Am 3. Juli 2023 wurde dem Sejm eine Regierungsvorlage zur Änderung des Gesetzes über das nationale Cybersicherheitssystem und einiger anderer Gesetze ( Novellierung des UKSC) vorgelegt. Dies geschah nach fast 33 Monaten Arbeit an der Formulierung der novellierten Rechtsvorschriften. Die Verabschiedung der Novellierung stößt weiterhin auf neue Hindernisse – die Arbeit daran wurde nun verschoben, da die öffentliche Anhörung für den 11. September 2023 anberaumt wurde.

Bisherige Fortschritte bei der UKSC-Novellierung

Das Gesetzgebungsverfahren zur Novellierung des UKSC dauert außergewöhnlich lange. Die Initiative zur Änderung des Gesetzes kam bereits im September 2020. Auch der Bisherige Fortschritte bei der UKSC-Novellierung war eher holprig: Der Entwurf wurde mehrfach geändert, die Gesetzgebungsarbeiten ausgesetzt und wieder aufgenommen.

Während der öffentlichen Konsultation wurden zahlreiche Kommentare zu den verschiedenen Versionen des Entwurfs abgegeben. Auch das Thema Cybersicherheit selbst hat durch die Aggression Russlands gegen die Ukraine im Februar 2022 und die Zunahme von Hackerangriffen, die zu einer unbefugten Aneignung persönlicher Daten oder zu DDoS-Attacken führen, inzwischen an Aufmerksamkeit und Bedeutung gewonnen. Nach den Berechnungen der Autoren ist die dem Sejm vorgelegte Fassung der dreizehnte (und hoffentlich nicht unglückliche) Entwurf dieses Gesetzes.

Die Annahme des aktuellen UKSC-Textes[1] war das Ergebnis der Verpflichtung zur Umsetzung der EU-NIS-Richtlinie[2]. Im Gegensatz dazu wurde während der Arbeit an der UKSC-Novellierung die NIS-2-Richtlinie[3] im Amtsblatt der EU veröffentlicht, die ihre Vorgängerin ersetzt und eine Umsetzungsfrist bis zum 17. Oktober 2024 hat. Gleichzeitig wurden die meisten Änderungen, die sich aus der NIS-2-Richtlinie ergeben, und die Verpflichtungen, die sie den verschiedenen Stellen des nationalen Cybersicherheitssystems auferlegen soll, nicht in der UKSC-Novellierung Entwurf aufgenommen. Vor diesem Hintergrund haben einige die Legitimität der Fortsetzung des Entwurfs in seiner jetzigen Fassung in Frage gestellt, da die UKSC bald erneut grundlegend geändert werden muss, um sie mit den Anforderungen der NIS 2 in Einklang zu bringen.

Parallel zu den Arbeiten an der Novellierung des UKSC wird an einem Gesetz über elektronische Kommunikation (PKE) gearbeitet, das das derzeitige Telekommunikationsgesetz[4] ersetzen soll. Hauptadressaten werden die Unternehmen der elektronischen Kommunikation sein, die nach der Novellierung Vorschlag des UKCS in das nationale Cybersicherheitssystem einbezogen werden sollen. Wichtig ist, dass in den aktuellen Vorschlägen für den Wortlaut der PKE und der UKSC-Novellierung die Verbindungen zwischen den Rechtsakten direkt erkennbar sind. In der UKSC-Novellierung wird an mehreren Stellen auf die PKE verwiesen, unter anderem in den Definitionen. Auch in der Begründung zum Entwurf der Novellierung des UKSC wird ausdrücklich darauf hingewiesen, dass beide Rechtsakte gleichzeitig in Kraft treten sollten.

Die Notwendigkeit einer gleichzeitigen Verabschiedung der PKE ist eines der größten Hindernisse für die Verabschiedung der UKSC-Novellierung. Die PKE ist eine höchst umstrittene Verordnung, deren Entwurf bereits dem Sejm[5] vorgelegt und am 21. April 2023 zurückgezogen wurde. Seitdem gibt es keine offiziellen Informationen über den Stand der Arbeiten an dem neuen Gesetzesvorschlag. Vor dem Hintergrund des nahenden Endes der laufenden Parlament Wahlperiode ist es zweifelhaft, dass sowohl das UKSC als auch die PKE in dieser Legislaturperiode in Kraft treten können.

