Ustawa o krajowym systemie cyberbezpieczeństwa. Wybrane obowiązki jednostek sektora finansów publicznych i spółek prawa handlowego wykonujących zadania o charakterze użyteczności publicznej

Informacja w administracji publicznej | 1/2019
Moduł: prawo karne
Agnieszka Besiekierska


Dnia 28.8.2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa, implementująca dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, ­popularnie zwaną dyrektywą NIS. Nowa ustawa po raz pierwszy tworzy w Polsce całościowy prewencyjny system cyberbezpieczeństwa, w ramach którego najliczniejszą grupę uczestników stanowią jednostki sektora finansów publicznych i związane z nimi spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej.
Przedmiotem ustawy z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560; dalej: CyberBezpU) jest przede wszystkim organizacja krajowego systemu cyberbezpieczeństwa poprzez określenie zadań i obowiązków podmiotów wchodzących w skład tego systemu oraz sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy (art. 1 ust. 1 CyberBezpU). Celem krajowego systemu cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych. Cel ten ma zostać zrealizowany przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia usług oraz zapewnienie obsługi incydentów (art. 3 CyberBezpU). Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6.7.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.Urz. UE L Nr 194, s. 1; dalej: dyrektywa NIS) statuuje minimalny poziom ochrony, a państwa członkowskie mogą przyjmować lub utrzymywać przepisy mające na celu osiągnięcie wyższego poziomu bezpieczeństwa sieci i systemów informatycznych (art. 3 dyrektywy NIS, pkt 45 preambuły dyrektywy NIS). Polski ustawodawca zdecydował się rozszerzyć katalog podmiotów zobowiązanych do realizacji obowiązków z dyrektywy o podmioty publiczne.