В записи, опубликованной на сайте X, президент заявил, что поправка к Закону о национальной системе кибербезопасности (KSC) укрепляет защитные механизмы, улучшает сотрудничество между учреждениями и позволяет устранять поставщиков с высоким уровнем риска. Он добавил, что подписал поправку, потому что «безопасность не имеет партийных цветов».. Однако он отметил, что ему приходится реагировать на голос предпринимателей, которые воспринимают содержащиеся в поправке обязательства «как чрезмерные и непропорциональные». Он сообщил, что в связи с этим подал запрос в Конституционный трибунал для последующего рассмотрения положений.
КСК: что важно и что только важно?
«Успех правительства Дональда Туска в области кибербезопасности!» — Заместитель министра цифровизации Павел Ольшевский, ответственный за подготовку поправки, прокомментировал решение президента на сайте X. «Несмотря на очередную уловку с Конституционным трибуналом, спустя 6 лет Польша имеет современную национальную систему кибербезопасности», — добавил он, имея в виду время, необходимое для обработки поправки. По мнению Ольшевского, Польша становится гораздо более сложной мишенью в киберпространстве. «Мы не можем позволить себе полумеры», — подчеркнул он..
В поправке к Закону о KSC ключевыми секторами являются: энергетика, транспорт, здравоохранение, инфраструктура банковского и финансового рынка, водоснабжение, цифровая инфраструктура, а также недоступные ранее в КСК: канализация, управление ИКТ (ИТ-инфраструктура) и космос. Ключевые секторы также включают государственные учреждения, в том числе офисы, местные органы власти, школы, больницы и научно-исследовательские институты.
Однако, согласно поправке, к важным секторам относятся: почтовые услуги; управление отходами; поставщики цифровых услуг; производство и распространение химикатов; производство, переработка и распространение продуктов питания; производство, в том числе: медицинское оборудование, компьютеры, электрические устройства, автомобили, прицепы и полуприцепы.
Согласно поправке, компании должны сами оценить, соответствуют ли они критериям ключевого или важного субъекта.. В случае положительного ответа они будут обязаны зарегистрироваться в списке субъектов КСК и получат для этого 6 месяцев с момента самоидентификации. Несообщение в систему может привести к наложению штрафа.
Национальная система кибербезопасности: что еще в законе?
Поправка предусматривает, что у организаций из ключевых и важных секторов появится ряд новых обязательств, связанных с кибербезопасностью, включая внедрение системы управления информационной безопасностью, регулярную оценку риска инцидентов и управление инцидентами. Также будет обязательным сбор информации о киберугрозах и уязвимостях к инцидентам, а также принятие мер по ограничению воздействия инцидентов. К таким мерам относятся, например, регулярные обновления программного обеспечения или принятие немедленных мер после обнаружения угрозы.
Субъекты, подпадающие под действие KSC, также должны будут реализовать технические и организационные меры, пропорциональные оцененному риску, которые должны быть адаптированы, среди прочего, к: размеру организации. Эти меры включают политики и процедуры кибербезопасности, контроль доступа к системам, безопасные средства связи, включая многофакторную аутентификацию, и обучение сотрудников. Реализованные меры призваны обеспечить безопасность людей, окружающей среды, ресурсов предприятия и цепочки поставок ИКТ-продуктов, услуг и процессов.. Они также предназначены для обеспечения непрерывности деятельности организации и возможности предоставления услуг в случае инцидента.
Поправка предполагает, что ключевые и важные субъекты будут предоставлять друг другу информацию об инцидентах, киберугрозах и уязвимостях с помощью системы s46. Кроме того ключевые субъекты будут обязаны проводить аудит безопасности за свой счет не реже одного раза в 3 года.
Ключевым и важным субъектам будет предоставлено 12 месяцев для адаптации к правилам – со дня вступления в силу закона о поправках. Поправка также предусматривает создание отраслевых групп CSIRT, которые будут оказывать поддержку организациям, подпадающим под действие KSC, в реагировании на инциденты кибербезопасности. В соответствии с законом также будет введен Национальный план реагирования на масштабные инциденты и кризисы в сфере кибербезопасности.. Он должен быть принят Советом министров в течение 6 месяцев со дня вступления поправки в силу. Однако министр цифровых технологий сможет издать охранный приказ, определяющий поведение, которое ограничит последствия продолжающегося критического инцидента. В рамках этого он может, например, поручить предприятию провести анализ рисков или защитить определенную информацию.
Поправка вводит термин «серьезный инцидент», т.е. тот, который вызывает или может вызвать: серьезное ухудшение качества; нарушение непрерывности обслуживания; финансовые потери; или тот, который затрагивает других физических и юридических лиц, причиняя серьезный вред. Ключевые и важные организации должны будут сообщать о таких инцидентах в соответствующую CSIRT в течение 72 часов с момента обнаружения. Однако им придется сообщить о «раннем предупреждении» в отраслевую CSIRT в течение 24 часов. Субъекты КСК также были обязаны уведомлять пользователей услуг о серьезном инциденте – если этот инцидент оказывает негативное влияние на предоставление услуг.
КСК: за несоблюдение регламента будут штрафы
За несоблюдение правил на предпринимателей, подпадающих под действие КСК, будут наложены финансовые штрафы. Штраф для ключевых лиц может составить 2%. доходы компании; минимум 20 тысяч злотых и максимум 10 миллионов евро (ок. 42,4 миллиона злотых). Однако штрафы для важных субъектов могут составить 1,4%. доходы компании; мин. 15 тысяч злотых и макс. 7 миллионов евро (ок. 20 миллионов злотых). Независимо от лимитов, неисполнение распоряжения органа кибербезопасности влечет за собой штраф в размере от 500 до 100 000 злотых. злотых за каждый день просрочки. Такое наказание может быть наложено, например, за неисполнение приказа о принятии конкретных мер по урегулированию серьезного инцидента или за непроведение проверки.
Закон также предусматривает штрафы в размере до 100 миллионов злотых в ситуации, когда ключевое или важное лицо установлено как нарушающее положения Закона.и одновременно создает прямую и серьезную угрозу кибербезопасности обороне, государственной безопасности, общественной безопасности и правопорядку, жизни и здоровью людей; или вызывает угрозу серьезного имущественного ущерба или серьезных затруднений в предоставлении услуг.
В ходе парламентской работы над законом были приняты изменения, уточняющие выбранные решения. Один из них ввел обязанность представителя президента участвовать в работе правительства над постановлением Совмина о Национальном плане реагирования на масштабные инциденты и кризисы кибербезопасности. Следующий предусматривал, что административные штрафы за неисполнение обязательств, вытекающих из изменения Закона о КСК, могут быть наложены впервые по истечении 2 лет со дня вступления поправки в силу. Это решение призвано дать возможность регулируемым организациям адекватно подготовиться к новым требованиям.
Предыдущая версия Закона о KSC датируется 2018 годом и не содержит каких-либо положений, реализующих директиву EU NIS 2. Срок ее внедрения в национальный правопорядок истек 18 октября 2024 года. Поправка к Закону о национальной системе кибербезопасности должна вступить в силу через месяц после ее объявления.