Diese Zweifel wurden durch die Sitzung der gemischten Ausschüsse noch verstärkt: Die Sitzung des Rates für Digitalisierung, Innovation und neue Technologien und Landesverteidigung am 11. Juli 2023. Auf der Sitzung wurde nach einer fast eineinhalbstündigen Diskussion über die allgemeinen Grundsätze der Novellierung, an der hauptsächlich Vertreter von Interessenverbänden teilnahmen, über den formellen Antrag abgestimmt. Infolge dieser Abstimmung wurde der Entwurf zur Novellierung des UKSC auf eine öffentliche Anhörung verwiesen, die am 11. September 2023 stattfinden soll. Eine so lange Verschiebung der Arbeiten an der Novellierung bedeutet, dass nur noch wenig Zeit bleibt, um sie vor Ende der Parlament Wahlperiode zu verabschieden. Es wird daher immer unwahrscheinlicher, dass das Gesetz noch in dieser Sejm Wahlperiode verabschiedet wird.

Welche wesentlichen Änderungen werden durch die UKSC-Novellierung eingeführt?

Überarbeitete Definition von Cybersicherheit

Eine der Änderungen, die durch die UKSC-Novellierung in ihrer jetzigen Form eingeführt werden, ist eine neue Definition von Cybersicherheit. Der Grund dafür ist die Notwendigkeit, die Kohärenz des konzeptionellen Netzes mit anderen Rechtsvorschriften, einschließlich der EU-Verordnungen, sicherzustellen. Die vorgeschlagene Definition des Begriffs „Cybersicherheit“ entspricht derjenigen, die im EU-Cybersicherheitsgesetz[6] eingeführt wurde. Nach der neuen Definition ist Cybersicherheit:

„Maßnahmen, die erforderlich sind, um Informationssysteme, Nutzer solcher Systeme und andere Einrichtungen vor Cyber-Bedrohungen zu schützen“.

Im Gegensatz dazu wird das neue Konzept der Cyber-Bedrohungen wie folgt definiert:

„alle potenziellen Umstände, Ereignisse oder Handlungen, die Schäden, Störungen oder sonstige nachteilige Auswirkungen auf die Informationssysteme, die Benutzer dieser Systeme und andere haben könnten“.

Im Gegensatz dazu wird die bestehende Definition der Cybersicherheit im Entwurf durch die Definition der Sicherheit von Informationssystemen ergänzt. Wichtig ist jedoch, dass diese Definition in der derzeitigen Fassung der UKSC-Novellierung nicht vollständig mit den Konzepten übereinstimmt, die in anderen EU-Rechtsakten eingeführt wurden, d.h. in der DORA-Verordnung[7] und der NIS-Richtlinie 2.

Erweiterung des Katalogs der Einrichtungen, die dem UKSC unterliegen, und Auferlegung neuer Verpflichtungen für diese Einrichtungen

Nach dem geltenden Gesetz über das nationale Cybersicherheitssystem sind die größte Gruppe von Einrichtungen, die den darin festgelegten Verpflichtungen unterliegen, die Betreiber der wichtigsten Dienste (im Folgenden: „OUK“), Anbieter digitaler Dienste (im Folgenden: „DUC“) und öffentliche Einrichtungen. Der Katalog der Einrichtungen, die den im UKSC festgelegten Verpflichtungen unterliegen, könnte sich jedoch erweitern, wenn die nationalen Cybersicherheitsvorschriften auch für Unternehmen der elektronischen Kommunikation gelten: Telekommunikationsunternehmen und Einrichtungen, die einen öffentlich zugänglichen interpersonellen Kommunikationsdienst anbieten, der keine Nummern verwendet.

Der Entwurf zur Novellierung des UKSC schlägt außerdem vor, dass mit der Einbeziehung von Unternehmern im Bereich der elektronischen Kommunikation in das nationale Cybersicherheitssystem diese unter anderem verpflichtet werden, das Risiko einer bestimmten Bedrohungslage systematisch zu bewerten und technische und organisatorische Maßnahmen zu ergreifen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der verarbeiteten Daten sowie ein Sicherheitsniveau zu gewährleisten, das dem Grad des festgestellten Risikos angemessen ist (Artikel 20a Absatz 2 des Entwurfs zur Novellierung des UKSC).

Weitere wichtige Verpflichtungen, die den Unternehmen der elektronischen Kommunikation auferlegt würden, sind die Verpflichtungen zur Dokumentation der getroffenen Cybersicherheitsmaßnahmen und zur Behandlung von Sicherheitsvorfällen, insbesondere die Meldung von Vorfällen und die Interaktion mit den zuständigen Cybersicherheitsbehörden (Artikel 20a-20f der vorgeschlagenen Novellierung des UKSC).

