Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. Ciężko ocenić jaki cel próbuje osiągnąć ustawodawca, wprowadzając omawianą zmianę. W uzasadnieniu projektu kwestia objęcia usług doradztwa w zakresie cyberbezpieczeństwa nie została poruszona, brak jest o tym jakiejkolwiek wzmianki. W uzasadnieniu wskazuje się natomiast na kwestie oczywiste, tzn.
Świadczymy usługi doradztwa prawnego na rzecz krajowych oraz zagranicznych. EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.
W szczególności trochę więcej, niż wynika to z dyrektywy obowiązywać będzie nasze podmioty kluczowe. Mieliśmy do tego pełne prawo, ale przesłanką było zapewnienie skuteczności prawa przy funkcjonowaniu innych aktów prawnych albo aktów prawnych, które są projektowane. Analiza łańcucha dostaw to osobny, choć powiązany mechanizm. W naszych intencjach leżało, aby wszystkie aspekty dyrektywy były wypełnione. Jeśli doszłoby do uruchomienia tej procedury, to wskazane jest wziąć pod uwagę zarówno aspekty techniczne, jak i nietechniczne. Takie podejście odwzorujemy w procedurze.Jednocześnie, nie jest prawdą pojawiające się niekiedy w dyskursie publicznym stwierdzenie, że procedurze dostawcy wysokiego ryzyka nie można poddać producenta z kraju należącego do NATO lub Unii Europejskiej.
Identyfikacja podmiotów kluczowych i ważnych
- Dodany został zapis o konieczności wskazania mechanizmu służącego określeniu istotnych zasobów i szacowaniu ryzyka.
- Projektowane przepisy wytyczają właściwy kierunek zmian.
- Przykładem tego drugiego typu danych będzie prowadzenie wykazu podmiotów kluczowych i ważnych (art. 46 ust. 1a projektu).
- Konsekwencje tego wydają się być oczywiste – do stosowania regulacji nowelizacji ustawy o KSC będą zobowiązane podmioty, które według poprzedniego projektu byłyby z tego zwolnione.
- Potrzebujemy pilnej, zdecydowanej i precyzyjnej reakcji, która odpowie na rosnące zagrożenia.
Podmioty, które wykonują takie zadania, po prostu będą pod parasolem dyrektywy. Wsparcie zarządzania prawami własności intelektualnej oraz ochrony danych osobowych. Wsparcie w obszarze zarządzania prawami własności intelektualnej oraz ochrony danych osobowych. AI Act stanowi przełomową regulację, która weszła w życie 1 sierpnia 2024 roku, wprowadzając harmonizację prawodawstwa dotyczącego systemów sztucznej inteligencji (AI) w całej Unii Europejskiej.
Przez podmioty bezpośrednio związane z Federacją Rosyjską i Białorusią. Nie dziwi zatem, że w ostatnich latach cyberbezpieczeństwo stało się jednym z priorytetów władz. Cyberbezpieczeństwo zajęło równie wysoką pozycję na liście priorytetów nie tylko administracji publicznej, ale także wśród przedsiębiorców.
W artykule odpowiadamy na kluczowe pytania dotyczące AI Act i analizujemy jego główne założenia. Podsumowując, jako przedsiębiorca musisz aktywnie monitorować procedury uznawania dostawców za DWR, być gotowym do szybkiego reagowania i dostosowywania swojej działalności do nowych regulacji. Wdrożenie odpowiednich procedur zarządzania ryzykiem i planów awaryjnych jest kluczowe dla zapewnienia ciągłości operacyjnej Twojej firmy. Audyt musi być przeprowadzony przez osobę niezależną, która nie była zaangażowana w realizację zadań związanych z bezpieczeństwem informacji w audytowanym podmiocie przez rok przed przystąpieniem do audytu. Dodatkowo, organ do spraw cyberbezpieczeństwa ma prawo nakazać przeprowadzenie audytu i określić termin przekazania sprawozdania. „Moim zdaniem mamy szansę uchwalić nowelizację ustawy o KSC w 2025 roku, ale trzeba pamiętać, że tu znaczenia ma także polityka.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – co warto wiedzieć?
