3 lipca 2023 r. wpłynął do Sejmu rządowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (nowelizacja UKSC). Stało się to po blisko 33 miesiącach prac nad brzmieniem nowelizowanych przepisów. Uchwalenie nowelizacji wciąż napotyka nowe przeszkody – obecnie prace nad nią zostały odroczone, ze względu na skierowanie jej do wysłuchania publicznego, które ma się odbyć 11 września 2023 r.

Dotychczasowy przebieg prac nad nowelizacją UKSC

Proces legislacyjny związany z nowelizacją UKSC trwa wyjątkowo długo. Inicjatywa dokonania zmian ustawy pojawiła się już we wrześniu 2020 r. Także dotychczasowy przebieg prac nad nowelizacją UKSC był dość wyboisty – projekt wielokrotnie zmieniano, a prace legislacyjne zawieszano, a następnie wznawiano.

Do kolejnych wersji projektu zgłaszano liczne uwagi w ramach konsultacji publicznych. Również sam temat cyberbezpieczeństwa zyskał w międzyczasie na rozgłosie i znaczeniu w związku z agresją Rosji na Ukrainę w lutym 2022 r. oraz nasileniu się ataków hakerskich, które skutkowały nieuprawnionym uzyskaniem danych osobowych czy atakami DDoS. Według obliczeń autorów skierowana do Sejmu wersja jest trzynastą (i oby nie pechową) propozycją projektu tego aktu.

Przyjęcie obecnie obowiązującego tekstu UKSC[1] stanowiło skutek realizacji obowiązku implementacji unijnej dyrektywy NIS[2]. Natomiast w okresie prac nad nowelizacją UKSC doszło do opublikowania w Dzienniku Urzędowym UE dyrektywy NIS 2[3], która zastępuje swoją poprzedniczkę, a termin jej implementacji przypada na 17 października 2024 r. Jednocześnie większość zmian, jakie wynikają z dyrektywy NIS 2, oraz obowiązków, jakie ma ona nakładać na poszczególne podmioty krajowego systemu cyberbezpieczeństwa, nie została uwzględniona w projekcie nowelizacji UKSC. Mając na uwadze powyższe, niektórzy poddają w wątpliwość zasadność procedowania obecnej wersji projektu, skoro UKSC już wkrótce będzie musiała być ponownie w istotnym zakresie zmieniana w celu jej dostosowania do wymagań NIS 2.

Ponadto, równocześnie z pracami nad nowelizacją UKSC toczą się prace nad przygotowaniem ustawy prawo komunikacji elektronicznej (PKE), która ma zastąpić obecnie obowiązujące prawo telekomunikacyjne[4]. Jej głównymi adresatami będą przedsiębiorcy komunikacji elektronicznej, którzy zgodnie z propozycją nowelizacji UKCS mają być włączeni do krajowego systemu cyberbezpieczeństwa. Co istotne, w aktualnych propozycjach brzmień PKE i nowelizacji UKSC zauważalne są bezpośrednio powiązania między aktami. Nowelizacja UKSC w wielu miejscach, w tym w zakresie definicji, zawiera odesłania do PKE. Również w uzasadnieniu do projektu nowelizacji UKSC wprost wskazano, że oba te akty powinny wejść w życie w tym samym czasie.

To właśnie konieczność jednoczesnego uchwalenia PKE jest jedną z większych przeszkód do uchwalenia nowelizacji UKSC. PKE jest regulacją budzącą spore kontrowersje, jej projekt trafił już wcześniej do Sejmu[5] i został z niego wycofany 21 kwietnia 2023 r. Od tego momentu nie ma żadnych oficjalnych informacji o statusie prac nad nową propozycją ustawy. W kontekście zbliżającego się końca obecnej kadencji Parlamentu można mieć wątpliwości co do tego, że uda się uchwalić zarówno UKSC, jak i PKE w trakcie jej trwania.