Einige der Verpflichtungen sind recht streng – so ist ein Unternehmen der elektronischen Kommunikation verpflichtet, dem Telco CSIRT einen schwerwiegenden Telekommunikationsvorfall innerhalb von höchstens acht Stunden zu melden (Artikel 20d Absatz 1 Ziffer 2 der vorgeschlagenen Novellierung des UKSC). Interessanterweise wurde die Frist zwischen den verschiedenen Versionen des Projekts drastisch verkürzt – ursprünglich waren es 24 Stunden.

Mit der Novellierung des UKSC werden auch finanzielle Sanktionen für die Nichteinhaltung der den Unternehmern im Bereich der elektronischen Kommunikation auferlegten Verpflichtungen eingeführt. Sie werden mit einer Geldbuße von bis zu 3 % der im vorangegangenen Kalenderjahr erzielten Jahreseinnahmen des bestraften Unternehmens belegt (Artikel 76b Absatz 1 der Novellierung Vorschlag zum UKSC).

Darüber hinaus kann eine Geldbuße in Höhe von bis zu 300 % der monatlichen Bezüge, berechnet wie bei der Urlaubsvergütung (Artikel 73 Absatz 7 und Artikel 76a Absatz 5 der Novellierung Vorschlag zum UKSC), gegen die für eine Einrichtung verantwortliche Person verhängt werden, die gegen die im UKSC festgelegten Verpflichtungen verstößt.

Mit dem Inkrafttreten der Novellierung werden neben den Unternehmern im Bereich der elektronischen Kommunikation auch weitere öffentliche Einrichtungen, die öffentliche Aufgaben erfüllen, die vom Informationssystem im Sinne des Gesetzes über das nationale Cybersicherheitssystem abhängen, in das nationale Cybersicherheitssystem aufgenommen. Diese sind:

  • Universitäten und andere Akteure des Hochschulsystems,
  • Büro der Finanzaufsichtskommission,
  • Państwowe Gospodarstwo Wodne Wody Polskie [Polnische Wasserholding Polnische Gewässer] und
  • Entwicklungsinstitutionen, der Polnische Entwicklungsfonds oder die Polnische Agentur für Unternehmensentwicklung.

Zwei neue CSIRTs (Computer Security Incident Response Teams) wurden ebenfalls eingeführt:

  • CSIRT INT für Organisationseinheiten, die dem für auswärtige Angelegenheiten zuständigen Minister und dem Nachrichtendienst unterstellt sind, und
  • CSIRT Telco wurde gegründet, um den Bedürfnissen von Unternehmern im Bereich der elektronischen Kommunikation gerecht zu werden.

SOC – eine neue Kategorie von Subjekt des Cybersicherheitssystems

Im Rahmen der Gesetzesänderung wurde auch die Einrichtung eines SOC (Security Operations Center) in das nationale Cybersicherheitssystem aufgenommen.

Die SOC sollen die bestehenden Strukturen ersetzen, die bei den wichtigsten Dienstbetreibern für die Cybersicherheit zuständig sind. SOCs sind Teams von Cybersicherheitsspezialisten. Sie sollen alle Überwachungs- und Verwaltungsfunktionen im Bereich der Cybersicherheit für die Betreiber der wichtigsten Dienste und gegebenenfalls für andere Stellen wahrnehmen.

Der Entwurf zur Novellierung des UKSC sieht vor, dass diese Regelung in Kraft tritt:

  • a)    Interne SOCs, die die Funktionen eines operativen Sicherheitszentrums bei einem Betreiber von Schlüsseldiensten mit seinen eigenen internen Ressourcen wahrnehmen, und
  • Externe SOCs, die diese Funktion auf vertraglicher Basis an eine spezialisierte externe Einrichtung auslagern.

Es ist wichtig zu beachten, dass Verträge über die Erbringung von SOC-Diensten nach polnischem Recht in Kraft sein und den für die Cybersicherheit zuständigen Behörden angemessen gemeldet werden müssen. Unternehmen, die SOC-Dienste anbieten, sollten auch in die Liste der SOCs aufgenommen werden, die der für IT zuständige Minister führt.

Nach dem Entwurf der UKSC-Novellierung werden die Betreiber von Schlüsseldiensten verpflichtet sein, Eigentümer der SOC-Infrastruktur zu sein, die zur Erfüllung bestimmter Aufgaben (einschließlich der Verpflichtung zur Einführung eines Sicherheitsmanagementsystems, zur Entwicklung, Umsetzung und Aktualisierung der Cybersicherheitsdokumentation und zur Behandlung von Zwischenfällen) auf dem Gebiet der Republik Polen verwendet wird, und das Personal, das diese Aufgaben wahrnimmt, muss über eine Sicherheitsüberprüfung bis zur Vertraulichkeitsklausel verfügen (Artikel 14 Absatz 10 und 11 der UKSC-Novellierung Entwurf).

