W związku z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa powstanie wykaz objętych nowymi regulacjami podmiotów kluczowych i podmiotów ważnych. Obowiązek wpisu do niego spoczywa na przedsiębiorcach. Oni sami mają sprawdzić, czy ich firmy podlegają nowej ustawie.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) nakłada obowiązek wpisu do Wykazu KSC (samorejestracji) przez podmioty kluczowe i podmioty ważne. Taka możliwość dla podmiotów, które nie są objęte wpisem realizowanym z urzędu, zostanie uruchomiona już 7 maja.
To oznacza, że podmioty prowadzące działalność w sektorach objętych nowelizacją ustawy o KSC powinny już teraz przeanalizować, czy podlegają nowym przepisom. Co istotne, proces samoidentyfikacji dotyczący tych obowiązków, ma być przeprowadzany samodzielnie przez każdy podmiot. Oznacza to konieczność dokonania analizy własnej działalności w oparciu o przepisy ustawy, w szczególności o art. 5 oraz załączniki nr 1 i 2 do ustawy, określające sektory, podsektory i rodzaje działalności objęte regulacją.
Co zmienia nowelizacja ustawy o KSC?
Obowiązująca od 3 kwietnia nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdraża w naszym kraju unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G.
Nowe przepisy rozszerzają katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Zastąpiono dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na podmioty kluczowe i podmioty ważne. Nowelizacja obejmuje znacznie szerszą grupę podmiotów działających w sektorach istotnych dla funkcjonowania państwa, gospodarki oraz obywateli.
Jakie obowiązki mają firmy objęte ustawą?
Do 3 kwietnia przyszłego roku podmioty kluczowe i ważne muszą wdrożyć obowiązki związane z cyberbezpieczeństwem, wynikające z nowych przepisów. Chodzi m.in. o wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami. Obowiązkiem będzie także zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty oraz stosowanie środków ograniczających wpływ incydentów. Środki te to np. regularne aktualizacje oprogramowania oraz niezwłoczne podejmowanie działań po dostrzeżeniu zagrożenia.
Przedsiębiorstwa objęte KSC będą musiały również wdrożyć środki techniczne i organizacyjne proporcjonalne do oszacowanego ryzyka, które powinny być dostosowane m.in. do wielkości organizacji. Zgodnie z zapisami w nowelizacji chodzi o polityki i procedury cyberbezpieczeństwa, kontrolę dostępu do systemów, bezpieczne środki komunikacji, zawierające uwierzytelnianie wieloskładnikowe oraz szkolenia dla pracowników. Wdrożone środki mają zapewniać bezpieczeństwo ludzi, środowiska, zasobów podmiotu oraz łańcucha dostaw produktów, usług i procesów ICT. Celem jest też zapewnienie ciągłości działania podmiotu i możliwości świadczenia usług w przypadku wystąpienia incydentu.
Co teraz powinny zrobić firmy: krok po kroku
Aby dokonać samoidentyfikacji firmy dotyczącej KSC, należy wziąć pod uwagę w szczególności:
- profil prowadzonej działalności,
- właściwy kod PKD
- oraz wielkość podmiotu.
Pierwszym krokiem przedsiębiorcy powinno być sprawdzenie, czy jego działalność obejmuje sektory lub podsektory wskazane w załączniku nr 1 (podmioty kluczowe) albo załączniku nr 2 (podmioty ważne). Oceniając działalność, należy brać pod uwagę rzeczywisty jej charakter. Jako wsparcie posłużyć mogą kody PKD, jednak – jak podkreśla Ministerstwo Cyfryzacji – decydujące znaczenie ma faktyczny zakres świadczonych usług lub wykonywanych zadań.
Ważna wielkość podmiotu
W następnym kroku należy określić wielkość swojego podmiotu. Tu należy uwzględnić progi mikro, małych i średnich przedsiębiorstw. Co istotne, obliczając wielkość przedsiębiorstwa, powinno wziąć się pod uwagę także przedsiębiorstwa powiązane oraz przedsiębiorstwa partnerskie.
Przypomnijmy, że wszyscy przedsiębiorcy telekomunikacyjni, niezależnie od ich wielkości, podlegają pod ustawę. Mikro i małe firmy są podmiotami ważnymi, a średnie i duże – podmiotami kluczowymi.
W ostatnim kroku przedsiębiorca powinien przeanalizować art. 5 ustawy, który określa szczegółowe zasady uznawania podmiotów za podmiot kluczowy albo podmiot ważny. W artykule tym wskazane są przypadki, gdy np. podmiot może zostać objęty ustawą niezależnie od swojej wielkości – oraz szczególne sytuacje uzasadniające zakwalifikowanie podmiotu do jednej kategorii.
Po tej analizie będzie jasne, czy podmiot jest podmiotem kluczowym, jest podmiotem ważnym czy nie podlega przepisom ustawy. Po tym, jak przedsiębiorca ustalił, że podlega pod Krajowy System Cyberbezpieczeństwa, powinien podjąć dalsze działania wynikające z przepisów ustawy, w szczególności związane z wpisem do Wykazu KSC oraz przygotowaniem się do realizacji obowiązków w zakresie zakresu cyberbezpieczeństwa.
Kto zostanie wpisany z urzędu?
Niektóre podmioty zostaną wpisane przez Ministra Cyfryzacji do wykazu z urzędu – w terminie do 6 maja 2026 r. Mowa o podmiotach publicznych, przedsiębiorcach telekomunikacyjnych, dostawcach usług cyfrowych oraz podmiotach, które wcześniej miały status operatorów usług kluczowych.
Gdzie składać wnioski?
Wnioski o wpis, zmianę wpisu, wykreślenie podmiotu z wykazu będą wypełniane i składane w aplikacji „Wykaz KSC” w postaci elektronicznej i opatrywane podpisem elektronicznym. Wykaz KSC jest prowadzony w Systemie S46, ale stanowi osobną aplikację webową dostępną pod adresem https://wykaz-ksc.gov.pl
Warto przypomnieć, że podmioty mogą dokonać samorejestracji w wykazie od 7 maja do 3 października.
Źródło: Ministerstwo Cyfryzacji
