3 kwietnia zaczęła obowiązywać nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Nakłada ona na firmy nowe zadania. Kto konkretnie został objęty nowymi przepisami i jakie działania musi podjąć?
Ta data wśród wielu innych obowiązków mogła przedsiębiorcom umknąć. W piątek 3 kwietnia w życie weszła nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Nowe przepisy wdrażają w naszym kraju unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G.
Nowy podział, nowe branże
W dyrektywie NIS 2 ws. cyberbezpieczeństwa dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych został zastąpiony podziałem na „podmioty kluczowe” i „podmioty ważne”.
Oprócz tego nowelizacja objęła obowiązkami związanymi z cyberbezpieczeństwem nowe branże. Do dotychczasowych – energii, transportu, ochrony zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę i infrastruktury cyfrowej – dodane zostały nowe: ścieki, zarządzanie ICT, przestrzeń kosmiczna, usługi pocztowe, produkcja i dystrybucja, w tym chemikalia i żywność. Wśród sektorów KSC znalazły się także podmioty publiczne, w tym urzędy, samorządy, szkoły, szpitale, instytuty badawcze oraz Polska Agencja Prasowa.
– W odpowiedzi na rosnącą liczbę cyberataków na infrastrukturę krytyczną oraz zwiększającą się skalę dezinformacji tworzymy nowy ekosystem, który zapewni większe bezpieczeństwo państwa i obywateli. Nowelizacja ustawy o KSC wchodzi w życie w zbliżonym czasie, co Strategia Cyberbezpieczeństwa. Te dwa dokumenty razem zwiększą odporność w cyberprzestrzeni oraz poprawią bezpieczeństwo Polski – podkreślił podczas konferencji prasowej wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Ocena pozostawiona przedsiębiorcom
Jak czytamy w nowelizacji, przedsiębiorstwa muszą same ocenić, czy spełniają kryteria dla podmiotu kluczowego lub podmiotu ważnego. Jeśli odpowiedź jest pozytywna, będą zobowiązane zarejestrować się w wykazie podmiotów KSC.
Minister Gawkowski przekazał, że wykaz dla prywatnych firm zostanie otwarty 7 maja, a podmioty będą mogły się w nim rejestrować do 3 października. Jeśli przedsiębiorcy nie wywiążą się z tego obowiązku, będą im groziły kary finansowe.
131 szczegółowych pytań i odpowiedzi
Aby ułatwić firmom nowe zadanie, Ministerstwo Cyfryzacji na stronie cyber.gov.pl zamieścił 131 szczegółowych pytań i odpowiedzi dla przedsiębiorców i innych podmiotów objętych nowymi przepisami.
– To nie jest katalog zamknięty. Jeśli ktoś – podmiot, firma, osoba fizyczna, gazeta – zada pytanie, które nie jest umieszczone na te liście, to udzielimy indywidualnej odpowiedzi i może się tak zdarzyć, że to pytanie i odpowiedź na nie trafią na listę – powiedział wiceminister cyfryzacji Paweł Olszewski.
Nie wszyscy wiedzą o obowiązku
Ministerstwo poinformowało, że będzie próbowało dotrzeć do firm, które mogą nie zdawać sobie sprawy z nowych obowiązków. Resort będzie podejmował takie działania m.in. przez komunikaty, kampanie informacyjne, przekazywanie informacji mediom oraz przez portal biznes.gov.pl.
13 kwietnia rozpocznie się proces, w którym Minister Cyfryzacji będzie z urzędu wpisywał podmioty do wykazu. Obejmie on – oprócz jednostek publicznych – przedsiębiorców komunikacji elektronicznej oraz dotychczasowych operatorów usług kluczowych.
Resort podał, że do 3 kwietnia 2027 r. podmioty kluczowe i ważne muszą wdrożyć obowiązki związane z cyberbezpieczeństwem, wynikające z nowych przepisów. Wśród nich znalazło się m.in.: wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami. Obowiązkowe będzie też zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty oraz stosowanie środków ograniczających wpływ incydentów. Środki te to np. regularne aktualizacje oprogramowania oraz niezwłoczne podejmowanie działań po dostrzeżeniu zagrożenia.
Przedsiębiorcy objęci KSC będą musieli również wdrożyć środki techniczne i organizacyjne proporcjonalne do oszacowanego ryzyka, które powinny być dostosowane m.in. do wielkości organizacji. Wśród tych środków nowela wymienia polityki i procedury cyberbezpieczeństwa, kontrolę dostępu do systemów, bezpieczne środki komunikacji, zawierające uwierzytelnianie wieloskładnikowe oraz szkolenia dla pracowników. Wdrożone środki mają zapewniać bezpieczeństwo ludzi, środowiska, zasobów podmiotu oraz łańcucha dostaw produktów, usług i procesów ICT. Celem jest też zapewnienie ciągłości działania podmiotu i możliwości świadczenia usług w przypadku wystąpienia incydentu.
Dwa lata na audyt
Na przeprowadzenie pierwszego obowiązkowego audytu cyberbezpieczeństwa podmioty kluczowe mają czas do 3 kwietnia 2028 r. Następne audyty trzeba będzie przeprowadzać co najmniej raz na trzy lata.
Jak czytamy w ustawie, zostanie wprowadzony Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Szef resortu cyfryzacji będzie mógł wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego. W jego ramach może np. nakazać podmiotowi przeprowadzenie analizy ryzyka czy zabezpieczenie określonych informacji.
Jakie kary za nieprzestrzeganie przepisów?
Jakie sankcje grożą dla przedsiębiorców objętych KSC za niestosowanie się do przepisów? Kara dla podmiotów kluczowych może wynieść 2 proc. przychodów firmy – minimum 20 tys. zł, a maksymalnie 10 mln euro. Natomiast kary nakładane na podmioty ważne mogą wynieść 1,4 proc. przychodów firmy – minimum 15 tys. zł, a maksymalnie 7 mln euro (ok. 20 mln zł).
Warto dodać, że niezależnie od tych limitów za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Tyle może być zasądzone np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego lub za nieprzeprowadzenie audytu.
Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zostanie potwierdzone, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi – albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
19 lutego prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC) i od razu skierował ją do Trybunału Konstytucyjnego. Jego wątpliwości budzą m.in. przepisy regulujące zasady uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz zasady wydawania tzw. poleceń zabezpieczających.
„Przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania, i bez zabezpieczenia środków finansowych na ten cel” – podał prezydent.
Dodał, że przewidziany ustawą system kar jest jego zdaniem restrykcyjny, a ich wysokość „ma wręcz charakter samodzielnych środków karnych”.
Źródło: PAP, MC