Eine solche Anforderung wird von vielen Kommentatoren als höchst unverhältnismäßig angesehen. Ihrer Ansicht nach kann sie in der Praxis ein erhebliches Hindernis für die Einrichtung und Organisation von SOC durch die wichtigsten Dienstleistungsunternehmen darstellen. Es bestehen auch Zweifel daran, dass alle SOC-Bediensteten verpflichtet sind, über eine Beglaubigung zur vertraulichen Klausel zu verfügen, wenn ihre internen Aufgaben nicht die Bearbeitung von Dokumenten mit einer solchen Einstufung umfassen.

Anbieter mit hohem Risiko und neue Befugnisse für den für IT zuständigen Minister

Eine weitere umstrittene Änderung ist die Ausweitung der Zuständigkeiten des für IT zuständigen Ministers. Sie wird in der Lage sein, Untersuchungen über die Einstufung eines Unternehmens als Risikolieferant durchzuführen, was zu einer Verwaltungsentscheidung führen kann, mit der ein Hardware- oder Softwarelieferant zum Risikolieferanten erklärt wird. Dies kann der Fall sein, wenn sich herausstellt, dass der Lieferant eine ernsthafte Bedrohung für die Verteidigung, die staatliche Sicherheit, die öffentliche Sicherheit und Ordnung oder das Leben und die Gesundheit von Menschen darstellt. Im Falle einer solchen Entscheidung werden Einrichtungen, die für Cyber-Bedrohungen anfällig sind (u. a. der DUC und OUK sowie bestimmte elektronische Kommunikationsunternehmen), gezwungen sein, die Nutzung der von einer solchen Entscheidung betroffenen Produkte, Dienste oder Verfahren einzustellen.

Diese Einschränkung soll auch für Einrichtungen gelten, auf die das Gesetz vom 11. September 2019 Anwendung findet. – Gesetz über öffentliche Aufträge (Vergaberecht-Gesetz)[8]. Sie können keine Ausrüstungen, Software und Dienstleistungen erwerben, die in der Entscheidung über die Anerkennung des Lieferanten als Hochrisikolieferant aufgeführt sind (Artikel 67b Absatz 4 der Novellierung Vorschlag zum UKSC). Die Hinzufügung eines weiteren Grundes für den Ausschluss des Auftragnehmers vom Verfahren, der sich nicht direkt aus der klassischen Vergaberichtlinie[9] ergibt, lässt Zweifel an der Vereinbarkeit eines solchen Verfahrens mit dem EU-Recht aufkommen. Diese Tatsache wurde unter anderem vom Minister für Angelegenheiten der Europäischen Union im Rahmen der interministeriellen Absprachen der Novellierung Entwurf zum UKSC[10] hervorgehoben.

Die Novellierung des UKSC ändert auch die Bestimmungen der Vergaberecht L Act im besprochenen Umfang, indem sie (in Artikel 226(1)(19) der Vergaberecht Act) eine weitere Grundlage für die Ablehnung des Angebots eines Auftragnehmers hinzufügt. Ein Angebot, das ein IKT-Produkt, eine IKT-Dienstleistung oder ein IKT-Verfahren enthält, das in der Entscheidung zur Einstufung des Lieferanten als Hochrisikolieferant genannt wurde, wird abgelehnt.

Löschung eines Sicherheitsbefehls

In einer der letzten Fassungen der UKSC-Novellierung Entwurf wurde das höchst umstrittene Institut der Schutzanordnung gestrichen. Es ging um die Befugnis des für IT zuständigen Ministers, im Falle eines kritischen Ereignisses eine Schutzanordnung zu erlassen. Die Schutzanordnung sollte die Form eines Verwaltungsbeschlusses haben und könnte für einen großen Teil der nationalen Einrichtungen des Cybersicherheitssystems gelten. Eine Schutzanordnung kann Verbote oder Anordnungen enthalten, die an die Adressaten gerichtet sind, z. B. die Möglichkeit, bestimmte Hardware oder Software zu verwenden. Im Falle dieses Organs bestand der größte Zweifel darin, dass der Inhalt der Schutzanordnung nur die Angabe der „Art der Subjekten“ enthalten sollte, an die die Anordnung gerichtet werden sollte. Bestimmte Personen könnten sich daher nicht einmal bewusst sein, dass sie durch eine Verwaltungsentscheidung zu einem bestimmten Verhalten verpflichtet wurden, da sie nicht direkt darüber informiert wurden.

