Polecenie zabezpieczające — nakaz skoordynowanej rekacji na incydent krytyczny (NIS2)

przez

A skoro dziś weszła w życie ustawa implementująca dyrektywę NIS2, to czas na kilka zdań o narzędziu jakim jest polecenie zabezpieczające — odgórny nakaz reakcji podmiotów krytycznych i ważnych na incydent krytyczny (ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, Dz.U. z 2026 r. poz. 252).

Kolorowe podwórko Wrocław
Niech nas wszyscy w swej opiece mają… (fot. Olgierd Rudak, CC0)

A mianowicie, w określonym skrócie:

  • polecenie zabezpieczające jest rozwiązaniem mającym na celu zapewnienie błyskawicznej i skoordynowanej reakcji podmiotów podlegających NIS2 na incydent krytyczny;

art. 67g ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa
Minister właściwy do spraw informatyzacji w przypadku wystąpienia incydentu krytycznego może, w drodze decyzji, wydać polecenie zabezpieczające. 

  • dla przypomnienia: incydent krytyczny został w ustawie zdefiniowany jako zdarzenie, którego skutkiem jest powstanie znacznej szkody dla bezpieczeństwa, porządku publicznego, praw i wolności obywatelskich lub życia i zdrowia ludzkiego, etc., odpowiednio zaklasyfikowany przez jeden z Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym (CSIRT MON, CSIRT NASK lub CSIRT GOV);
  • w kwestii formalnej: decyzja o wydaniu polecenia zabezpieczającego będzie dotyczyła„nieokreślonej liczby” wskazanych rodzajowo podmiotów kluczowych lub podmiotów ważnych oraz podmiotów finansowych (tych, których obejmuje NIS2);

art. 67g ust. 2 ustawy o krajowym systemie cyberbezpieczeństwa
Polecenie zabezpieczające dotyczy nieokreślonej liczby podmiotów kluczowych lub podmiotów ważnych oraz podmiotów finansowych, z wyłączeniem podmiotów określonych w art. 16 rozporządzenia 2022/2554.

  • przy czym po wszczęciu postępowania strony będą zawiadamiane o czynnościach poprzez „publiczne opublikowanie” odpowiedniej informacji w ministerialnym BIP-ie;
  • następstwem wystąpienia incydentu krytycznego będzie konieczność przeprowadzenia przez ministra d/s informatyzacji, wraz z Zespołem d/s Incydentów Krytycznych, analizy obejmującej m.in. istotność cyberzagrożenia, szacowanie ryzyka, przewidywane lub zaistniałe skutki, jak też ocenę stopnia dotkliwości i proporcjonalności nałożonych obowiązków, przy czym ustawa przewiduje aktywny udział zainteresowanych podmiotów w przygotowaniu analizy — na wezwanie odpowiedniego organu każdy podmiot będzie miał obowiązek udzielenia żądanych informacji, najpóźniej w ciągu 72 godzin;
  • jeśli przeprowadzona analiza wykaże, iż incydent krytyczny musi spotkać się z jednolitym, skoordynowanym i określonym działaniem ze strony podmiotów, minister d/s informatyzacji może wydać decyzję administracyjną — polecenie zabezpieczające;
  • jako się już rzekło: adresatem polecenia zabezpieczającego będzie każdy — „nieokreślona ilość” — podmiot kluczowy / ważny / finansowy, który został rodzajowo wskazany w treści decyzji (por. przepisy o decyzji uznającej określonego dostawcę za dostawcę wysokiego ryzyka);

art. 67g ust. 9 ustawy o krajowym systemie cyberbezpieczeństwa
Polecenie zabezpieczające zawiera:
1) wskazanie rodzaju lub rodzajów podmiotów, których dotyczy;
2) obowiązek określonego zachowania zmniejszającego skutki incydentu krytycznego lub zapobiegającego jego rozprzestrzenianiu się;
3) termin jego wdrożenia.

  • (ciekawe, że przepisy o poleceniu zabezpieczającym nie mają zastosowania do Narodowego Banku Polskiego, art. 67j ust. 1 uksc);
  • stąd też decyzja nie będzie zawierała oznaczenia stron i nie będzie doręczana — polecenie zabezpieczające będzie wyłącznie ogłaszane w formie komunikatu publikowanego w dzienniku urzędowym i na stronie internetowej ministra d/s informatyzacji, a dzień publikacji będzie uznawany za datę doręczenia decyzji;
  • obowiązki zachowania wynikające z polecenia zabezpieczającego mogą polegać m.in. na nakazie szacowania ryzyka wynikającego ze stosowania określonego produktu, usługi lub procesu ICT, nakazaniu przeglądu dokumentacji NIS2 (ciągłości działania, planów awaryjnych i planów odtworzenia działalności) pod kątem podatności, nakazaniu wprowadzenia określonej poprawki bezpieczeństwa w stosowanej technologii, rekonfiguracji systemu lub instalacji określonej wersji oprogramowania, a także wprowadzeniu ograniczeń ruchu sieciowego przychodzącego do infrastruktury podmiotu ze źródła stanowiącego przyczynę incydentu krytycznego, etc.,etc.;
  • przy czym nałożone w decyzji środki powinny być adekwatne do ryzyka wynikającego z incydentu krytycznego — czyli zgodne z jego analizą;
  • decyzja ministra podlega natychmiastowej wykonalności, nie przysługuje od niej wniosek o ponowne rozpatrzenie sprawy — skargę na polecenie zabezpieczające będzie można wnieść do WSA w terminie 2 miesięcy od jego ogłoszenia (obowiązkiem sądu będzie połączenie wszystkich skarg do łącznego rozstrzygnięcia) — zaś jego zakres czasowy wyznaczać ma ogłoszenie o zakończeniu koordynacji obsługi incydentu krytycznego lub upływ czasu, na jakie polecenie zostało wydane;
  • jakby ktoś pytał: podmiot, który nie wdrożył określonego zachowania wynikającego z polecenia zabezpieczającego lub odstąpił od stosowania się do nakazanych rozwiązań, podlega karze pieniężnej, za uchybienie obowiązkom może być ukarany także kierownik podmiotu.
subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

0 komentarzy
Oldest
Newest
0
komentarze są tam :-)x