Natomiast certyfikacja – był jej poświęcony rozdział wcześniejszej noweli – jest elementem, który wynika z Cyber Security Act uznaliśmy więc, że ten zakres równie dobrze mógłby zostać ujęty w odrębnej regulacji, która będzie szła swoim torem. Miałaby ona powiązanie z Krajowym Systemem Cyberbezpieczeństwa, ale pierwszym krokiem jest sam system certyfikacji, a dopiero w kolejnym kroku pomyślimy, jak obligatoryjne musiałoby być jego działanie. Przygotowując na zlecenie Ministerstwa Cyfryzacji kolejny projekt wiedzieliśmy już, że tego czasu nie ma. Dlatego zaproponowaliśmy kierownictwu, aby Wskaźnik CHAOS do ustalania punktów wejścia na rynek podzielić całą regulację na dedykowane akty prawne. Udany precedens stanowi chociażby ustawa o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa. Wówczas to działanie było niezbędne do tego, aby zatrzymać specjalistów z zakresu cyberbezpieczeństwa w administracji publicznej, szczególnie w wysokopoziomowych instytucjach bardzo ważnych z punktu widzenia bezpieczeństwa państwa.
Powołanie CSIRT sektorowych (które zastąpią sektorowe zespoły cyberbezpieczeństwa, do tej pory uregulowane w art. 44 ustawy o KSC) stanie się obligatoryjne. W uzasadnieniu projektu nowelizacji ustawy o KSC wskazano, że przepisy dotyczące przedsiębiorców komunikacji elektronicznej w nim zawarte również służą wdrożeniu art. 40 i 41 EKŁE. Warto na marginesie dodać, że przepisy te zostały uchylone przez dyrektywę NIS 2 ze skutkiem od 18 października 2024 r. Do prac sejmowych skierowany został najnowszy projekt nowelizacji ustawy z dnia 6 lipca 2018 r. 11 lipca sejmowe komisje 1 postanowiły przeprowadzić wysłuchanie publiczne w sprawie tego projektu. Dostawcy wysokiego ryzyka, względem dostawców sprzętu i oprogramowania, którzy będą mogli zostać poddani procedurze sprawdzenia pod kątem zagrożenia dot.
A inne elementy, które zawierał poprzedni projekt? Na przykład kwestia SOC – Security Operations Centers?
Taka kwalifikacja następowałaby w drodze decyzji administracyjnej wydawanej przez ministra właściwego ds. Konsekwencją wydania powyższej decyzji byłby obowiązek zaprzestania korzystania przez podmiot kluczowy, podmiot ważny lub przedsiębiorcę telekomunikacyjnego z określonych w decyzji produktów ICT, usług ICT lub procesów ICT. Nowe przepisy mają na celu stworzenie rozwiązań umożliwiających wycofanie z eksploatacji produktów, usług czy procesów ICT zagrażających bezpieczeństwu państwa (np. dostarczanych przez podmioty spoza UE). Obowiązek taki aktualizowałby się, w zależności od rodzaju zakwestionowanego produktu lub usługi, w czasie 4-7 lat od ogłoszenia lub udostępnienia informacji o decyzji.
Proces uznania dostawcy za dostawcę wysokiego ryzyka (DWR) oraz związane z tym obowiązki, takie jak natychmiastowe wstrzymanie korzystania z produktów DWR, ich wycofanie oraz zakaz nabywania w ramach zamówień publicznych, stanowią istotne wyzwanie dla przedsiębiorców. W praktyce oznaczać to będzie wykorzystanie S46 do wymiany informacji zarówno o charakterze operacyjnym, jak i organizacyjnym przez wszystkie podmioty KSC. Przykładem tego Aktualizacja rynku 31 marca drugiego typu danych będzie prowadzenie wykazu podmiotów kluczowych i ważnych (art. 46 ust. 1a projektu).
Skupiliśmy się na implementacji dyrektywy NIS2 oraz tych elementów, które uznaliśmy za niezbędne do prawidłowego funkcjonowania Krajowego Systemu Cyberbezpieczeństwa. ISAC-i (Information Sharing and Analysis Center) i tak z założenia funkcjonują na zasadzie dobrowolności. Stwierdziliśmy więc, że nic nie stoi na przeszkodzie, aby były budowane już teraz. Przed podjęciem decyzji przez Ministra Cyfryzacji, Kolegium ds. Cyberbezpieczeństwa musi wydać opinię, która zawiera analizę ryzyka wynikającego z dalszej współpracy z danym dostawcą. Analiza obejmuje zagrożenia związane z bezpieczeństwem narodowym, zagrożenia ekonomiczne, wywiadowcze, czy terrorystyczne.
- Ministerstwo Cyfryzacji zaprezentowało projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa, który ma istotnie wzmocnić ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni.
- Oprócz danych identyfikujących podmiot, w wykazie znajdzie się m.in.
- Projekt nowelizacji ustawy, podobnie jak dyrektywa NIS 2, zakłada samoidentyfikację podmiotów, które zobowiązane są następnie złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych.
- Najistotniejszą zmianą w stosunku do wcześniejszego (szóstego) projektu nowelizacji z dnia 12 października 2021 r.
