku takiej możliwości - przy użyciu innych dostępnych środków komunikacji.
Zgłoszenie incydentu musi zawierać:
- dane zgłaszającego, w tym firmę przedsiębiorcy,
- numer we właściwym dla przedsiębiorcy rejestrze,
- siedzibę i adres,
- imię i nazwisko,
- numer telefonu,
- adres poczty elektronicznej
- opis wpływu incydentu na świadczenie usługi,
- liczbę użytkowników objętych incydentem.
Kary dla dostawców i operatorów
Rozpiętość kar przewidzianych w nowych przepisach waha się od 15 tyś złotych do nawet miliona złotych. Te najniższe grozić będą między innymi za niewyznaczenie osoby do kontaktu z podmiotami wchodzącymi w skład krajowego systemu bezpieczeństwa. Najwyższa kara przewidziana jest za nagminne i uporczywe uchylanie się od obowiązków nałożonych ustawą.
Za każdy przypadek niezgłoszenia poważnego lub istotnego incydentu ma grozić od 20 tyś złotych. Natomiast 200 tyś zł to kara przewidziana za nieprzeprowadzenie audytu czy też nieusunięcie w terminie nieprawidłowości odkrytych podczas kontroli.
Nowy Pełnomocnik ds Cyberbezpieczeństwa
Nowelizacja przewiduje również utworzenie nowej instytucji: Pełnomocnika do Spraw Cyberbezpieczeństwa. Do jego obowiązków ma należeć:
- koordynowanie pracy poszczególnych instytucji na szczeblu krajowym,
- analizowanie i ocenianie funkcjonowania krajowego systemu cyberbezpieczeńśtwa,
- nadzorowanie procesu zarządzania ryzykiem,
- opiniowanie projektów aktów prawnych i innych dokumentów związanych z krajowym systemem cyberbezpieczeństwa,
- inicjowanie ćwiczeń dotyczących cyberbezpieczeństwa na szczeblu krajowym.
Utworzone ma również zostać Kolegium do Spraw Cyberbezpieczeństwa. Miałoby ono być organem opiniodawczym i doradczym, a jego głównymi zadaniami byłyby: planowanie, nadzór i koordynowanie działaniami zespołów CSRiT oraz sektorowych systemów cyberbezpieczeństwa.
Projekt jest po pierwszym czytaniu w Sejmie. Został skierowany do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej.
