21 października Rada Ministrów przyjęła projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Teraz ma on trafić do Sejmu. Jesteśmy co raz bliżej wdrożenia Dyrektywy NIS2 do polskiego prawa.
Nowe przepisy to znaczący krok w stronę wzmocnienia bezpieczeństwa cyfrowego i wszystko wskazuje na to, że mogą one zacząć obowiązywać w najbliższym czasie.
Warto już teraz być przygotowanym na nadchodzące zmiany – tak by nie być niczym zaskoczonym.
Jakie organizacje znajdą się w gronie podmiotów objętych nowymi przepisami? Co to będzie dla nich oznaczało? Czy przewidziano poważniejsze sankcje? O tym więcej poniżej.
Kogo dotyczy nowelizacja?
Nadchodząca nowelizacja obejmuje znacznie więcej przedsiębiorców niż dotychczasowa ustawa. Będzie to oznaczało konieczność dostosowania się do tego prawa przez nowe organizacje. Co ważne – nowe przepisy przyniosą istotną zmianę m.in. w klasyfikacji podmiotów, które są nimi objęte. Zamiast dotychczasowych operatorów usług kluczowych i dostawców usług cyfrowych, ustawa będzie dotyczyć podmiotów kluczowych oraz podmiotów ważnych.
Nowelizacja odnosi się do takich sektorów jak: bankowość, w co wchodzą m.in. banki krajowe i instytucje kredytowe, infrastruktura cyfrowa i np. przedsiębiorcy komunikacji elektronicznej czy dostawcy chmury, produkcja, w tym wyrobów medycznych, maszyn, komputerów i pojazdów, usługi cyfrowe, w tym internetowe platformy handlowe i platformy społecznościowe oraz zarządzanie usługami ICT, w tym dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa.
Powyższe stanowi jedynie przykładowy katalog podmiotów – kompletna lista jest znacznie szersza. Dodatkowo, nowe przepisy nakładają obowiązki na niektóre podmioty publiczne czy tzw. dostawców wysokiego ryzyka.
O czym będzie musiał pamiętać podmiot ważny lub kluczowy?
Po wejściu w życie nowych przepisów, podmiot kluczowy lub ważny będzie zobowiązany do wdrożenia systemu zarządzania bezpieczeństwem informacji w odniesieniu do systemów informatycznych wykorzystywanych w procesach mających wpływ na świadczenie jego usług. Taki system powinien m.in. zapewniać wdrożenie odpowiednich i proporcjonalnych środków technicznych i organizacyjnych, które są zgodne z ryzykiem czy wdrożyć odpowiednie procedury lub szkolenia dla personelu.
Co to będzie oznaczać w praktyce?
Przede wszystkim konieczność zapewnienia w przedsiębiorstwie kompleksowego podejścia do cyberbezpieczeństwa i to nie tylko od strony technologicznej, ale również w odniesieniu do organizacji czy kultury pracy.
Dodatkowo, objęta tymi przepisami organizacja będzie musiała zapewnić zarządzanie incydentami, wprowadzić polityki kontroli dostępu czy stosować wymaganą dokumentację dotyczącą bezpieczeństwa systemu informacyjnego. Na zobowiązanych podmiotach spoczywa także obowiązek dokonywania zgłoszeń incydentów.
Po tych zmianach, organizacje objęte nowelizacją będą musiały świadomie podejść do kwestii cyberbezpieczeństwa – obejmujący m.in. ocenę aktualnych zabezpieczeń, wdrożenie adekwatnych procedur (np. reagowania na incydenty). Istotne będzie także zapewnienie odpowiednich szkoleń czy wdrożenie podstawowych zasad cyberhigieny.
Czekają nas znacznie poważniejsze sankcje
Po zmianach, odpowiedzialność za cyberbezpieczeństwo nabierze zupełnie nowego wymiaru. Wysokość kar przewidziana w nowelizacji robi wrażenie – zwłaszcza jak porównamy je do obowiązującej ustawy.
Za co grożą kary? Przedsiębiorca może je dostać m.in. za brak systematycznego szacowania ryzyka, za niezarządzaniem ryzykiem wystąpienia incydentu, niezgłoszenie incydentu w wymaganym terminie czy za zaniechanie usuwania podatności. Katalog czynów podlegających sankcjom jest szeroki.
Dla podmiotów kluczowych za naruszenia przewidziano kary w wysokości nawet do 10 mln euro lub 2% rocznego przychodu. Minimalna kara? 20 tys. zł. W przypadku podmiotów ważnych, te kary też nie są dużo niższe. Mogą one wynieść nawet do 7 mln euro lub 1,4% przychodu, przy czym dolna granica to 15 tys. zł.
Wysokość kar robi wrażenie, a to nie wszystko
Odpowiedzialność będzie mogła ponieść także kadra zarządzająca i w skrajnych przypadkach taka kara może wynieść nawet 300% wynagrodzenia osoby odpowiedzialnej.
Cyberbezpieczeństwo dotyczy każdego
W erze cyfrowej transformacji systemy IT to kręgosłup każdego biznesu. Niestety, to także cel coraz bardziej zaawansowanych cyberataków. Sama skala incydentów rośnie, a ich skutki mogą być poważne: od strat finansowych, przez wyciek know-how, aż po utratę zaufania klientów.
Cyberbezpieczeństwo to dziś nie tylko obowiązek czy modny slogan, ale fundament stabilności i rozwoju. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa może zacząć obowiązywać już w najbliższych miesiącach, a nowe przepisy – jak zostaną uchwalone, mają wejść w życie już po upływie miesiąca od dnia ich ogłoszenia.
Od momentu uznania za podmiot kluczowy lub ważny, organizacja ma 6 miesięcy na spełnienie nowych obowiązków
Czas na realizację obowiązków jest krótki – dlatego, nie warto czekać i o bezpieczeństwo cybernetyczne organizacji należy zadbać już teraz i to nie tylko z myślą o obowiązkach prawnych, bo kwestie bezpieczeństwa informacji już reguluje RODO czy obecna ustawa o krajowym systemie cyberbezpieczeństwa, ale przede wszystkim z myślą o reputacji i o zapewnieniu należytej ochrony własnej organizacji.
