Operatorzy usług kluczowych i dostawcy usług cyfrowych mogą się spodziewać nałożenia kary w wysokości nawet miliona złotych. Taka sankcja ma grozić za uporczywe naruszanie przepisów ustawy o krajowym systemie cyberbezpieczeństwa. Nad zmianą aktu prawnego pracują posłowie. Nowelizacja przede wszystkim ujednolici polskie przepisy z normami unijnymi.
Zgodnie z nowelizacją powołane zostaną trzy Zespoły Reagowania na Incydenty Komputerowe (CSRiT). Działać będą przy Ministrze Obrony Narodowej, Narodowym Centrum Bezpieczeństwa oraz przy rządzie.
Kary mają grozić w sektorach usług mających kluczowe znaczenie dla państwa, a więc w:
Powyższa kara ma dotyczyć między innymi sytuacji, gdy operator usługi kluczowej uchyla się od zgłaszania incydentów oraz nie stosuje odpowiednich zabezpieczeń.
Każdy incydent operator powinien niezwłocznie zgłosić do CSRiT. Musi również określić rodzaj tego incydentu i zakwalifikować go jako poważny, istotny lub krytyczny.
Ponadto w ustawie określone zostaną wymogi, jakie musi spełnić operator usługi kluczowej oraz pozostałe jego obowiązki. Najważniejszym z nich jest konieczność zapewnienia ciągłości świadczenia usług oraz ich bezpieczeństwo. Operator musi również wyznaczyć osobę do kontaktu z CSRiT, Ministerstwem Cyfryzacji oraz z pozostałymi operatorami usług kluczowych.
Ustawa nakłada również szereg obowiązków na dostawców usług cyfrowych. Taki podmiot musi zapewnić odpowiedni poziom bezpieczeństwa usług, w zależności od ryzyka, na jakie są one narażone. Musi on więc:
Nowelizacja opisuje ponadto procedurę zgłaszania istotnych incydentów. Ich zgłoszenie ma się odbywać w formie elektronicznej. W przypadku braku takiej możliwości - przy użyciu innych dostępnych środków komunikacji.
Zgłoszenie incydentu musi zawierać:
Rozpiętość kar przewidzianych w nowych przepisach waha się od 15 tyś złotych do nawet miliona złotych. Te najniższe grozić będą między innymi za niewyznaczenie osoby do kontaktu z podmiotami wchodzącymi w skład krajowego systemu bezpieczeństwa. Najwyższa kara przewidziana jest za nagminne i uporczywe uchylanie się od obowiązków nałożonych ustawą.
Za każdy przypadek niezgłoszenia poważnego lub istotnego incydentu ma grozić od 20 tyś złotych. Natomiast 200 tyś zł to kara przewidziana za nieprzeprowadzenie audytu czy też nieusunięcie w terminie nieprawidłowości odkrytych podczas kontroli.
Nowelizacja przewiduje również utworzenie nowej instytucji: Pełnomocnika do Spraw Cyberbezpieczeństwa. Do jego obowiązków ma należeć:
Utworzone ma również zostać Kolegium do Spraw Cyberbezpieczeństwa. Miałoby ono być organem opiniodawczym i doradczym, a jego głównymi zadaniami byłyby: planowanie, nadzór i koordynowanie działaniami zespołów CSRiT oraz sektorowych systemów cyberbezpieczeństwa.
Projekt jest po pierwszym czytaniu w Sejmie. Został skierowany do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej.