Jeśli incydent nie zostanie zakończony w ciągu miesiąca, zgłaszający powinien przesłać sprawozdanie z postępu obsługi incydentu, Pobierz aktualizację z różnego rodzaju wiadomości biznesowe a sprawozdanie końcowe przedłożyć do miesiąca po zakończeniu takiej obsługi. Przypomniała też, że po 17 października Polska jest po terminie wdrożenia dyrektywy NIS2. Chce, aby projekt ten został przyjęty przez Radę Ministrów i skierowany do prac parlamentarnych, tak aby uchwalić ustawę z początkiem 2025 r.

W pierwszej kolejności organ właściwy informuje podmiot kluczowy lub ważny o wstępnych ustaleniach, które mogą prowadzić do zastosowania wobec podmiotu środków egzekwowania przepisów. Może on jednak odstąpić od przekazania takiej informacji, jeżeli utrudniłoby to natychmiastowe działanie w celu zapobieżenia incydentom, reakcji na nie lub mogłoby mieć niekorzystny wpływ na bezpieczeństwo państwa lub porządek publiczny. Ponadto, podmioty kluczowe i ważne mają obowiązek przekazywania, na żądanie organu właściwego, danych, informacji i dokumentów niezbędnych do wykonywania przez organ jego ustawowych uprawnień i obowiązków z zakresu sprawowania nadzoru i kontroli. Żądanie organu powinno być proporcjonalne do celu, któremu ma służyć oraz zawierać m.

Gdański gazoport zwiększy zdolności regazyfikacyjne? “Jest zainteresowanie firm”

Ministerstwo Cyfryzacji zaprezentowało projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa, który ma istotnie wzmocnić ochronę obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni. Uwzględnia także przepisy unijnej dyrektywy NIS2, do implementacji, której Polska jest zobowiązana. Założeniem jest, aby nowe regulacje zostały przyjęte jeszcze w tym roku. Ministerstwo Cyfryzacji zakończyło prace nad projektem ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która wprowadza ważne modyfikacje w zarządzaniu bezpieczeństwem cyfrowym w Polsce. Projekt ustawy, zmieniony w wyniku uwzględnienia wielu uwag rynku i ekspertów, odpowiada na rosnące zagrożenia związane z cyberatakami i potrzeby rynku. Dokument zostanie skierowany do rozpatrzenia przez komitety Rady Ministrów oraz do Komisji Wspólnej Rządu i Samorządu Terytorialnego.

• Nowelizacja KSC przewiduje obniżenie sankcji z 600% do 300% wynagrodzenia, co ma na celu dostosowanie ich do realnych możliwości finansowych.
• To dodatkowy mechanizm, który ma na celu motywowanie osób na stanowiskach kierowniczych do pilnego przestrzegania przepisów.
• Projekt, finansowany z Krajowego Planu Odbudowy, jest już na etapie realizacji – jednak wciąż do 2 października 2025 r.
• Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej.
• Potrzebna jest szybka nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz implementacja regulacji europejskich.
• Podmioty kluczowe i ważne będą obowiązane korzystać z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach.

Nowelizacja ustawy o KSC coraz bliżej Sejmu. Będą nowe obowiązki dla firm i administracji

Haktywistów powiązanych z Rosją, którzy coraz częściej atakują polską infrastrukturę krytyczną. O otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. z 2023 r. poz. 1524). Nałożona na podmiot lub jego kierownika kara pieniężna musi zostać uiszczona w terminie 14 dni od dnia, w którym decyzja o jej wymierzeniu stała się ostateczna lub od dnia doręczenia decyzji z klauzulą natychmiastowej wykonalności.

Podział podmiotów publicznych na kluczowe i ważne (Art.

