KSC podpisane przez Nawrockiego - część przepisów do Trybunału Konstytucyjnego

Prezydent podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, jednocześnie zapowiadając skierowanie do Trybunału Konstytucyjnego wniosku o kontrolę następczą w zakresie przepisów nakładających obowiązki na przedsiębiorców.

Oświadczenie Nawrockiego:

Podpisałem ustawę o krajowym systemie cyberbezpieczeństwa. Żyjemy w epoce, w której wojna nie zawsze zaczyna się od wystrzału. Czasem zaczyna się od kliknięcia. Liczba cyberataków rośnie dramatycznie. Bezpieczeństwo cyfrowe jest dziś elementem bezpieczeństwa państwa. Ta ustawa wzmacnia mechanizmy obronne, poprawia współpracę instytucji i pozwala eliminować dostawców wysokiego ryzyka. Bezpieczeństwo nie ma barw partyjnych. Dlatego tę ustawę podpisałem, choć muszę także zareagować na głos przedsiębiorców, którzy uważają, że ustawowe obowiązki stosowane wobec nich są nadmiarowe i nieproporcjonalne. Aspekt ten powinien zbadać Trybunał Konstytucyjny, dlatego w tej sprawie skieruję wniosek o kontrolę następczą.

Komunikat prasowy kancelarii Nawrockiego:

(...)

Uchwalona ustawa dostosowuje krajowy system cyberbezpieczeństwa do zmienionego otoczenia cyfrowego i rosnącej skali zagrożeń w cyberprzestr zeni. Zmiany obejmują m.in. rozszerzenie katalogu podmiotów objętych obowiązkami, zastąpienie dotychczas owego podziału na operatorów usług kluczowych i dostawców usług cyfrowych nową kategorią podmiotów kluczowych i podmiotów ważnych, wzmocnienie systemu reagowania na incydenty oraz do -precyzowanie ról organów odpowiedzialnych za cyberbezpieczeństwo. Ustaw a wprowadza nową strukturę krajowego systemu cyberbezpieczeństwa, rozszerza obowiązki podmiotów publicznych i prywatnych w obszarze cyberbezpieczeństwa, określa na nowo kompetencje organów państwowych oraz wprowad za mechanizmy prewencyjne i kontrolne w odn iesieniu do podmiotów kluczowych i ważnych. W ustawie wprowadzono też definicję podmiotów kluczowych, czyli tych, których działanie ma istotne znaczenie dla funkcjonowania państwa i gospodarki, oraz podmiotów ważnych, które mimo mniejszej skali działania n adal muszą spełniać obowiązki w zakresie cyberbezpieczeństwa, w tym zgłaszać incydenty i stosować podstawowe procedury ochrony systemów informacyjnych.

Najważniejsze zmiany zawarte w ustawie polegają na:

1) rozszerzeniu katalogu podmiotów krajowego syste mu cyberbezpieczeństwa o nowe sektory gospodarki tj. zarządzania technologią informacyjno -komunikacyjną (ICT), przestrzeni kosmicznej, poczty, produkcji, w tym produkcji i dystrybucji chemikaliów, żywności oraz gospodarowania ściekami;

2) nałożeniu obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe oraz podmioty ważne w cyberbezpieczeństwie, dotyczących stosowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych służących zarządzaniu ryzykiem dla bezpi eczeństwa sieci i systemów informatycznych;

3) uregulowaniu zasad odpowiedzialności kierownika podmiotu kluczowego lub podmiotu ważnego za realizację zadań z zakresu cyberbezpieczeństwa – kierownik takiego podmiotu będzie odpowiedzialny za realizację zadań przez dany podmiot, a w przypadku niewywiązania się z obowiązków na kierownika będą mogły być nałożone kary; kierownik będzie również obowiązany do odbycia stosownego szkolenia z zakresu cyberbezpieczeństwa;

4) wprowadzeniu możliwości zgłaszania incydentó w przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw in formatyzacji, do właściwych zespołów CSIRT sektorowych i CSIRT poziomu krajowego;

5) utworzeniu zespołów CSIRT sektorowych w poszczególnych sektorach gospodarki, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa. Utworzenie CSIRT -ów sektorowych ma nastąpić w ciągu 18 miesięcy od wejścia w życie ustawy;

6) wzmocnieniu kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa; wzmocnienie kompetencji obejmuje umożliwienie wydawania ostrzeżeń, wyznaczania urzędnika monitorującego wykonywanie obowiązków przez dany pod -miot kluczowy, nakazywania przeprowadzenia oceny bezpieczeństwa s ystemu informacyjnego lub audytu bezpieczeństwa;

7) wprowadzeniu kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe lub podmioty ważne, m.in. za niewdrożenie systemu zarządzania bezpieczeństwem informacji czy niezarejestrowa nie s ię w wykazie podmiotów klu czowych i podmiotów ważnych;

8) wprowadzeniu Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę;

9) rozszerzeniu kompetencji ministra ds. informatyzacji – organ ten będzie mógł dokona ć, w drodze decyzji, prawnej identyfikacji dostawcy wysokiego ryzyka, będzie mógł też wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego;

10) wzmocnieniu pozycji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa poprzez:

a. zapewnienie możliwości żądania od organów administracji rządowej informacji niezbędnych do wykonywania jego zadań;

b. przyznanie uprawnienia do zlecania wykonan ia badań niezbędnych do realizacji zadań;

c. wprowadzenie możliwośc i dokonywania zakupu oprogramowania z zakresu cyberbezpieczeństwa dla uczestników posiedzeń Połączonego Centrum Operacyjnego Cyberbezpieczeństwa;

d. utrzymanie w mocy rekomendacji mających na celu wzmocnienie poziomu cyberbezpieczeństwa systemów informacyjnych podmiotów krajowego systemu cyberbezpieczeństwa, jak i uprawnienia do ich wydawania;

11) rozszerzeniu kompetencji zespołów CSIRT poziomu krajowego, w tym CSIRT NASK, co jest związane ze zwiększoną liczbą podmiotów kluczowych i podmiotów ważnych, którym CSIRT NASK będzie udzielał wsparcia w reagowaniu na incydenty;

12) rozwijaniu kompetencji ministra w zakresie edukacji cyberbezpieczeństwa – przewiduje się środki na prowadzenie kampanii edukacyjnych i programów z zakresu cyberbezpieczeństwa.

Ustawa wchodzi w życie po upływie miesiąca od dnia ogłoszenia.

Pomimo, iż Prezydent podpisał ustawę, to jednocześnie podjął decyzję o skierowaniu ustawy do kontroli następczej przez Trybunał Konsty tucyjny z następujących powodów. Wątpliwości budzi objęcie ustawą aż 18 branż gospodarki pogrupowanych w podmioty kluczowe i ważne. Przy czym, rozszerzenie to nie wynika z przepisów europejskich , a jest samodzielną inicjatywą rządu. Zasadne jest zgłoszenie zastrzeżeń również wobec przepisów regulujących zasady uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz zasady wydawania t zw. „poleceń zabezpieczających”. Przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania , i bez zabezpieczenia środków finansowych na ten cel. Ponadto wadliwy jest system podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych , z punktu widzenia gwarancji proceduralnych oraz w zakresie ochrony sądowej.

Przewidziany ustawą system kar administracyjnych jest restrykcyjny , a wysokość możliwych do nałożenia kar ma wręcz charakter samodzielnych środków karnych.

Prezydent zdecydował zatem o przekazaniu ustawy do Trybunał u Konstytucyjnego celem weryfikacji podniesionych zarzutów dotyczących naruszenia przepisów Konstytucji RP.