Polska przygotowuje się do wdrożenia nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma implementować europejską Dyrektywę NIS2. Nowelizacja ustawy o KSC planowana jest w III kwartale 2024 r. Te istotne zmiany w przepisach wprowadzą nowe obowiązki dla wielu sektorów gospodarki. Zmiany mają na celu zwiększenie ochrony obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni.
Nowelizacja ustawy o KSC – kluczowe zmiany
- Rozszerzenie katalogu podmiotów: Nowelizacja obejmuje nowe sektory gospodarki, takie jak: energetyka, transport, bankowość, zdrowie, infrastruktura rynków finansowych, zaopatrzenie w wodę, infrastruktura cyfrowa, ścieki, zarządzanie ICT, przestrzeń kosmiczna, poczta, produkcja, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności. Wprowadzenie tych sektorów ma na celu wzmocnienie odporności na cyberataki i ochronę kluczowych obszarów funkcjonowania państwa. Podmioty z tych sektorów będą musiały spełniać określone standardy bezpieczeństwa, monitorować swoje systemy i raportować incydenty.
- Obowiązki w zakresie zarządzania ryzykiem: Nowelizacja wprowadza obowiązek stosowania odpowiednich środków technicznych, operacyjnych i organizacyjnych w celu minimalizowania ryzyka dla bezpieczeństwa sieci i systemów informatycznych. Podmioty kluczowe i ważne w cyberbezpieczeństwie będą musiały przeprowadzać audyty bezpieczeństwa, analizować ryzyko i wdrażać środki zaradcze. Nowe przepisy wymagają również reagowania na incydenty i współpracy z organami odpowiedzialnymi za cyberbezpieczeństwo.
- Kary za naruszenia – nowe przepisy wprowadzają surowsze kary za naruszenia związane z bezpieczeństwem cybernetycznym. Podmioty, które nie spełnią wymagań ustawy lub nie zgłoszą incydentów, mogą być ukarane grzywnami lub innymi sankcjami.
Nowelizacja ustawy o KSC – normy ISO
Spełnienie wymogów norm PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301 będzie równoznaczne ze spełnieniem wymogów art. 8 KSC po zmianach. Zapewni to spójność z międzynarodowym systemem norm oraz będzie premiowało te podmioty, które już dbały o cyberbezpieczeństwa, stosując te normy. Możliwe jest również zapewnienie zgodności z ustawą poprzez wdrożenie systemu zarządzania bezpieczeństwem informacji w oparciu o inne normy czy standardy. Istotne jest to, czy podmiot wdrożył system zarządzania bezpieczeństwem informacji spełniający wymagania z art. 8 ustawy o KSC. Kwestia wyboru normy czy standardu ma drugorzędne znaczenie.
Samoidentyfikacja podmiotów
Jednym z kluczowych aspektów nowelizacji ustawy o KSC jest mechanizm samoidentyfikacji podmiotów. Jest to proces, w którym organizacje samodzielnie oceniają, czy spełniają kryteria określone w ustawie i dyrektywie NIS2.
Aby organizacja mogła poprawnie dokonać samoidentyfikacji, musi przeanalizować, czy jej działalność mieści się w sektorach oraz podsektorach wskazanych w dyrektywie NIS2 i ustawie.
Proces samoidentyfikacji:
- Analiza działalności: Organizacja musi przeanalizować swoją działalność pod kątem kryteriów określonych w ustawie.
- Ocena ryzyka: Przeprowadzenie oceny ryzyka, aby określić, jakie zagrożenia mogą wpływać na systemy informacyjne.
- Dokumentacja: Sporządzenie dokumentacji potwierdzającej spełnienie kryteriów oraz zgromadzenie dowodów na wdrożenie odpowiednich środków ochrony.
- Zgłoszenie: Zgłoszenie swojej identyfikacji do odpowiedniego organu nadzorującego, który może weryfikować poprawność samoidentyfikacji.
Wysokie kary za nieprzystosowanie się do przepisów
Nowelizacja ustawy o KSC wprowadza surowe sankcje za nieprzestrzeganie przepisów. Kary te mają na celu zapewnienie wysokiego poziomu zgodności z wymaganiami ustawy oraz promowanie odpowiednich praktyk w zakresie cyberbezpieczeństwa. Rodzaje kar:
- Kary finansowe
- Dla przedsiębiorstw: mogą sięgać nawet 10 milionów euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa za poprzedni rok obrotowy, w zależności od tego, która wartość jest wyższa.
- Dla osób fizycznych: mogą być nakładane grzywny w zależności od wagi naruszenia i okoliczności łagodzących lub obciążających.
- Kary administracyjne
- Nakazy wstrzymania działalności (z wyłączeniem administracji publicznej): w przypadku poważnych naruszeń, które stanowią bezpośrednie zagrożenie dla bezpieczeństwa narodowego.
- Ograniczenia operacyjne: mogą być nałożone ograniczenia na działalność przedsiębiorstwa, aż do momentu wdrożenia odpowiednich środków zaradczych.
- Dodatkowe sankcje
- Reputacyjne: ujawnienie informacji o naruszeniach i nałożonych karach może mieć poważne konsekwencje dla reputacji przedsiębiorstwa, co może wpływać na jego działalność i relacje z klientami.
Nowa era cyberbezpieczeństwa
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz wdrożenie Dyrektywy NIS2 to kluczowe kroki w kierunku zwiększenia ochrony cyfrowej w Polsce. Zwiększone wymagania i surowe kary mają na celu zmotywowanie podmiotów do poważnego traktowania kwestii cyberbezpieczeństwa, co w dłuższej perspektywie ma przyczynić się do zwiększenia ochrony państwa i jego obywateli.