KSC&NIS2

Nowelizacja ustawy o KSC i implementacja NIS2 – co dalej z cyberbezpieczeństwem w Polsce?

Nowelizacja ustawy o KSC i implementacja NIS2 weszły na nowy etap w procesie legislacji. Wiemy, że Polska nie zdążyła wdrożyć dyrektywy NIS2 w terminie wyznaczonym przez Unię Europejską, czyli do 17 października 2024 roku. Ministerstwo Cyfryzacji jednak intensywnie prowadzi prace nad projektem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Nowe przepisy mają zostać uchwalone w 2025 roku. Ministerstwo Cyfryzacji przekazało zmodyfikowany projekt ustawy do Komitetu do Spraw Europejskich, zawierając m.in. protokół rozbieżności. Protokół jest istotnym dokumentem, gdyż zawiera uwagi nieuwzględnione podczas wcześniejszych etapów opiniowania. Natomiast Komitet do Spraw Europejskich przekazał uwagi do przedstawionych dokumentów we wskazanym terminie tj. do 22 października br.

Oczywiście powinno się śledzić proces prawny, ale w świetle rosnących zagrożeń cybernetycznych, warto już teraz podejmować działania zapobiegawcze i inwestować w skuteczne systemy cyberobrony np. cyber decepcję. Warto również zwrócić uwagę na rosnące znaczenie narzędzi takich jak audyty IT, które umożliwiają firmom identyfikację luk w zabezpieczeniach oraz odpowiednią ich eliminację. Istotną kwestią będą również łańcuchy dostaw pod kątem bezpieczeństwa IT, szczególnie w kontekście nowych zapisów dotyczących dostawców wysokiego ryzyka. Pamiętajmy, że przepisy mogą jedynie wskazać kierunek, ale to konkretne działania ochronią firmy przed cyberatakami.

Konsultacje społeczne i opiniowane – wsłuchanie się w głos rynku

Projekt zmian w KSC przeszedł do tej pory wymaganą ścieżkę legislacyjną w zakresie jego opiniowania i konsultacji społecznych. W trakcie samych konsultacji społecznych Ministerstwo Cyfryzacji otrzymało łącznie, aż 1567 uwag od 215 podmiotów. Około 70% z tych uwag zostało uwzględnionych w nowym projekcie. Konsultacje miały na celu dostosowanie przepisów do realnych potrzeb rynku, jednocześnie zapewniając, że nowe regulacje skutecznie chronią przed cyberatakami. Zmiany te są szczególnie istotne dla sektorów kluczowych oraz ważnych, które będą objęte nowymi przepisami w ramach dyrektywy NIS2.

Nowelizacja ustawy o KSC i implementacja NIS2 – kluczowe zmiany

Nowelizacja ustawy o KSC, przewiduje szereg zmian, w stosunku do swoich pierwotnych zapisów, w celu usprawnienia zarządzania cyberbezpieczeństwem w Polsce. Najważniejsze z nich obejmują:

1. Zmiany w nadzorze nad podmiotami kluczowymi

Nowe przepisy przewidują bardziej przejrzyste zasady nadzoru nad podmiotami kluczowymi i ważnymi. Projekt zakłada możliwość wyznaczenia jednego organu wiodącego, który będzie odpowiedzialny za nadzór nad firmami z kluczowych sektorów, takich jak banki, telekomunikacja czy energetyka. Ma to zwiększyć efektywność reagowania na zagrożenia oraz zminimalizować obciążenia administracyjne dla firm, które dotychczas musiały spełniać różnorodne wymagania nadzorczych organów.

2. Przeniesienie niektórych sektorów do kategorii „ważnych”

Jednym z kluczowych elementów nowelizacji jest zmiana klasyfikacji sektorów. Produkcja i dystrybucja żywności oraz chemikaliów, które wcześniej były traktowane jako sektory kluczowe, zostały przeniesione do kategorii „ważnych”. Zatem w tym zakresie dostosowano projekt do zapisów w NIS2.

3. Odejście od wskazywania norm ISO

W nowym projekcie zrezygnowano z bezpośrednich odniesień do norm ISO jako podstawy do oceny zgodności z przepisami. W zamian projekt ustawy wprowadza wymóg prowadzenia dokumentacji normatywnej oraz operacyjnej. Dokumentacja normatywna będzie obejmować opis systemów i procedur, natomiast dokumentacja operacyjna będzie potwierdzać wykonywanie tych procedur w praktyce.

