Polska wyda 4 mld zł. Co zmieni nowa ustawa o cyberbezpieczeństwie?

• Polska przeznaczy rekordowe 4 mld zł na cyberbezpieczeństwo w 2025 roku, aby wzmocnić "cybertarczę" w obliczu 50-60 tys. cyberataków miesięcznie.
• Nowa ustawa o KSC, wdrażająca unijną dyrektywę NIS 2, wprowadza kategorie "podmiotów kluczowych" i "podmiotów ważnych" z zaostrzonymi wymogami i karami finansowymi za zaniedbania. 
• Przepisy rozszerzają zakres sektorów objętych systemem cyberbezpieczeństwa o m.in. gospodarkę ściekami, usługi pocztowe i produkcję żywności. 
• Ustawa wprowadza pojęcie "dostawcy wysokiego ryzyka", co umożliwi wycofywanie sprzętu i oprogramowania od takich firm z kluczowych podmiotów w ciągu 4-7 lat.

Dlaczego nowa ustawa o cyberbezpieczeństwie jest kluczowa?

Minister cyfryzacji Krzysztof Gawkowski podkreśla, że przyjęcie ustawy to przełom.

- Jest to kluczowy dokument, dzięki której w Polsce nasza cybertarcza będzie jeszcze wyżej podniesiona – stwierdził w programie #NaPierwszejLinii. Szef resortu dodał, że jego gabinetowi udało się to, czego poprzednicy nie zrobili przez lata. - Jak przychodziłem do resortu mówiono, że też wam się nie uda – wspominał.

Skala zagrożenia jest ogromna. Jak mówi minister, "czołgi cyfrowe w tej wojnie hybrydowej już stoją na naszych ulicach". Dane przytoczone przez szefa MC są alarmujące. W ciągu miesiąca dochodzi do ok. 50-60 tys. cyberataków, a w skali całego ubiegłego roku było ich ok. 600 tys. Mimo to, jak zaznacza wicepremier Krzysztof Gawkowski, Polska jest w czołówce. "Jesteśmy w TOP5 najlepiej zabezpieczonych państw na świecie. Odpieramy prawie 99 proc. ataków" – podkreślił minister. W 2025 roku Polska wyda rekordowe ponad 4 miliardy złotych na cyberbezpieczeństwo, co ma wzmocnić krajowy system.

Jakie zmiany wprowadza nowelizacja ustawy o KSC?

Głównym celem nowelizacji jest wdrożenie unijnej dyrektywy NIS 2 oraz zaleceń Toolbox 5G, co ma dostosować polskie prawo do dynamicznie zmieniającego się krajobrazu cyberzagrożeń. Nowe przepisy rezygnują z podziału na operatorów usług kluczowych i dostawców usług cyfrowych na rzecz dwóch nowych kategorii: "podmiotów kluczowych" i "podmiotów ważnych".

Projekt nowelizacji ustawy o KSC wprowadza dla podmiotów kluczowych i ważnych bardziej surowe wymagania dotyczące zarządzania ryzykiem oraz obowiązek zgłaszania incydentów cybernetycznych. Każdy z takich podmiotów będzie musiał wyznaczyć kierownika odpowiedzialnego za cyberbezpieczeństwo, któremu za ewentualne zaniedbania będą grozić kary finansowe. Nowela usprawnia także system zgłaszania incydentów, które będą trafiać przez specjalny system teleinformatyczny do odpowiednich zespołów CSIRT – zarówno sektorowych, jak i krajowych.

Kogo obejmą nowe przepisy i co to jest dostawca wysokiego ryzyka?

Nowe prawo znacząco rozszerza listę sektorów objętych krajowym systemem cyberbezpieczeństwa. Dołączą do niej m.in. gospodarka ściekami, zarządzanie usługami ICT, sektor kosmiczny, usługi pocztowe, a także produkcja, zaopatrzenie i dystrybucja chemikaliów oraz żywności. To odpowiedź na rosnącą cyfryzację kluczowych gałęzi gospodarki. Jedną z najważniejszych nowości jest wprowadzenie pojęcia "dostawcy wysokiego ryzyka". Minister cyfryzacji otrzyma kompetencje do wskazania takiej firmy na podstawie kryteriów technicznych i nietechnicznych. Sprzęt i oprogramowanie od dostawcy uznanego za wysokiego ryzyka będzie musiał zostać wycofany z użytku w podmiotach kluczowych i ważnych. Ustawa daje na to konkretny czas: 7 lat dla podmiotów kluczowych oraz 4 lata dla operatorów telekomunikacyjnych. Aby wesprzeć firmy w realizacji nowych zadań, powstaną także sektorowe zespoły reagowania na incydenty (CSIRT).