Wykaz prac legislacyjnych i programowych Rady Ministrów

Numer projektuUD68
Tytuł

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, ustawy – Prawo telekomunikacyjne oraz ustawy – Ordynacja podatkowa

Rodzaj dokumentuprojekty ustaw
Informacje o przyczynach i potrzebie wprowadzenia rozwiązań planowanych w projekcie

Państwo polskie nie posiada narzędzi reagowania na próby zakupu kluczowych elementów infrastruktury, które nie zostały uznane za infrastrukturę krytyczną. Powoduje to, w szczególności w sektorze telekomunikacji, ryzyko utraty kontroli nad infrastrukturą o istotnym znaczeniu dla bezpieczeństwa państwa.
Drugim wykrytym brakiem jest niemożność bezpośredniego wpływania na podmioty krajowego systemu cyberbezpieczeństwa w zakresie stosowanych środków bezpieczeństwa. Mechanizmy w ustawie mają charakter zarówno prewencyjny (wymogi bezpieczeństwa oraz nadzór nad ich wdrożeniem), jak i wspierający (wsparcie instytucjonalne zespołów reagowania na incydenty oraz wytyczne organów właściwych), jednak nie umożliwiają działań o masowym charakterze w czasie trwania incydentu – instytucje nie mogą reagować na postępujące ataki i np. nakazać określonego zachowania chroniącego przed infekcją.
Brakuje również narzędzi umożliwiających instytucjom państwowym zajmującym się bezpieczeństwem ocenę zależności przedsiębiorców od podmiotów z siedzibą poza Unią Europejską. Narzędzia takie powinny pozwalać na ustalenie czy dostawca jest kontrolowany przez obcy rząd bez możliwości odwołania się do niezawisłego sądu; czy dostawca ma przejrzystą strukturę własności; oraz czy dostawca, w swojej historii, wykazywał się etycznym postępowaniem korporacyjnym oraz, czy podlega on porządkowi prawnemu, w który zapewnia przejrzystość działalności firm.

Istota rozwiązań ujętych w projekcie

Niniejszy projekt ustawę o krajowym systemie cyberbezpieczeństwa wzmocni nowymi mechanizmami prewencji ogólnej (specjalne działania ochronne), natomiast ustawę – Prawo telekomunikacyjne uzupełni o nowy mechanizm prewencji indywidualnej (zgłaszanie zbycia infrastruktury telekomunikacyjnej). Są to niezbędne elementy nadzoru, których dotychczas tym aktom prawnym brakowało do osiągnięcia pełnej skuteczności.
Ustawa – Prawo telekomunikacyjne zostanie rozszerzona o obowiązek zgłaszania Prezesowi UKE przez przedsiębiorcę telekomunikacyjnego zamiaru zbycia infrastruktury telekomunikacyjnej. W przypadku, kiedy zbycie infrastruktury telekomunikacyjnej mogłoby, w ocenie właściwych służb specjalnych, stanowić zagrożenie dla bezpieczeństwa państwa, będzie możliwe zgłoszenie przez Prezesa UKE sprzeciwu wobec takiej transakcji.
W zakresie ustawy o krajowym systemie cyberbezpieczeństwa zostanie wprowadzony zamknięty katalog dopuszczalnych specjalnych środków ochronnych. Będą to:
1. ostrzeżenie;
2. wpis na listę podmiotów stanowiących zagrożenie dla cyberbezpieczeństwa;
3. środki zabezpieczające.

Są one stopniowane w zależności od poziomu ingerencji. Ostrzeżenia są najłagodniejsze i są stosowane przed wystąpieniem incydentu; wpis na listę podmiotów stanowiących zagrożenie dla cyberbezpieczeństwa pozwala na wskazanie konkretnych przedsiębiorców, których działania budzą zastrzeżenia z punktu widzenia krajowego systemu cyberbezpieczeństwa; wreszcie – środki zabezpieczające, które nakazują podmiotom określone zachowanie, wspierające obsługę incydentu krytycznego.

Organ odpowiedzialny za opracowanie projektuMC
Osoba odpowiedzialna za opracowanie projektuMarek Zagórski Minister Cyfryzacji
Organ odpowiedzialny za przedłożenie projektu RMMC
Planowany termin przyjęcia projektu przez RMII kwartał 2020 r.
Informacja o rezygnacji z prac nad projektem (z podaniem przyczyny)-

Opcje strony

do góry