Skontaktuj się

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa w świetle Dyrektywy NIS2

Polska przygotowuje się do wdrożenia nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma implementować europejską Dyrektywę NIS2. Przyjęcie nowelizacji KSC planowane jest w III kwartale 2024 r. Te istotne zmiany w przepisach wprowadzą nowe obowiązki dla wielu sektorów gospodarki. Zmiany mają na celu zwiększenie ochrony obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni.

Kluczowe zmiany w nowelizacji

  1. Rozszerzenie katalogu podmiotów: Nowelizacja obejmuje nowe sektory gospodarki, takie jak: energetyka, transport, bankowość, zdrowie, infrastruktura rynków finansowych, zaopatrzenie w wodę, infrastruktura cyfrowa, ścieki, zarządzanie ICT, przestrzeń kosmiczna, poczta, produkcja, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności. Wprowadzenie tych sektorów ma na celu wzmocnienie odporności na cyberataki i ochronę kluczowych obszarów funkcjonowania państwa. Podmioty z tych sektorów będą musiały spełniać określone standardy bezpieczeństwa, monitorować swoje systemy i raportować incydenty.
  2. Obowiązki w zakresie zarządzania ryzykiem: Nowelizacja wprowadza obowiązek stosowania odpowiednich środków technicznych, operacyjnych i organizacyjnych w celu minimalizowania ryzyka dla bezpieczeństwa sieci i systemów informatycznych. Podmioty kluczowe i ważne w cyberbezpieczeństwie będą musiały przeprowadzać audyty bezpieczeństwa, analizować ryzyko i wdrażać środki zaradcze. Nowe przepisy wymagają również reagowania na incydenty i współpracy z organami odpowiedzialnymi za cyberbezpieczeństwo.
  3. Kary za naruszenia – nowe przepisy wprowadzają surowsze kary za naruszenia związane z bezpieczeństwem cybernetycznym. Podmioty, które nie spełnią wymagań ustawy lub nie zgłoszą incydentów, mogą być ukarane grzywnami lub innymi sankcjami.

Normy ISO w nowelizacji KSC

Spełnienie wymogów norm PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301 będzie równoznaczne ze spełnieniem wymogów art. 8 KSC po zmianach. Zapewni to spójność z międzynarodowym systemem norm oraz będzie premiowało te podmioty, które już dbały o cyberbezpieczeństwa, stosując te normy. Możliwe jest również zapewnienie zgodności z ustawą poprzez wdrożenie systemu zarządzania bezpieczeństwem informacji w oparciu o inne normy czy standardy. Istotne jest to, czy podmiot wdrożył system zarządzania bezpieczeństwem informacji spełniający wymagania z art. 8 ustawy o KSC. Kwestia wyboru normy czy standardu ma drugorzędne znaczenie.

Samoidentyfikacja podmiotów

Jednym z kluczowych aspektów nowelizacji ustawy o KSC jest mechanizm samoidentyfikacji podmiotów. Jest to proces, w którym organizacje samodzielnie oceniają, czy spełniają kryteria określone w ustawie i dyrektywie NIS2.

Aby organizacja mogła poprawnie dokonać samoidentyfikacji, musi przeanalizować, czy jej działalność mieści się w sektorach oraz podsektorach wskazanych w dyrektywie NIS2 i ustawie.

Proces samoidentyfikacji:

  1. Analiza działalności: Organizacja musi przeanalizować swoją działalność pod kątem kryteriów określonych w ustawie.
  2. Ocena ryzyka: Przeprowadzenie oceny ryzyka, aby określić, jakie zagrożenia mogą wpływać na systemy informacyjne.
  3. Dokumentacja: Sporządzenie dokumentacji potwierdzającej spełnienie kryteriów oraz zgromadzenie dowodów na wdrożenie odpowiednich środków ochrony.
  4. Zgłoszenie: Zgłoszenie swojej identyfikacji do odpowiedniego organu nadzorującego, który może weryfikować poprawność samoidentyfikacji.

Wysokie kary za nieprzystosowanie się do przepisów

Nowelizacja ustawy o KSC wprowadza surowe sankcje za nieprzestrzeganie przepisów. Kary te mają na celu zapewnienie wysokiego poziomu zgodności z wymaganiami ustawy oraz promowanie odpowiednich praktyk w zakresie cyberbezpieczeństwa. Rodzaje kar:

  1. Kary finansowe
    • Dla przedsiębiorstw: mogą sięgać nawet 10 milionów euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa za poprzedni rok obrotowy, w zależności od tego, która wartość jest wyższa.
    • Dla osób fizycznych: mogą być nakładane grzywny w zależności od wagi naruszenia i okoliczności łagodzących lub obciążających.
  2. Kary administracyjne
    • Nakazy wstrzymania działalności (z wyłączeniem administracji publicznej): w przypadku poważnych naruszeń, które stanowią bezpośrednie zagrożenie dla bezpieczeństwa narodowego.
    • Ograniczenia operacyjne: mogą być nałożone ograniczenia na działalność przedsiębiorstwa, aż do momentu wdrożenia odpowiednich środków zaradczych.
  3. Dodatkowe sankcje
    • Reputacyjne: ujawnienie informacji o naruszeniach i nałożonych karach może mieć poważne konsekwencje dla reputacji przedsiębiorstwa, co może wpływać na jego działalność i relacje z klientami.

Nowa era cyberbezpieczeństwa

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz wdrożenie Dyrektywy NIS2 to kluczowe kroki w kierunku zwiększenia ochrony cyfrowej w Polsce. Zwiększone wymagania i surowe kary mają na celu zmotywowanie podmiotów do poważnego traktowania kwestii cyberbezpieczeństwa, co w dłuższej perspektywie ma przyczynić się do zwiększenia ochrony państwa i jego obywateli.

Tagi
Podziel się artykułem