Niezwłocznie, nie później niż 24 godziny po wykryciu incydentu poważnego (a w przypadku przedsiębiorców komunikacji elektronicznej – 12 godzin), powinno zostać złożone tzw. Dane zgłaszającego, w tym kontakt do osób uprawnionych do składania wyjaśnień oraz informacje o momencie wystąpienia incydentu. Ostrzeżenie wczesne może także zawierać wniosek o wskazanie wytycznych dotyczących środków łagodzących skutki incydentu lub o wsparcie techniczne. Jeśli incydent kwalifikuje się jako przestępstwo, sektorowy CSIRT przekazuje informacje o sposobie zgłoszenia tego faktu organom ścigania. Sektorowy CSIRT musi udzielić wsparcia w ciągu 24 godzin zgodnie z treścią wniosku. Projekt jasno wskazuje, że dostawcy publicznych sieci łączności elektronicznej i dostawcy publicznie dostępnych usług łączności elektronicznej, w zależności od wielkości prowadzonego przedsiębiorstwa, będą traktowani jako podmioty kluczowe lub ważne.

Kolejna wersja nowelizacji ustawy o KSC

Zgodnie z obecną wersją przepisów, za niedochowanie należytej staranności w zakresie wypełnienia określonych obowiązków, na kierownika operatora usługi kluczowej może zostać nałożona kara w kwocie nie większej niż 200% jego miesięcznego wynagrodzenia. Według znowelizowanej wersji przepisów, karze pieniężnej może podlegać kierownik podmiotu kluczowego lub ważnego za niewykonanie wskazanych w ustawie obowiązków, jeżeli przemawia za tym czas, zakres lub charakter naruszenia. Zwiększeniu ulega również maksymalna kwota kary możliwej do wymierzenia – do 600% otrzymywanego przez kierownika wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. Po pierwsze, znacząco zwiększone zostały górne granicy kary możliwej do nałożenia na podmiot kluczowy lub ważny. W znowelizowanej wersji ustawy, na podmiot, który dopuści się tego rodzaju naruszeń, organ może nałożyć karę w maksymalnej wysokości aż do 100 milionów złotych. Analogicznie, polskie organy właściwe udzielają pomocy organom innych państw członkowskich w sprawowaniu nadzoru nad podmiotami, których systemy informacyjne znajdują się w Polsce.

• W tym przypadku zastrzeżono jednak, że osoba prowadząca audyt, w okresie roku przed jego rozpoczęciem, nie może realizować zadań wdrożenia systemu zarządzania bezpieczeństwem lub obsługi incydentów w podmiocie audytowanym.
• Założeniem jest, aby nowe regulacje zostały przyjęte jeszcze w tym roku.
• Warto dodatkowo zwrócić uwagę na przepis, który ma służyć uniknięciu sytuacji, w której podmiot kluczowy lub ważny, lub jego kierownik zostanie podwójnie ukarany za ten sam czyn.
• Podmioty objęte regulacjami mają szereg obowiązków, takich jak m.in.

Aby zagwarantować podmiotom bezpieczeństwo i zapewnić ochronę ich interesów, do wykazu nie będą miały zastosowania przepisy ustawy o dostępie do informacji publicznej5 oraz ustawy o otwartych danych6. Nowelizacja ustawy zmienia również podejście do audytów bezpieczeństwa systemów informacyjnych. Wydłuża obowiązkowy cykl audytów dla podmiotów kluczowych z 2 do 3 lat, co zmniejsza częstotliwość ich przeprowadzania, a tym samym obciążenie finansowe organizacji. Jednocześnie nowe przepisy nakładają obowiązek przekazania raportu z audytu organowi właściwemu do spraw cyberbezpieczeństwa w terminie 3 dni roboczych, co zwiększa nadzór nad zgodnością podmiotów z wymaganiami ustawy. Dodatkowo organ nadzorczy zyskuje prawo do nakazania audytu w każdym czasie dla podmiotów kluczowych oraz w przypadku incydentu poważnego lub naruszenia przepisów dla podmiotów ważnych. Wprowadzone zmiany pozwalają na lepsze dostosowanie wymagań audytowych do rzeczywistych zagrożeń, jednocześnie zwiększając kontrolę nad poziomem cyberbezpieczeństwa organizacji.