Nowelizacja ustawy o KSC i implementacja NIS2: Dokumentacja w nowelizacji ustawy o KSC

Autor: Ministerstwo Cyfryzacji
Źródło: Uzasadnienie do projektu zmiany ustawy o Krajowym Systemie Cyberbezpieczeństwa

4. Zmiany w audytach bezpieczeństwa

Nowelizacja ustawy zakłada zmniejszenie częstotliwości przeprowadzania audytów bezpieczeństwa. Zgodnie z nowymi przepisami, przedsiębiorcy będą teraz przeprowadzać audyty co trzy lata, zamiast co dwa, co odpowiada na zgłaszane przez nich postulaty. Dodatkowo, przepisy wydłużają termin na przeprowadzenie pierwszego audytu do 24 miesięcy od wejścia w życie nowych regulacji.

5. Kary pieniężne

Zmiany w przepisach dotyczących kar pieniężnych mają na celu dostosowanie sankcji do nowych obowiązków nałożonych na podmioty kluczowe i ważne. Wysokość kar zależeć będzie od skali naruszenia, jego długości oraz możliwości finansowych podmiotu. Minimalna kara dla podmiotów kluczowych wynosi 20 000 zł, a dla podmiotów ważnych 15 000 zł. Maksymalna kara może sięgnąć nawet do 10 milionów euro lub 2% rocznych przychodów.

Nowością jest możliwość nałożenia kary na podmioty, które nie wyznaczą osoby odpowiedzialnej za kontakty z organami nadzorującymi lub nie zapewnią użytkownikom informacji na temat cyberzagrożeń. Dodatkowo, w przypadku opóźnień w realizacji decyzji organu nadzorczego, mogą być nakładane kary okresowe od 500 zł do 100 000 zł za każdy dzień zwłoki. W przypadku poważnych naruszeń, które mogą zagrażać bezpieczeństwu państwa lub zdrowiu publicznemu, maksymalna kara może wynieść do 100 milionów złotych. Takie rozwiązania mają zapewnić skuteczniejszą prewencję oraz odstraszanie od dalszych naruszeń przepisów.

6. Uprawnienia urzędnika monitorującego

W nowym projekcie nowelizacji ustawy o KSC urzędnik monitorujący zyskał więcej uprawnień, w tym możliwość wszczęcia kontroli doraźnej, jeśli podejrzenia naruszeń zostaną potwierdzone. Istotne jest, że jego dostęp do informacji klauzulowanych będzie zależał od posiadanych uprawnień, co poprawia bezpieczeństwo danych. Za utrudnianie pracy urzędnika, np. niewydanie przepustki, grożą kary pieniężne, co ma zapewnić efektywny nadzór nad podmiotami kluczowymi i ważnymi.

7. Dostawcy wysokiego ryzyka

Dostawcy wysokiego ryzyka będą musieli spełniać określone kryteria, a niespełnienie tych wymogów może skutkować nałożeniem kar pieniężnych lub zakazem współpracy z firmami objętymi regulacjami KSC. Ponadto, w przypadku gdy dostawca zostanie uznany za zagrażającego bezpieczeństwu narodowemu, przepisy umożliwiają jego wykluczenie z rynku.

Wnioski – co oznacza nowelizacja ustawy o KSC i implementacja NIS2 dla firm?

Artykuł sygnalizuje część zmian, które mają wskazać, że projekt różni się od pierwotnych zapisów i należy go ponownie przeanalizować. Pamiętajmy, że dla firm z sektorów kluczowych i ważnych nowelizacja ustawy o KSC oznacza konieczność dostosowania się do wszystkich nowych wymagań w zakresie cyberbezpieczeństwa. Choć prace nad nowymi przepisami wciąż trwają, ich uchwalenie planowane jest na 2025 rok. Firmy już teraz powinny rozpocząć przygotowania do spełnienia nowych obowiązków, aby zminimalizować ryzyko i zapewnić ochronę przed rosnącymi zagrożeniami cybernetycznymi. Świadomość wśród firm stale wzrasta w tym obszarze, ale nadal nie jest wystarczająca. Oczywiście istotny jest ostateczny kształt przepisów, ale to działania, a nie same dokumenty chronią firmy przed cyberatakami.

Podziel się artykułem