Wątpliwości te pogłębiło jeszcze posiedzenie połączonych komisji: Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Obrony Narodowej z 11 lipca 2023 r. Na posiedzeniu po prawie półtorej godziny dyskusji nad ogólnymi założeniami nowelizacji, w której udział wzięli głównie przedstawiciele organizacji zrzeszających podmioty zainteresowane jej kształtem, odbyło się głosowanie nad wnioskiem formalnym. W wyniku głosowania projekt nowelizacji UKSC został skierowany do wysłuchania publicznego, które ma się odbyć 11 września 2023 r. Odroczenie prac nad nowelizacja na tak długo powoduje, że pozostanie niewiele czasu na jej uchwalenie przed końcem kadencji Parlamentu. Tym samym coraz mniej prawdopodobne wydaje się uchwalenie tego projektu jeszcze w tej kadencji sejmu.

Jakie najważniejsze zmiany wprowadzi nowelizacja UKSC?

Zmiana definicji cyberbezpieczeństwa

Jedną ze zmian, którą wprowadza nowelizacja UKSC w jej obecnym kształcie, jest nowa definicja cyberbezpieczeństwa. Wynika ona z potrzeby zapewnienia spójności siatki pojęciowej z innymi aktami prawnymi, w tym regulacjami unijnymi. Zaproponowana definicja cyberbezpieczeństwa jest tożsama z definicją wprowadzoną przez unijny Akt o cyberbezpieczeństwie[6]. Zgodnie z nową definicją cyberbezpieczeństwo to:

„działania niezbędne do ochrony systemów informacyjnych, użytkowników takich systemów oraz innych podmiotów przed cyberzagrożeniami”.

Natomiast nowe pojęcie cyberzagrożenia definiuje się jako:

 „wszelkie potencjalne okoliczności, zdarzenie lub działanie, które mogą wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie wpłynąć na systemy informacyjne, użytkowników takich systemów oraz na inne podmioty”.

Natomiast dotychczasowemu brzmieniu definicji cyberbezpieczeństwa odpowiada w projekcie definicja bezpieczeństwa systemów informacyjnych. Co jest jednak istotne, definicja ta w obecnym brzmieniu nowelizacji UKSC nie jest w pełni dostosowana do pojęć, które zostały wprowadzone w innych aktach unijnych, tj. w rozporządzeniu DORA[7] oraz dyrektywie NIS 2.

Rozszerzenie katalogu podmiotów podlegających UKSC oraz nałożenie na nich nowych obowiązków

W obecnie obowiązującej ustawie o krajowym systemie cyberbezpieczeństwa największą grupę podmiotów podlegających obowiązkom w niej określonym stanowią operatorzy usług kluczowych (dalej: „OUK”), dostawcy usług cyfrowych (dalej: „DUC”) oraz podmioty publiczne. Katalog podmiotów podlegających obowiązkom określonym w UKSC może się jednak zwiększyć, za sprawą włączenia do krajowego systemu cyberbezpieczeństwa przedsiębiorców komunikacji elektronicznej: przedsiębiorców telekomunikacyjnych oraz podmiotów świadczących publicznie dostępną usługę komunikacji interpersonalnej niewykorzystującą numerów.

Projekt nowelizacji UKSC proponuje również, że wraz z włączeniem przedsiębiorców komunikacji elektronicznej do krajowego sytemu cyberbezpieczeństwa będą oni zobowiązani m.in. do systematycznego przeprowadzania szacowania ryzyka wystąpienia sytuacji szczególnego zagrożenia oraz podejmowania środków technicznych i organizacyjnych zapewniających poufność, integralność, dostępność i autentyczność przetwarzanych danych, a także poziom bezpieczeństwa odpowiedni do stopnia zidentyfikowanego ryzyka (art. 20a ust. 2 projektowanej nowelizacji UKSC).

Kolejnymi istotnymi obowiązkami, które zostałyby nałożone na przedsiębiorców komunikacji elektronicznej, są zobowiązania do dokumentowania podejmowanych działań w ramach cyberbezpieczeństwa oraz obsługa incydentu bezpieczeństwa, w szczególności zgłaszanie incydentów oraz współdziałanie z odpowiednimi organami cyberbezpieczeństwa (art. 20a-20f projektowanej nowelizacji UKSC).