  • Schaffung eines strategischen Sicherheitsnetzes

Eine wichtige Folge des Inkrafttretens der UKSC-Novellierung wird auch die Schaffung eines Rechtsrahmens für ein strategisches Sicherheitsnetz sein (Artikel 76c ff. des UKSC-Novellierungsvorschlags), d.h. eine Telekommunikationsnetzinfrastruktur, in der Aufgaben der Verteidigung, der Staatssicherheit und der öffentlichen Sicherheit und Ordnung im Bereich der Telekommunikation wahrgenommen werden sollen. Das strategische Sicherheitsnetz soll die verschlüsselte Kommunikation zwischen Endnutzern für Datendienste, Sprachanrufe und Textnachrichten ermöglichen.

Die Novellierung sieht die Schaffung einer separaten Einrichtung vor, des Betreibers des strategischen Sicherheitsnetzes (OSSB). Es wird Telekommunikations- und u. a. Cybersicherheitsdienste für wichtige staatliche Einrichtungen erbringen. Das OSSB ist auch für die Verwaltung des strategischen Sicherheitsnetzes zuständig. Das OSSB wird vom Premierminister aus einem Kreis von Subjekten ernannt, die eine Reihe von Kriterien erfüllen. Sie müssen unter anderem eine Gesellschaft sein, deren einziger Anteilseigner der Staat ist, und ein Telekommunikationsunternehmer, der die ordnungsgemäße Erfüllung der Aufgaben eines Betreibers eines strategischen Sicherheitsnetzes garantiert. Der Betreiber des strategischen Sicherheitsnetzes wird in der Lage sein, Kommunikationsdienste auf staatlichen Frequenzen anzubieten.

Das OSSB wird auch die Möglichkeit haben, den Präsidenten des UKE zu ersuchen, einen vorübergehenden Zugang zur Nutzung ziviler Frequenzen (im Frequenzband 713-733 MHz oder 768-788 MHz) zu gewähren, sofern eine besondere Notfallsituation vorliegt und die staatlichen Frequenzen voll ausgelastet sind. Der Präsident des UKE kann dann das Unternehmen, das über die zivile Frequenzreservierung verfügt, verpflichten, diese dem OSSB zur Verfügung zu stellen. Auch diese Einrichtung wirft Fragen der Vereinbarkeit mit dem Unionsrecht auf, insbesondere mit dem Europäischen Kodex für die elektronische Kommunikation, der die Bedingungen für die Gewährung des Zugangs zu Frequenzen und die Ausnahmen vom Grundsatz der freien Bereitstellung elektronischer Kommunikationsnetze und -Dienste festlegt.

Einrichtung eines nationalen Zertifizierungssystems für Cybersicherheit

Der Novellierung Entwurf des UKSC sieht auch die Einrichtung eines nationalen Zertifizierungssystems für Cybersicherheit , in dessen Rahmen ein nationales Zertifizierungsprogramm für Cybersicherheit entwickelt werden soll. Demnach können auch spezielle für Cybersicherheit für einzelne IKT-Produkte, -Dienstleistungen oder -Prozesse entwickelt werden, wobei deren Besonderheiten berücksichtigt werden.

Vacatio legis

Die Novellierung wird sechs Monate nach ihrer Ankündigung in Kraft treten. Die vacatio legis wurde erst vor kurzem verlängert. Zuvor war eine 30-tägige vacatio legis vorgeschlagen worden. Der Grund für diese Änderung ist die Notwendigkeit, die UKSC-Novellierung mit der PKE in Einklang zu bringen.

[1] Gesetz vom 5. Juli 2018 über das nationale Cybersicherheitssystem (d.h. Gesetzblatt (Gesetzblatt von 2023, Pos. 913).

[2] Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus für Netz- und Informationssysteme in der Union.

[3] Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-Richtlinie 2).

[4] Gesetz vom 16. Juli 2004. Telekommunikationsgesetz (d.h. Gesetzblatt von 2022, Pos. 1648, in der geänderten Fassung).

[5] Des Sejm Drucksache Nr. 2861.

[6] Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und die Zertifizierung für Cybersicherheit in der Informations- und Kommunikationstechnologie sowie zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Cybersicherheitsgesetz).

[7] Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die operationelle digitale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (DORA-Verordnung).

[8] Gesetz vom 11. September 2019. – Gesetz über öffentliche Aufträge (d.h. Gesetzblatt von 2022, Pos. 1710, in der geänderten Fassung).

[9] Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über öffentliche Aufträge und zur Aufhebung der Richtlinie 2004/18/EG (ABl. 2014. U. EU. L. von 2014. Nr. 94, S. 65 in der geänderten Fassung).

[10] Signatur KPDPUE.920.1030.2021.AR(8)(KWM).