- Przewiduje on regulację wielu kwestii związanych z przedsiębiorcami komunikacji elektronicznej.
Kiedy przyjęcie nowelizacji KSC?
Według firmy badawczej IDC popyt na rozwiązania z zakresu cyberbezpieczeństwa rośnie szybciej niż zapotrzebowanie na jakiekolwiek inne technologie cyfrowe. Oczywiste jest zatem, jak pilna jest potrzeba dostosowania przepisów do dzisiejszych realiów cyberprzestrzeni i utrzymanie statusu bezpieczeństwa cyfrowego jako priorytetu sektora publicznego i prywatnego. W zakresie instytucji polecenia zabezpieczającego, to poza koniecznością przeprowadzenia przed ich wydaniem bardziej pogłębionej analizy nie zdecydowano się na wprowadzenie znaczących zmian w stosunku do wersji projektu nowelizacji UKSC z października 2021 r. Eksperci odnieśli się także do wątpliwości dotyczących procedury uznawania podmiotów za dostawców wysokiego ryzyka.
Po uzyskaniu opinii Kolegium, Minister Cyfryzacji podejmuje decyzję o uznaniu dostawcy DWR. Decyzja ta jest natychmiast publikowana w Dzienniku Urzędowym „Monitor Polski” i podlega natychmiastowemu wykonaniu. Oznacza to, że podmioty kluczowe mają obowiązek przystąpić do jej realizacji bez zwłoki. Ministerstwo Cyfryzacji zakończyło prace nad projektem ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która wprowadza ważne modyfikacje w zarządzaniu bezpieczeństwem cyfrowym w Polsce. Projekt ustawy, zmieniony w wyniku uwzględnienia wielu uwag rynku i ekspertów, odpowiada na rosnące zagrożenia związane z cyberatakami i potrzeby rynku. Dokument zostanie skierowany do rozpatrzenia przez komitety Rady Ministrów oraz do Komisji Wspólnej Rządu i Samorządu Terytorialnego.
16 Możliwość fakultatywnego przekazywania informacji do CSIRT krajowych lub sektorowych. Oprócz opisanych wyżej zmian, w nowelizacji wprowadzono dodatkowe przepisy dotyczące kar pieniężnych, które mają Broker forex MaxiTrade służyć zwiększeniu ich skuteczności i egzekwowalności. Świadczenie przez nią usług ma istotne znaczenie na poziomie krajowym lub województwa lub ma znaczenie dla dwóch lub więcej sektorów określonych w załączniku nr 1 lub nr 2 do ustawy.
Aby zapewnić zgodność z nowymi przepisami, nowelizacja wprowadza szczegółowy system kar pieniężnych. Te sankcje mają na celu egzekwowanie przestrzegania przepisów zarówno przez podmioty kluczowe i ważne, jak i przez osoby zarządzające tymi podmiotami. „Ostatnio Polska dostała wysokie kary za niewdrożenie EKŁE (Europejskiego Kodeksu Łączności Elektronicznej) poprzez nieuchwalenie Prawa komunikacji elektronicznej. Dobrze by było, żebyśmy tym razem w miarę szybko te przepisy uchwalili i przystąpili do intensywnego budowania świadomości o nowych przepisach – bo obecnie wiele podmiotów nawet nie jest świadoma obowiązków, które będą na nich spoczywać” – podkreślała w rozmowie z naszym serwisem. 1 Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych.
Szczególnie zadbać trzeba o świadomość i rzetelną wiedzę wśród podmiotów, które mają KSC zostać objęte po raz pierwszy. Nowelizacja ustawy KSC to odpowiedź na dynamicznie zmieniające się realia technologiczne i geopolityczne oraz rosnącą liczbę cyberataków. Przepisy wprowadzają nowe obowiązki dla przedsiębiorców i podmiotów publicznych, ale równocześnie zapewniają mechanizmy wsparcia dla samorządów i sektora MŚP.
Co usunięto z projektu w stosunku do jego poprzednich wersji? Przepisy dotyczące Operatora Strategicznej Sieci Bezpieczeństwa (OSSB). Obecnie obowiązująca ustawa z 5 lipca 2018 roku jest już – pisząc oględnie – przestarzała, zwłaszcza jeśli weźmie się pod uwagę rosnącą skalę cyberzagrożeń, sytuację geopolityczną i potrzebę wzmocnienia systemu bezpieczeństwa państwa zarówno na poziomie krajowym, jak i międzynarodowym. Przepisy dotyczące OSSB były tą częścią poprzedniej wersji ustawy, nad którą w ostatnim roku spędziliśmy najwięcej czasu, jeszcze zanim trafiła ona na poziom rządowy.
Leave a Reply