Część obowiązków jest dość rygorystyczna – na przykład przedsiębiorca komunikacji elektronicznej będzie zobowiązany do zgłoszenia poważnego incydentu telekomunikacyjnego do CSIRT Telco w terminie maksymalnym wynoszącym zaledwie 8 godzin (art. 20d ust. 1 pkt 2 projektowanej nowelizacji UKSC). Co ciekawe, termin ten został drastycznie skrócony pomiędzy poszczególnymi wersjami projektu – początkowo wynosił on 24 godziny.

Nowelizacja UKSC wprowadza też sankcje finansowe za niewywiązanie się z obowiązków nałożonych na przedsiębiorców komunikacji elektronicznej. Będą oni podlegać karze pieniężnej w wysokości aż do 3% rocznego przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym (art. 76b ust. 1 projektowanej nowelizacji UKSC).

Dodatkowo, na osobę kierującą podmiotem naruszającym obowiązki określone w UKSC będzie możliwe nałożenie kary pieniężnej w wysokości do 300% miesięcznego wynagrodzenia, naliczanego jak dla celów ekwiwalentu za urlop wypoczynkowy (art. 73 ust. 7 oraz 76a ust. 5 projektowanej nowelizacji UKSC).

Wraz z wejściem w życie nowelizacji, do krajowego systemu cyberbezpieczeństwa, oprócz przedsiębiorców komunikacji elektronicznej, wejdą kolejne podmioty publiczne, które realizują zadania publiczne zależne od systemu informacyjnego w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa. Są to:

  • uczelnie i inne podmioty systemu szkolnictwa wyższego,
  • Urząd Komisji Nadzoru Finansowego,
  • Państwowe Gospodarstwo Wodne Wody Polskie oraz
  • instytucje rozwoju, Polski Fundusz Rozwoju czy Polska Agencja Rozwoju Przedsiębiorczości.

Wprowadzono również dwa nowe CSIRTy, czyli zespoły reagowania na incydenty bezpieczeństwa komputerowego:

  • CSIRT INT, który ma działać na rzecz jednostek organizacyjnych podległych ministrowi właściwemu do spraw zagranicznych oraz Agencji Wywiadu, oraz
  • CSIRT Telco powołany na potrzeby przedsiębiorców komunikacji elektronicznej.

SOC – nowa kategoria podmiotów systemu cyberbezpieczeństwa

W ramach propozycji zmiany ustawy, do krajowego systemu cyberbezpieczeństwa wprowadzono także instytucję SOC (security operations center – operacyjne centrum bezpieczeństwa).

SOC mają zastąpić dotychczasowe struktury odpowiedzialne za cyberbezpieczeństwo u operatorów usług kluczowych. SOC to zespoły specjalistów do spraw cyberbezpieczeństwa. Ich zadaniem ma być realizacja wszystkich funkcji związanych z monitorowaniem i zarządzaniem cyberbezpieczeństwem u operatorów usług kluczowych, a także fakultatywnie na rzecz innych podmiotów.

Projekt nowelizacji UKSC przewiduje funkcjonowanie:

  • SOC wewnętrznych, które mają pełnić funkcje operacyjnego centrum bezpieczeństwa u operator usługi kluczowej przez jego własne, wewnętrzne zasoby oraz
  • SOC zewnętrznych, które mają polegać na zlecaniu pełnienia tej funkcji, na podstawie umowy, wyspecjalizowanemu podmiotowi zewnętrznemu.

Ważne jest, że umowy na świadczenie usług SOC będą musiały obowiązywać pod prawem polskim oraz podlegać odpowiedniemu zgłoszeniu do organów właściwych do spraw cyberbezpieczeństwa. Podmioty świadczące usługi SOC powinny też zostać wpisane do wykazu SOC, który ma prowadzić minister właściwy do spraw informatyzacji.

