Przyjęcie ustawy wynika z konieczności wdrożenia do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148). Ustawa, której projekt został przygotowany w Ministerstwie Cyfryzacji, będzie także realizowała zapisy Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022.

Projektowane przepisy ustawy o krajowym systemie cyberbezpieczeństwa, mają zapewnić ochronę cyberprzestrzeni na poziomie krajowym. Ochrona ta ma gwarantować m.in. niezakłócone świadczenie usług cyfrowych kluczowych z punktu widzenia państwa i gospodarki. Ma to zostać osiągnięte poprzez zapewnienie wysokiego poziomu bezpieczeństwa wykorzystywanych systemów informacyjnych.

Budowany system będzie obejmował: operatorów usług kluczowych (m.in. z sektora energetycznego, transportowego, zdrowotnego, bankowości), dostawców usług cyfrowych, zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa oraz punkt kontaktowy do współpracy w Unii Europejskiej.

Operatorzy usług kluczowych będą zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego. Do krajowego systemu cyberbezpieczeństwa zostaną również włączone organy administracji publicznej oraz przedsiębiorcy telekomunikacyjni. Wymaganiami z zakresu cyberbezpieczeństwa będą objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, dostawcy usług przetwarzania w chmurze i wyszukiwarki internetowe.

Do zadań ministra właściwego do spraw informatyzacji należeć będzie m.in. opracowanie Strategi Cyberbezpieczeństwa oraz uruchomienie z dniem 1 stycznia 2021 r. systemu teleinformatycznego umożliwiającego zautomatyzowane zgłaszanie i obsługę incydentów, szacowanie ryzyka teleinformatycznego i ostrzeganie o zagrożeniach cyberbezpieczeństwa.