Skip to content

Tysiące firm zapomniało o spełnieniu nowych ustawowych obowiązków. Do kiedy muszą dopełnić formalności?

Od 3 kwietnia obowiązuje w Polsce znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (UKSC). Nałożyła ona obowiązki na wiele firm. Do stosownego wykazu wpisało się ok. 200 firm, tymczasem nowym przepisom podlega ok. 11 tys. jednostek niepublicznych. Przedsiębiorcy często nie zdają sobie sprawy z nowych obowiązków – podkreślają eksperci. O jakie firmy chodzi i w jakim terminie muszą podjąć stosowne działania?

3 kwietnia weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). Wprowadziła ona podział na podmioty kluczowe i ważne, a także określiła sektory, które podlegają ustawie – to m.in. produkcja i dystrybucja żywności oraz produkcja sprzętu transportowego.

haker oszustwo uwaga awaria problem
Fot. Shutterstock / Pungu x

Działający w tych sektorach przedsiębiorcy zostali obciążeni szeregiem nowych obowiązków związanych z cyberbezpieczeństwem. Na początku muszą jednak sami ocenić, czy spełniają kryteria dla podmiotu kluczowego lub podmiotu ważnego. W tym celu powinny dokonać samoidentyfikacji. Jeśli okaże się, że spełniają wymogi, są zobowiązane zarejestrować się w wykazie podmiotów KSC, na co mają czas do 3 października.

Tylko 200 firm dokonało obowiązkowego wpisu

Jak przekazał resort cyfryzacji, w ciągu dwóch miesięcy od uruchomienia wpisów do wykazu z tego obowiązku wywiązało się jedynie 200 firm. Tymczasem nowym przepisom podlega ok. 11 tys. jednostek niepublicznych, które wcześniej nie były objęte ustawą. Resort nie podał, ile z nich to prywatne firmy zobowiązane do samoidentyfikacji.

Czy obowiązki z ustawy o KSC obejmują twoją firmę? Przedsiębiorca ma sprawdzić to sam

Wielu przedsiębiorców nie zdaje sobie sprawy z nowych obowiązków – podkreślają eksperci cytowani przez PAP.

– Z mojego doświadczenia wynika, że często brak wiedzy na temat tego, że jest coś takiego jak nowelizacja UKSC, która może obowiązywać daną firmę, dotyczy branż, które do tej pory nie były objęte tą ustawą – ocenił w rozmowie z PAP radca prawny Tomasz Zalewski.

Dodał, że chodzi m.in. o producentów żywności czy części samochodowych, którzy w rozmowie z nim byli zaskoczeni na wieść, że podlegają przepisom krajowego systemu cyberbezpieczeństwa.

Małe firmy nie mają świadomości

Zdaniem ekspertki cyberbezpieczeństwa Joanny Wziątek, problem z samoidentyfikacją mogą mieć zwłaszcza małe firmy.

„Z moich obserwacji wynika, że przekonanie, że skoro podmiot jest mały, to regulacja go nie dotyczy, jest dość powszechne” – skomentowała dla PAP.

Zwróciła uwagę, że według ustawy o KSC, organ właściwy do spraw cyberbezpieczeństwa może uznać za podmiot kluczowy lub ważny także taki podmiot, który jako jedyny świadczy usługę o kluczowym znaczeniu dla krytycznej działalności społecznej lub gospodarczej i jeżeli zakłócenie tej usługi mogłoby wywołać poważne zagrożenie dla bezpieczeństwa państwa, porządku publicznego albo obronności oraz jeżeli spowodowałoby ryzyko systemowe dla innych podmiotów kluczowych i ważnych, albo gdy dana usługa ma istotne znaczenie na poziomie krajowym lub wojewódzkim, lub dla dwóch lub więcej sektorów.

„Dla wielu przedsiębiorców może to być szokujące, ponieważ dotąd część z nich w ogóle nie patrzyła na swoją działalność przez pryzmat wpływu na ciągłość usług, zależności międzysektorowych ani skutków cyberincydentu dla innych uczestników rynku. W nowym modelu nie wystarczy już odpowiedzieć sobie, że firma jest mała, lokalna albo działa poza »branżą cyber«. Trzeba będzie spojrzeć szerzej i ocenić, czy przypadkiem nie jest się ogniwem łańcucha dostaw, którego awaria zatrzymuje jakiś proces gospodarczy” – zaznaczyła Wziątek.

Ekspertka: lepiej wpisać się do wykazu na wyrost” niż wcale

Jej zdaniem, w przypadku gdy dana firma ma wątpliwości, czy podlega nowym przepisom, najlepiej zapisać się do wykazu KSC „na wyrost”, niż nie zapisać się wcale.

„Podmiot wpisany do wykazu, który w rzeczywistości nie podlega ustawie, może zostać z niego wykreślony przez organ właściwy do spraw cyberbezpieczeństwa. Większym ryzykiem wydaje się zaniechanie samoidentyfikacji niż sama nadmierna ostrożność, o ile oczywiście podmiot działa w dobrej wierze i jest gotów przedstawić argumenty oraz dane uzasadniające swoją decyzję” – przekazała ekspertka.

Budżet przeszkodą dla wielu firm

Zwróciła też uwagę, że dla małych organizacji problemem może być nie tylko samoidentyfikacja, ale też budżet.

„By dobrze zrozumieć, a następnie wdrożyć wymogi ustawy może być konieczne skorzystanie z usług specjalistów, których jest mało i których usługi są drogie. Obawiam się że mniejsze firmy, mimo obowiązku podlegania ustawie, nadal nie będą mieć ludzi, czasu ani pieniędzy, by podnieść poziom cyberbezpieczenstwa w sposób metodyczny” – oceniła ekspertka.

Reklama

Elektroniczny obieg dokumentów z KSeF

– Dobrze byłoby, gdyby Ministerstwo Cyfryzacji rozpoczęło jakąś szerszą kampanię nakierowaną na konkretne branże, które wcześniej nie podlegały ustawie o KSC. Dobrze byłoby docierać do firm z tych sektorów poprzez izby handlowe czy organizacje branżowe. Myślę, że to jest najlepszy sposób na to, żeby wszyscy zainteresowani się dowiedzieli o nowych regulacjach – ocenił w rozmowie z PAP Tomasz Zalewski.

Jakie inne obowiązki zostały nałożone na firmy?

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrożyła w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Nowela przewiduje, że organizacje z sektorów kluczowych i ważnych będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem, w tym m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami.

Do nowych obowiązków należy również wdrożenie środków technicznych i organizacyjnych proporcjonalnych do oszacowanego ryzyka. Nowela zakłada także, że podmioty kluczowe i ważne będą przekazywać sobie nawzajem informacje o incydentach, cyberzagrożeniach i podatnościach za pomocą systemu s46.

Podmioty kluczowe i ważne mają czas na dostosowanie się do nowych przepisów do 3 kwietnia 2027. Za niewywiązanie się z nowych obowiązków przedsiębiorcom grożą kary finansowe, które będą mogły być nakładane od 3 kwietnia 2028 r.

Źródło: PAP

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *