Ruszyła rejestracja wpisów do wykazu podmiotów kluczowych i podmiotów ważnych w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Przedsiębiorcy, którzy prowadzą działalność w sektorze objętym ustawą i spełniają kryteria uznania za podmiot kluczowy lub podmiot ważny, mają obowiązek złożenia wniosku o wpis do wykazu do 3 października.
3 kwietnia zaczęła obowiązywać nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Nakłada ona na wiele firm nowe zadania. Przedsiębiorstwa, które spełniają warunki, aby być uznane za podmiot kluczowy lub podmiot ważny, muszą być objęte wpisem do specjalnego Wykazu KSC. Możliwość samodzielnego wpisu została uruchomiona 7 maja. Natomiast na spełnienie obowiązku przedsiębiorcy mają czas do 3 października.
Skąd wiedzieć, które firmy obejmuje ustawa?
Przedsiębiorcy prowadzący działalność w sektorach objętych nowelizacją ustawy o KSC powinny samodzielnie przeanalizować, czy podlegają nowym przepisom. To oznacza konieczność dokonania analizy własnej działalności w oparciu o przepisy ustawy, w szczególności o art. 5 oraz załączniki nr 1 i 2 do ustawy, określające sektory, podsektory i rodzaje działalności objęte regulacją. Listę tych sektorów znajdziesz tutaj.
Nowelizacja rozszerza katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych zastąpiono podziałem na podmioty kluczowe i podmioty ważne. Nowe przepisy obejmują znacznie szerszą grupę podmiotów działających w sektorach istotnych dla funkcjonowania państwa i gospodarki.
Jakie obowiązki wprowadza nowelizacja?
Podmioty kluczowe i podmioty ważne do 3 kwietnia 2027 r. muszą wdrożyć obowiązki związane z cyberbezpieczeństwem, wynikające z nowych przepisów. Chodzi m.in. o wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami. Obowiązkiem będzie także zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty oraz stosowanie środków ograniczających wpływ incydentów. Środki te to np. regularne aktualizacje oprogramowania oraz niezwłoczne podejmowanie działań po dostrzeżeniu zagrożenia.
Firmy objęte KSC będą musiały również wdrożyć środki techniczne i organizacyjne proporcjonalne do oszacowanego ryzyka, które powinny być dostosowane m.in. do wielkości organizacji. Zgodnie z zapisami w nowelizacji chodzi o polityki i procedury cyberbezpieczeństwa, kontrolę dostępu do systemów, bezpieczne środki komunikacji, zawierające uwierzytelnianie wieloskładnikowe oraz szkolenia dla pracowników. Wdrożone środki mają zapewniać bezpieczeństwo ludzi, środowiska, zasobów podmiotu oraz łańcucha dostaw produktów, usług i procesów ICT. Celem jest też zapewnienie ciągłości działania podmiotu i możliwości świadczenia usług w przypadku wystąpienia incydentu.
Czym jest Wykaz KSC?
Wykaz KSC to aplikacja będąca częścią Systemu S46, w której prowadzony jest Wykaz podmiotów kluczowych i podmiotów ważnych. Zawiera dane podmiotów, które umożliwiają współpracę z zespołami CSIRT i organami właściwymi ds. cyberbezpieczeństwa w ramach krajowego systemu cyberbezpieczeństwa. Dzięki wpisowi do wykazu przedsiębiorcy uzyskają dostęp do S46 Cyber Hub i wypełnią obowiązki nałożone ustawą, m.in. dotyczące zgłaszania incydentów.
Dwa tryby wpisu – który wybrać?
Nowelizacja przewiduje dwa tryby wpisu firmy do wykazu. Na początku ustal, który z nich dotyczy twojej organizacji.
Pierwszym trybem jest samorejestracja – w jej ramach przedsiębiorca składa wniosek o wpis do wykazu samodzielnie. Ten tryb został uruchomiony 7 maja. Dotyczy osób, które prowadzą działalność w sektorze objętym ustawą (załącznik nr 1 lub nr 2), spełniają kryteria wielkościowe, a ich podmiot nie jest wpisywany do wykazu z urzędu. Chodzi tu przede wszystkim o podmioty prywatne. Próba wpisania podmiotu do wykazu w przypadku, gdy podmiot jest już wpisany, w szczególności z urzędu, zakończy się błędem. Do samorejestracji można przejść tu. Termin składania wniosków mija 3 października.
Drugim trybem jest wpis z urzędu. W tym przypadku czekasz na wezwanie, po którym uzupełniasz wpis.
Część podmiotów kluczowych lub podmiotów ważnych jest wpisywana do wykazu przez Ministra Cyfryzacji z urzędu – bez składania wniosku o wpis. Dotyczy to:
- podmiotów publicznych,
- przedsiębiorców telekomunikacyjnych,
- dostawców usług zaufania,
- podmiotów, które wcześniej miały status operatora usługi kluczowej.
Jeśli należysz do tej grupy, nie składasz wniosku o wpis do wykazu. Po wpisie dokonanym z urzędu otrzymasz zawiadomienie i wezwanie do uzupełnienia wpisu z odpowiednim linkiem i kodem dostępu. Masz 6 miesięcy od otrzymania wezwania na uzupełnienie danych w wykazie. Więcej informacji o wpisie z urzędu przeczytasz tutaj.
Proces samoidentyfikacji
Przed złożeniem wniosku o wpis do wykazu przedsiębiorca powinien upewnić się, czy jego podmiot faktycznie spełnia kryteria ustawy. W tym celu warto sprawdzić profil działalności, właściwy kod PKD oraz wielkość podmiotu, uwzględniając przedsiębiorstwa powiązane i partnerskie. Szczegółowy opis procesu samoidentyfikacji znajdziesz tutaj.
Jak złożyć wniosek w ramach samorejestracji?
W pierwszej kolejności wejdź na stronę https://wykaz-ksc.gov.pl i zaloguj się przez Węzeł Krajowy (Profil Zaufany, mObywatel, e-Dowód, bankowość elektroniczna lub kwalifikowany certyfikat). Za pierwszym razem będziesz musiał zarejestrować konto użytkownika.
Następnie kliknij „Wpisz nowy podmiot” i wypełnij formularz – dane podmiotu, klasyfikację sektorową, dane kontaktowe. W kolejnym kroku podpisz wniosek elektroniczne.
Wnioski do wykazu składa i podpisuje kierownik podmiotu albo osoba przez niego upoważniona. W razie konieczności do wniosku należy dołączyć udzielone pełnomocnictwo. Pełny opis kolejnych kroków znajdziesz pod tym linkiem.
Źródło: Ministerstwo Cyfryzacji