Der seit einigen Wochen angekündigte Entwurf der Regierung zur Novelle des Gesetzes über das nationale Cybersicherheitssystem (im Folgenden „KSC-Gesetz“) wurde veröffentlicht. Der Entwurf überschneidet sich teilweise mit dem Entwurf zur Gesetzesänderung aus dem letzten Jahr, über den wir in der letzten Ausgabe unseres internationalen Newsletters berichtet haben, enthält aber auch eine Reihe neuer, bisher unveröffentlichter Lösungen. Trotz der sehr kurzen Frist wurden zahlreiche Stellungnahmen zu dem Gesetzentwurf, u.a. von Unternehmensverbänden, eingereicht. Nach Angaben der Regierung wurde der Entwurf an das Komitee des Ministerrates für Angelegenheiten der Nationalen Sicherheit und Verteidigung (KRMBNSO) weitergeleitet.

Eine wesentliche Änderung im Vergleich zum vorherigen Entwurf ist die Einbeziehung von Telekommunikationsunternehmern in das nationale Cybersicherheitssystem, die bisher davon völlig ausgeschlossen waren. Erwähnenswert ist die Tatsache, dass Telekommunikationsunternehmen nur in einem beschränkten (im Gesetz sehr allgemein und unpräzise formulierten) Umfang den Regelungen des KSC-Gesetzes unterliegen sollen und nur dann, wenn sie gleichzeitig einer der Gruppen angehören, die spezifische Verpflichtungen nach den Bestimmungen des KSC-Gesetzes haben (z.B. als Anbieter digitaler Dienstleistungen oder als Betreiber wesentlicher Dienste).

Wie im Falle des vorherigen Entwurfs wurden neue Einrichtungen wie Hochschulen und die Finanzaufsichtsbehörde (Urząd Komisji Nadzoru Finansowego) in das nationale Cybersicherheitssystem aufgenommen. Es wurde auch die Änderung beibehalten, nach der den SOCs (Security Operations Centers) die Aufgaben der Betreiber wesentlicher Dienste zugewiesen werden, die u. a. mit dem Sicherheitsmanagement von IT-Systemen oder der Bearbeitung und Anmeldung von Vorfällen verbunden sind. Nach den neuen Rechtsvorschriften sollte auf Verträge über die Erbringung von SOC-Dienstleistungen für einen Betreiber wesentlicher Dienste polnisches Recht Anwendung finden, und der zuständige Minister wird verpflichtet, eine Liste aller funktionierenden SOC zu führen.

Ähnlich wie im vorherigen Änderungsentwurf wurde im aktuellen Entwurf die Einrichtung eines nationalen Cybersicherheitszertifizierungssystems vorgesehen. Im Rahmen dieses Systems wird ein nationales Cybersicherheitszertifizierungsprogramm mit drei Vertrauenswürdigkeitsstufen (niedrig, mittel und hoch) von IKT-Produkten, -Dienstleistungen und -Prozessen entwickelt. Auch die Idee, ein strategisches Cybersicherheitsnetz zu schaffen, mit dem das der Betreiber des strategischen Cybersicherheitsnetzes Dienstleistungen für die wichtigsten Behörden (z. B. für die Präsidentenkanzlei, die Kanzlei des Sejm und des Senats oder das Büro für Nationale Sicherheit) erbringen soll, wurde aufrechterhalten.

Viele Emotionen und Kontroversen lösen erneut das Verfahren zur Einstufung eines Hardware- oder Software-Lieferanten als Hochrisikolieferant und die Möglichkeit des für IT zuständigen Ministers, Schutzanordnungen zu erlassen.

Nach dem vorgeschlagenen Entwurf könnte die Einstufung als Hochrisikolieferant zu einem Verbot der Verwendung einer bestimmten von diesem Anbieter gelieferten Hardware oder Software durch einen erheblichen Teil der Marktteilnehmer (zum Beispiel durch die Anbieter digitaler Dienste, die Betreiber wesentlicher Dienste und die Telekommunikationsunternehmen) führen.

Das neu einzuführende Institut der Schutzanordnung wiederum soll in Form eines Verwaltungsaktes erlassen werden. Eine Schutzanordnung soll im Falle eines kritischen Vorfalls erlassen werden und kann Anordnungen oder Verbote enthalten, die sich an Einrichtungen richten, die unter das nationale Cybersicherheitssystem fallen (z. B. Betreiber wesentlicher Dienste und Anbieter digitaler Dienste). Ein Verbot der Verwendung bestimmter Hardware oder Software, eine Anordnung der Einschränkung des Netzverkehrs von IP-Adressen oder URLs, die in die Infrastruktur einer bestimmten Einrichtung gelangen, oder eine Anordnung der Aussetzung des Vertriebs oder des Verbots der Installation einer bestimmten Softwareversion sind nur Beispiele davon. Nach dem Änderungsentwurf soll die Nichteinhaltung des Inhalts einer Schutzanordnung mit einem Bußgeld geahndet werden, das im Falle von Anbietern digitaler Dienste bis zu 3 % des gesamten weltweiten Jahresumsatzes des Vorjahres erreichen kann.

Neu im Vergleich zum vorherigen Änderungsentwurf sind die Lösungen für 5G-Netze. Das aktuelle Entwurf sieht die Gründung einer neuen Kapitalgesellschaft namens „Polskie 5G“ vor, die eine Rolle des zentralen, landesweiten Hauptbetreibers des 5G-Netzes spielen soll. Die Hauptaufgabe der Gesellschaft „Polskie 5G“ wird darin bestehen, eine flächendeckende Abdeckung des polnischen Staatsgebiets mit dem 5G-Netz und das Angebot von Telekommunikationsdiensten, die über dieses Netz bereitgestellt werden, auf Großhandelsebene sicherzustellen. Nach den vorgeschlagenen Regelungen sollen die Frequenzen für das 5G-Netz im Rahmen einer vom Präsidenten des Amtes für elektronische Kommunikation (UKE) organisierten Ausschreibung unter den Telekommunikationsunternehmern verteilt werden.

Erwähnenswert ist die Tatsache, dass der Entwurf zur Änderung des KSC-Gesetzes nur der Anfang der legislativen Aktivitäten des polnischen Gesetzgebers im Bereich der Cybersicherheit ist. Laut der Ankündigung des Staatssekretärs und Bevollmächtigten für Cybersicherheit in der Kanzlei des Premierministers Janusz Cieszyński werden unmittelbar nach der Novelle des KSC-Gesetzes die Arbeiten am Gesetz über die Partnerschaft im Bereich Cybersicherheit beginnen. Der detaillierte Umfang dieses Gesetzes bleibt noch unbekannt.