Zgodnie z zapowiedziami, do Sejmu skierowana została nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Nowe przepisy, mające na celu wdrożenie Dyrektywy NIS2, mogą już niedługo zostać uchwalone. Warto już teraz przygotować się na nadchodzące zmiany, aby uniknąć niespodzianek i zapewnić odpowiednią zgodność.
Nadchodząca nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa jest szczególnie istotna, bo obejmie swoim zakresem znacznie więcej podmiotów niż dotychczasowa ustawa. Nowe przepisy będą dotyczyć podmiotów kluczowych oraz podmiotów ważnych, a nie jak obecnie – operatorów usług kluczowych i dostawców usług cyfrowych.
Nowelizacja odnosi się m.in. do sektorów takich jak:
- bankowość, w tym do banków krajowych i instytucji kredytowych,
- infrastruktura cyfrowa obejmujące np. przedsiębiorców komunikacji elektronicznej czy dostawców chmury,
- produkcja, w tym do produkcji wyrobów medycznych, maszyn, komputerów i pojazdów,
- usługi cyfrowe, co obejmuje internetowe platformy handlowe i platformy społecznościowe oraz zarządzanie usługami ICT, w tym dostawców usług zarządzanych w zakresie cyberbezpieczeństwa.
Powyższy katalog nie wymienia wszystkich podmiotów, bo kompletna lista jest znacznie szersza.
Samo uznanie za podmiot kluczowy lub ważny będzie zależne od spełnienia przesłanek,
np. odnoszących się do wielkości lub rodzaju wykonywanej działalności. Dodatkowo, nowe przepisy nakładają obowiązki na niektóre podmioty publiczne czy tzw. dostawców wysokiego ryzyka.
Nowe przepisy to także szereg nowych obowiązków prawnych. Podmiot ważny lub kluczowy będzie zobowiązany do wdrożenia systemu zarządzania bezpieczeństwem informacji w odniesieniu do systemów informatycznych wykorzystywanych w procesach mających wpływ na świadczenie jego usług.
Dodatkowo, taka organizacja będzie musiała zapewnić zarządzanie incydentami, wprowadzić polityki kontroli dostępu czy stosować wymaganą dokumentację dotyczącą bezpieczeństwa systemu informacyjnego. Na zobowiązanych podmiotach spoczywa także obowiązek dokonywania zgłoszeń incydentów.
Nowelizacja wprowadzi poważniejsze sankcje. Dla podmiotów kluczowych za naruszenia przewidziano kary w wysokości nawet do 10 mln euro lub 2% rocznego przychodu.
W przypadku podmiotów ważnych, kary też nie są niższe. Mogą one wynieść nawet do 7 mln euro
lub 1,4% przychodu. W szczególnych przypadkach na każdy z tych podmiotów może został nałożona kara w wysokości nawet do 100 000 000 zł.
Kary grożą m.in. za brak systematycznego szacowania ryzyka, niezgłoszenie incydentu w wymaganym terminie czy za zaniechanie usuwania podatności oraz za niezarządzanie ryzykiem wystąpienia incydentu. To nie są wszystkie przypadki – katalog czynów podlegających sankcjom jest szerszy.
Poza tym, także kadra zarządzająca będzie mogła ponieść odpowiedzialność. Kara finansowa może wynieść nawet 300% wynagrodzenia osoby odpowiedzialnej. Przepisy przewidują również możliwość zakazania kierownikowi pełnienia przez niego funkcji zarządczych.
Cyberbezpieczeństwo to obecnie fundament każdego biznesu – rosnąca liczba ataków oznacza realne ryzyko strat finansowych, utraty know-how czy renomy. Warto o tym pamiętać,
w szczególności dlatego, że nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa może wejść w życie już wkrótce. Dobrze być odpowiednio przygotowanym jak najwcześniej,
w szczególności z uwagi na bezpieczeństwo i stabilność organizacji.