Operatorzy usług kluczowych, według projektu nowelizacji UKSC, będą obowiązani posiadać infrastrukturę SOC wykorzystywaną do realizacji niektórych zadań (m.in. obowiązku wdrożenia systemu zarządzania bezpieczeństwem; opracowania, wdrożenia i aktualizacji dokumentacji cyberbezpieczeństwa; obsługi incydentów) na terytorium RP, a personel realizujący te zadania będzie musiał posiadać poświadczenie bezpieczeństwa osobowego do klauzuli „poufne” (art. 14 ust. 10 oraz 11 projektowanej nowelizacji UKSC).

Wymóg taki oceniany jest przez wielu komentujących jako bardzo nieproporcjonalny. Ich zdaniem, w praktyce może stanowić znaczące utrudnienie w powoływaniu i organizowaniu SOC przez operatorów usług kluczowych. Wątpliwości budzi również obowiązek posiadania przez cały personel SOC poświadczenia do klauzuli „poufne” w sytuacji, gdy realizowane wewnętrznie zadania nie wiążą się z obsługą dokumentów, którym nadano taką klauzulę.

Dostawcy wysokiego ryzyka oraz nowe kompetencje ministra właściwego do spraw informatyzacji

Kolejną zmianą, która budzi kontrowersje, jest rozszerzenie kompetencji ministra właściwego do spraw informatyzacji. Będzie mógł on przeprowadzać postępowania w sprawie uznania danego podmiotu za dostawcę wysokiego ryzyka, które może zakończyć się wydaniem decyzji administracyjnej uznającej dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Może to nastąpić w przypadku stwierdzenia, że dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego czy życia lub zdrowia ludzi. W przypadku wydania takiej decyzji podmioty szczególnie narażone na cyberzagrożenia (m.in. DUC i OUK oraz określeni przedsiębiorcy komunikacji elektronicznej) będą zmuszone do zaprzestania korzystania z produktów, usług lub procesów objętych taką decyzją.

Ograniczenie to ma również dotyczyć podmiotów, do których stosuje się ustawę z dnia 11 września 2019 r. – prawo zamówień publicznych (ustawa PZP) [8]. Nie będą one mogły nabywać sprzętu, oprogramowania i usług określonych w decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka (art. 67b ust. 4 projektowanej nowelizacji UKSC). Dodanie kolejnej przesłanki wykluczenia wykonawcy z postępowania, która nie wynika wprost z dyrektywy klasycznej z zakresu zamówień publicznych[9], budzi pewne wątpliwości co do zgodności takiego zabiegu z prawem unijnym. Na ten fakt wskazywał m.in. Minister do spraw Unii Europejskiej w ramach uzgodnień międzyresortowych projektu nowelizacji UKSC[10].

Nowelizacja UKSC zmienia w omawianym zakresie także przepisy ustawy PZP, dodając (w art. 226 ust. 1 pkt 19 ustawy PZP) kolejną podstawę odrzucenia oferty wykonawcy. Odrzuceniu będzie podlegać oferta, która obejmuje produkt, usługę lub proces ICT określone w decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka.

Usunięcie polecenia zabezpieczającego

W jednej z ostatnich wersji projektu nowelizacji UKSC została usunięta budząca największe kontrowersje instytucja polecenia zabezpieczającego. Sprowadzała się ona do kompetencji ministra właściwego do spraw informatyzacji do wydania polecenia zabezpieczającego w przypadku wystąpienia incydentu krytycznego. Polecenie zabezpieczające miało przybrać postać decyzji administracyjnej i mogło dotyczyć dużej części podmiotów krajowego system cyberbezpieczeństwa. Polecenie zabezpieczające mogło wprowadzać zakazy lub nakazy skierowane do jego adresatów, w tym np. w zakresie możliwości korzystania z określonego sprzętu lub oprogramowania. W przypadku tej instytucji największe wątpliwości budziło to, że treść polecenia zabezpieczającego miała obejmować jedynie wskazanie „rodzaju podmiotów”, do których polecenie to miało być skierowane. Określone podmioty mogłyby zatem nie mieć nawet świadomości, że zostały zobowiązane do danego zachowania w drodze decyzji administracyjnej, ponieważ nie zostałyby o tym bezpośrednio poinformowane.

