Pełna wypowiedź
4 min czytania · podświetlone fragmenty wybrał model jako kluczowe
W imieniu Klubu Parlamentarnego Polskie Stronnictwo Ludowe - Trzecia Droga przedstawiam stanowisko dotyczące rządowego projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, zawartego w druku nr 1955. Debatujemy dziś nad projektem, który ma fundamentalne znaczenie dla bezpieczeństwa państwa, gospodarki oraz obywateli, ponieważ cyberprzestrzeń stała się jednym z kluczowych obszarów współczesnych zagrożeń. Jeżeli nie zadbamy o ten obszar, to nawet najlepiej funkcjonujące instytucje nie będą zdolne działać stabilnie i efektywnie. Uzasadnienie projektu ustawy wyraźnie pokazuje skalę wyzwań. W 2022 r. do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego zgłoszono ponad 39 tys. incydentów cyberbezpieczeństwa. Rok później liczba zgłoszeń wzrosła do 75 tys., a w 2024 r. przekroczyła pułap 103 tys. To są dane alarmujące, wskazujące na nieustanny gwałtowny wzrost intensywności i złożoności ataków. Dotykają one instytucji publicznych, infrastruktury krytycznej, przedsiębiorców, a coraz częściej również zwykłych obywateli, których dane, tożsamość i środki finansowe stają się obiektem przestępczej aktywności. W tej sytuacji państwo musi reagować, a system prawny musi nadążać za rzeczywistością. Projekt ustawy przede wszystkim stanowi wdrożenie unijnej dyrektywy NIS 2, która wprowadza zupełnie nowe standardy ochrony sieci i systemów informatycznych. Dyrektywa ta rozszerza katalog podmiotów objętych obowiązkami, wzmacnia ich odpowiedzialność oraz precyzuje działania niezbędne do zapobiegania atakom. Nowelizacja kładzie nacisk na gotowość do reagowania na incydenty. Organizacje muszą posiadać procedury wykrywania, analizowania i raportowania incydentów, a także zapewnić współpracę z krajowym Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego. Równolegle wymagane jest wdrożenie mechanizmów zapewniających ciągłość działania, w tym planów awaryjnych i odtworzeniowych. Jeśli chodzi o bezpieczeństwo łańcucha dostaw technologii informacyjno-komunikacyjnych, to podmioty muszą identyfikować ryzyko związane z dostawcami, oceniać jakość produktów i usług oraz uwzględniać decyzje o uznaniu dostawcy za dostawcę wysokiego ryzyka. Dodatkowo ustawa wprowadza obowiązki w zakresie zarządzania produktami technologii informacyjno-komunikacyjnych, w tym zakaz nabywania lub konieczność wycofania określonych rozwiązań, oraz wymiany informacji o cyberzagrożeniach, co ma wspierać budowę wspólnej odporności sektora. Projekt zwiększa ochronę przed cyberzagrożeniami. Jeżeli chodzi o najważniejsze rozwiązania, to nowe przepisy przewidują, że więcej firm i podmiotów będzie musiało dbać o cyberbezpieczeństwo. Do dotychczasowych sektorów gospodarki, takich jak energia, transport, zdrowie czy bankowość, zostaną dodane kolejne: gospodarka ściekowa, gospodarowanie odpadami, produkcja i dystrybucja chemikalniów, produkcja i dystrybucja żywności, poczta, przestrzeń kosmiczna. Nowe przepisy umożliwią np. zakup sprzętu czy unowocześnienie infrastruktury oraz stworzenie zespołów reagowania na incydenty cyberbezpieczeństwa - chodzi o specjalne podmioty w różnych sektorach, np. służby zdrowia czy bankowości, które będą pomagać w szybkiej reakcji na zagrożenia. Zwiększy się też odpowiedzialność osób, które zarządzają przedsiębiorstwami i instytucjami objętymi krajowym systemem cyberbezpieczeństwa. Osoby zarządzające będą osobiście odpowiedzialne za działania związane z bezpieczeństwem IT i mogą zostać ukarane za ewentualne zaniedbania. Wprowadzony zostanie obowiązek zgłaszania incydentów w sieci. Firmy i instytucje będą musiały szybko informować specjalne zespoły o problemach związanych z cyberbezpieczeństwem. Zgłaszanie incydentów w sieci będzie mogło się odbywać za pomocą specjalnego systemu teleinformatycznego Ministerstwa Cyfryzacji. Wzmocni się rola pełnomocnika rządu do spraw cyberbezpieczeństwa - będzie miał więcej uprawnień, np. prawo żądania informacji od jednostek administracji rządowej i wydawania rekomendacji. Powstanie także plan działania na wypadek poważnych incydentów. Nowe przepisy wprowadzą zasady dotyczące współpracy i szybkiego reagowania na zagrożenia, które mogą wpłynąć na działanie kluczowych usług, takich jak szpitale czy też elektrownie. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa jest realną zmianą podejścia do zarządzania bezpieczeństwem cyfrowym w organizacjach. Wprowadzenie nowych obowiązków, rozszerzenie katalogu podmiotów objętych regulacją oraz nacisk na proaktywne działania wymagają od organizacji strategicznego przygotowania. W obliczu rosnących zagrożeń, odpowiedzialności zarządów i potencjalnych sankcji warto jest już teraz podjąć kroki w kierunku zgodności z nowymi przepisami. Wczesne przygotowanie to nie tylko zgodność z prawem, ale także inwestycja w odporność organizacji. Panie Marszałku! Wysoka Izbo! Projekt ustawy, który dziś omawiamy, jest odpowiedzią na rosnące wyzwania współczesnego świata. Porządkuje polski system cyberbezpieczeństwa, rozszerza jego zakres, wzmacnia instytucje odpowiedzialne za ochronę, a także dostosowuje prawo do standardów unijnych i globalnych. Wprowadza również zasady współpracy i szybkiego reagowania na zagrożenia, które mogą wpłynąć na działanie kluczowych usług. Jako Klub Parlamentarny Polskie Stronnictwo Ludowe - Trzecia Droga oceniamy kierunek tych zmian pozytywnie i deklarujemy gotowość do dalszej merytorycznej pracy nad projektem w kolejnych etapach procesu legislacyjnego, tak aby finalna ustawa w jak największym stopniu podnosiła odporność państwa i zwiększała bezpieczeństwo naszych obywateli. Dziękuję bardzo. Przebieg posiedzenia