3 kwietnia weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Oznacza ona nowe obowiązki dla wielu pracodawców. Kto został nimi objęty i jakie działania powinien podjąć w najbliższym czasie?
Od 3 kwietnia w Polsce obowiązuje nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Wdraża ona w naszym kraju unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G.
Nowelizacja rozszerza katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Zastąpiono dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na podmioty kluczowe i podmioty ważne. Nowelizacja obejmuje znacznie szerszą grupę podmiotów działających w sektorach istotnych dla funkcjonowania państwa, gospodarki oraz obywateli.
Ile firm mogą objąć nowe obowiązki?
Według szacunków, KSC może objąć około 38 tysięcy podmiotów, w tym około 27 tysięcy podmiotów publicznych. Podmioty działające w wymienionych niżej sektorach powinny już teraz przeanalizować, czy są objęte nowymi przepisami. Obecnie trwa 12-miesięczny okres dostosowawczy. To czas, który podmioty powinny wykorzystać na pełne wdrożenie obowiązków wynikających z ustawy.
13 kwietnia Minister Cyfryzacji rozpoczął wpisywanie z urzędu do Wykazu KSC dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych oraz podmioty publiczne.
Zbliża się ważna data
7 maja uruchomiona zostanie możliwość wpisu do Wykazu KSC (samorejestracji) dla podmiotów, które nie są objęte wpisem realizowanym z urzędu. Będzie się w nim można rejestrować do 3 października. Jeśli przedsiębiorcy nie wywiążą się z tego obowiązku, będą im groziły kary finansowe.
Ministerstwo Cyfryzacji poinformowało, że będzie próbowało dotrzeć do firm, które mogą nie zdawać sobie sprawy z nowych obowiązków. Resort będzie podejmował takie działania m.in. przez komunikaty, kampanie informacyjne, przekazywanie informacji mediom oraz przez portal biznes.gov.pl.
Jakie obowiązki mają firmy?
Do 3 kwietnia przyszłego roku podmioty kluczowe i ważne muszą wdrożyć obowiązki związane z cyberbezpieczeństwem, wynikające z nowych przepisów. Chodzi m.in. o wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami. Obowiązkiem będzie także zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty oraz stosowanie środków ograniczających wpływ incydentów. Środki te to np. regularne aktualizacje oprogramowania oraz niezwłoczne podejmowanie działań po dostrzeżeniu zagrożenia.
Firmy objęte KSC będą musiały również wdrożyć środki techniczne i organizacyjne proporcjonalne do oszacowanego ryzyka, które powinny być dostosowane m.in. do wielkości organizacji. Zgodnie z zapisami w nowelizacji chodzi o polityki i procedury cyberbezpieczeństwa, kontrolę dostępu do systemów, bezpieczne środki komunikacji, zawierające uwierzytelnianie wieloskładnikowe oraz szkolenia dla pracowników. Wdrożone środki mają zapewniać bezpieczeństwo ludzi, środowiska, zasobów podmiotu oraz łańcucha dostaw produktów, usług i procesów ICT. Celem jest też zapewnienie ciągłości działania podmiotu i możliwości świadczenia usług w przypadku wystąpienia incydentu.
KSC: audyt do 3 kwietnia 2028 r.
Podmioty kluczowe mają dwa lata na przeprowadzenie audytu cyberbezpieczeństwa. Musi on zostać zrealizowany do 3 kwietnia 2028 r. Następne audyty trzeba będzie przeprowadzać co najmniej raz na trzy lata.
Sankcje za nieprzestrzeganie przepisów
Jeśli podmiot kluczowy nie będzie przestrzegał przepisów o KSC, grożą mu kary w wysokości do 2 proc. przychodów – minimum 20 tys. zł, a maksymalnie 10 mln euro. Natomiast sankcje dla podmiotów ważnych mogą wynieść 1,4 proc. przychodów firmy – minimum 15 tys. zł, a maksymalnie 7 mln euro (ok. 20 mln zł).
Niezależnie od tych limitów za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Tyle może być zasądzone np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego lub za nieprzeprowadzenie audytu.
W nowelizacji przewidziana jest też kara do 100 mln zł w sytuacji, w której zostanie potwierdzone, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi – albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
Poniżej przedstawiamy ustawowy podział na sektory kluczowe i ważne.
Sektory kluczowe
1.Energia:
- wydobywanie kopalin
- energia elektryczna
- ciepło
- ropa i paliwa
- gaz
- energetyka jądrowa
- wodór
2.Transport:
- lotniczy
- kolejowy
- wodny
- drogowy
3.Bankowość i infrastruktura rynków finansowych
4.Ochrona zdrowia:
- udzielanie świadczeń zdrowotnych i zdrowie publiczne
produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych
5.Zaopatrzenie w wodę pitną i jej dystrybucja
6.Zbiorowe odprowadzanie ścieków
7.Infrastruktura cyfrowa:
- infrastruktura cyfrowa z wyłączeniem komunikacji elektronicznej
- komunikacja elektroniczna
8.Zarządzanie usługami ICT
9.Przestrzeń kosmiczna
10.Podmioty publiczne
Sektory ważne
1.Usługi pocztowe
2.Inwestycje energetyki jądrowej
3.Gospodarowanie odpadami:
- zbieranie odpadów
- transport odpadów
- przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
- działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
4.Produkcja, wytwarzanie i dystrybucja chemikaliów
5.Produkcja, wytwarzanie i dystrybucja żywności
6.Produkcja:
- wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
- komputerów, wyrobów elektronicznych i optycznych
- urządzeń elektrycznych
- maszyn i urządzeń, gdzie indziej niesklasyfikowana
- pojazdów samochodowych, przyczep i naczep
- pozostałego sprzętu transportowego
7.Dostawcy usług cyfrowych
8.Badania naukowe
9.Podmioty publiczne, inne niż wymienione w Załączniku nr 1
Minister Cyfryzacji zapowiada, że w najbliższych dniach przekaże do konsultacji publicznych projekt zestawienia wymogów dokumentów normalizacyjnych, w tym norm, przydatnych dla ustalenia szczegółowych wymagań dla SZBI dla poszczególnych sektorów kluczowych i sektorów ważnych w świetle KSC.
Źródło: Ministerstwo Cyfryzacji