Jako przykład podam dyskusję na panelu podczas ostatniego kongresu EKG w ramach pięciolecia Programu. Procedura jest uruchamiana z urzędu przez ministra, ale oczywiście musi ona mieć jakieś podstawy. Minister może uruchomić procedurę, jeśli otrzyma informacje, które zawierają podstawy do jej wszczęcia. Pozostały natomiast w nowelizacji CSIRT-y (Computer Security Incident Response Team) sektorowe oraz krajowe. Jeśli zachodzi potrzeba współpracy, konsolidacji, to regulacja zawiera możliwość spełnienia funkcji sektorowych na poziomie CSiRT krajowego.

Rola zarządzania powierzchnią ataku (ASM) w kontekście zagrożeń łańcucha dostaw i infrastruktury krytycznej

Polecenie zabezpieczające będzie zawierało wskazanie konkretnego działania, które zmniejszy skutki incydentu lub zapobiegnie jego rozprzestrzenianiu się. W szczególności może to obejmować nakaz zastosowania określonej poprawki bezpieczeństwa, nakaz szczególnej konfiguracji czy zakaz korzystania z określonego sprzętu lub oprogramowania. Procedura uznania dostawcy za DWR może zostać wszczęta z urzędu przez Ministra Cyfryzacji lub na wniosek przewodniczącego Kolegium ds. Postępowanie dotyczy dostawców sprzętu lub oprogramowania, którzy zaopatrują podmioty kluczowe lub ważne. Obecnie operatorzy usług kluczowych są wyznaczani na podstawie decyzji administracyjnej. Będzie to niemożliwe w przypadku NIS2 w stosunku do wszystkich podmiotów.

Natomiast była minister cyfryzacji Anna Streżyńska oceniła kolejną wersję nowelizacji, stwierdzając, że „Ministerstwo Rozwoju i Technologii odrobiło pracę domową i przeczytało NIS2 ze zrozumieniem, a Ministerstwo Cyfryzacji (…) delikatnie mówiąc, mija się z prawdą”. „Ostatnio Polska dostała wysokie kary za niewdrożenie EKŁE (Europejskiego Kodeksu Łączności Elektronicznej) poprzez nieuchwalenie Prawa komunikacji elektronicznej. Vacatio legis pozostało bez zmian w stosunku do poprzedniej wersji projektu. Nowelizacja ma wejść w życie po upływie miesiąca od dnia ogłoszenia. AI Act stanowi przełomową regulację, która weszła w życie 1 sierpnia 2024 roku, wprowadzając harmonizację prawodawstwa dotyczącego systemów sztucznej inteligencji (AI) w całej Unii Europejskiej.

– Dyrektywa NIS jest jedną z kluczowych regulacji Unii Europejskiej, która ma za zadanie podnieść poziom cyberbezpieczeństwa na wielu poziomach. W przypadku wystąpienia incydentu krytycznego, minister w drodze decyzji może po prostu wydać, w określony sposób, polecenie zabezpieczające. Pamiętajmy, jest to decyzja w znaczeniu administracyjnym, czyli podlega określonemu procesowi. Jednocześnie, samo w sobie uznanie incydentu za krytyczny jest rzadką sytuacją. Od polecenia zabezpieczającego Euro: EUR/USD (EUR=X) Are You an Average Trader nie przysługuje wniosek o ponowne rozpatrzenie sprawy, aczkolwiek skargę na nie można wnieść do sądu administracyjnego.

Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. 12 lutego 2025 roku na stronie Rządowego Centrum Legislacji opublikowano kolejny projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, datowany na 7 lutego 2025 r. W klasyfikacji podmiotów publicznych oraz stawianych im wymaganiach. Projekt utrzymuje dotychczasowe wymagania wobec podmiotów prywatnych. W nowelizacji zaproponowane zostały także zmiany w przepisach dotyczących kary pieniężnej, która może zostać nałożona na kierownika podmiotu objętego obowiązkami wynikającymi Poważne wykolejenie pociągu zmusza szkoły i firmy do ewakuacji w społeczności Texas z ustawy.