  • Utworzenie strategicznej sieci bezpieczeństwa

Istotną konsekwencją uchwalenia nowelizacji UKSC będzie także stworzenie ram prawnych strategicznej sieci bezpieczeństwa (art. 76c i nast. projektowanej nowelizacji UKSC), czyli infrastruktury sieci telekomunikacyjnej, w której realizowane będą zadania na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego w zakresie telekomunikacji. Strategiczna sieć bezpieczeństwa ma zapewniać szyfrowaną komunikację pomiędzy użytkownikami końcowymi w zakresie usług transmisji danych, połączeń głosowych oraz wiadomości tekstowych.

Nowelizacja zakłada powstanie osobnego podmiotu – operatora strategicznej sieci bezpieczeństwa (OSSB). Będzie on świadczył usługi telekomunikacyjne oraz m.in. usługi cyberbezpieczeństwa na potrzeby najważniejszych organów państwa. OSSB ma także zarządzać strategiczną siecią bezpieczeństwa. OSSB będzie wyznaczany przez Prezesa Rady Ministrów spośród podmiotów spełniających szereg kryteriów. Muszą m.in. być jednoosobową spółką Skarbu Państwa oraz przedsiębiorcą telekomunikacyjnym, a także dawać rękojmię należytego wykonywania zadań operatora strategicznej sieci bezpieczeństwa. Operator strategicznej sieci bezpieczeństwa będzie mógł świadczyć usługi komunikacyjne w oparciu o częstotliwości rządowe.

OSSB będzie miał również możliwość wnioskowania do Prezesa UKE o przyznanie czasowego dostępu do korzystania z częstotliwości cywilnych (z zakresu 713-733 MHz lub 768-788MHz) pod warunkiem, że zachodzi sytuacja szczególnego zagrożenia a częstotliwości rządowe są w pełni wykorzystane. Prezes UKE będzie mógł wówczas nałożyć na podmiot dysponujący rezerwacją częstotliwości cywilnych obowiązek ich udostępnienia OSSB. Również ta instytucja budzi pewne wątpliwości w zakresie zgodności z prawem Unii, w szczególności Europejskiego kodeksu łączności elektronicznej, który określa warunki przyznawania dostępu do częstotliwości oraz wyjątki od zasady swobodnego dostarczania sieci łączności elektronicznej i świadczenia usług łączności elektronicznej.

Utworzenie krajowego systemu certyfikacji cyberbezpieczeństwa

Projekt nowelizacji UKSC zakłada również utworzenie krajowego systemu certyfikacji cyberbezpieczeństwa, w ramach którego zostanie opracowany krajowy program certyfikacji cyberbezpieczeństwa. Zgodnie z jego założeniami dedykowane programy certyfikacji cyberbezpieczeństwa będą mogły zostać opracowane także dla poszczególnych produktów, usług lub procesów ICT, z uwzględnieniem ich specyfiki.

Vacatio legis

Nowelizacja wejdzie w życie po upływie 6 miesięcy od dnia jej ogłoszenia. Termin vacatio legis został stosunkowo niedawno wydłużony. Wcześniej proponowano 30 dni vacatio legis. Zmiana wynika z potrzeby uspójnienia nowelizacji UKSC z PKE.

[1] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913).

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.

[3] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).

[4] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz. U. z 2022 r. poz. 1648 z późn. zm.).

[5] Sejmowy druk nr 2861.

[6] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie)

[7] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Rozporządzenie DORA).

[8] Ustawa z dnia 11 września 2019 r. – Prawo zamówień publicznych (t.j. Dz. U. z 2022 r. poz. 1710 z późn. zm.).

[9] Dyrektywa Parlamentu Europejskiego i Rady 2014/24/UE z dnia 26 lutego 2014 r. w sprawie zamówień publicznych, uchylająca dyrektywę 2004/18/WE (Dz. U. UE. L. z 2014 r. Nr 94, str. 65 z późn. zm.).

[10] Sygn. KPDPUE.920.1030.2021.AR(8)(KWM).