Wdrożenie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) i Dyrektywy NIS2 to aktualnie jedno z najważniejszych wyzwań w obszarze cyberbezpieczeństwa w Polsce. Przyjrzyjmy się aktualnej sytuacji, obowiązkom przedsiębiorców oraz kluczowym zmianom wynikającym z przepisów.
Stan wdrożenia ustawy o KSC i Dyrektywy NIS2 w Polsce
Dyrektywa NIS2 – opóźnienie we wdrożeniu w Polsce
Dyrektywa NIS2 (Network and Information Systems Directive 2) miała zostać zaimplementowana przez państwa członkowskie UE do 17 października 2024 roku. Jednakże Polska, podobnie jak inne krajów UE, wciąż pracuje nad pełnym wdrożeniem. Proces legislacyjny trwa, a projekt ustawy implementującej Dyrektywę NIS2 był przedmiotem konsultacji społecznych, które już się zakończyły.
Nowelizacja ustawy o KSC – co już wiemy?
7 października 2024 została opublikowana druga wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma na celu implementację unijnej Dyrektywy NIS2 do polskiego prawa. Projekt uwzględnia znaczną część uwag zgłoszonych w ramach konsultacji społecznych oraz uzgodnień międzyresortowych. Dokument jest dostępny na stronie Biuletynu Informacji Publicznej Ministerstwa Cyfryzacji - Projekt ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa
Ministerstwo Cyfryzacji zapowiada, że chce, aby projekt został przyjęty przez Radę Ministrów i skierowany do prac parlamentarnych jeszcze przed końcem 2024 roku. Plan zakłada uchwalenie ustawy na początku 2025 roku.
Najistotniejsze zmiany dotyczą wydłużenia terminów realizacji obowiązków przez podmioty kluczowe i ważne. Nowy harmonogram został szczegółowo przedstawiony w aktualnej wersji projektu.
Konsultacje społeczne – ponad 200 Stanowisk
W trakcie konsultacji społecznych dotyczących nowelizacji ustawy o KSC swoje stanowisko przedstawiło 215 interesariuszy. Ministerstwo Cyfryzacji uwzględniło około 70% zgłoszonych propozycji, co ma na celu usprawnienie nadzoru i zwiększenie przejrzystości przepisów. Zmiany te opierają się na analizie uwag zebranych od podmiotów publicznych, firm oraz ekspertów rynku.
Obowiązki podmiotów kluczowych i ważnych oraz terminy ich realizacji
Nowelizacja ustawy o KSC rozszerza katalog podmiotów objętych regulacjami, wprowadzając kategorie "podmiotów kluczowych" i "podmiotów ważnych". Do podmiotów kluczowych zaliczają się m.in. sektory energetyczny, transportowy, bankowy oraz infrastruktura cyfrowa. Podmioty ważne obejmują sektory takie jak usługi pocztowe, gospodarka odpadami czy produkcja żywności.
Kluczowe obowiązki dla tych podmiotów obejmują:
- Rejestracja w wykazie podmiotów kluczowych i ważnych: Podmioty zobowiązane są do dokonania samooceny w celu ustalenia, czy spełniają kryteria uznania za podmiot kluczowy lub ważny. Następnie muszą złożyć wniosek o wpis do odpowiedniego wykazu. Termin realizacji to 3 miesiące od dnia wejścia w życie ustawy lub od momentu spełnienia kryteriów uznania za podmiot kluczowy lub ważny. Poprzednio termin ten wynosił 2 miesiące.
- Audyt i certyfikacja: Obowiązek ten dotyczy wyłącznie podmiotów kluczowych i polega na regularnym przeprowadzaniu audytów zewnętrznych w zakresie cyberbezpieczeństwa.
- Pierwszy audyt: W ciągu 24 miesięcy od dnia wejścia w życie ustawy lub od momentu uzyskania statusu podmiotu kluczowego.
- Kolejne audyty: Co 36 miesięcy od daty poprzedniego audytu
- Wdrożenie systemu zarządzania bezpieczeństwem informacji: Podmioty kluczowe i ważne są zobowiązane do wdrożenia odpowiednich środków organizacyjnych i technicznych w ramach systemu zarządzania bezpieczeństwem informacji w systemach informatycznych wykorzystywanych do świadczenia usług. Obejmuje to m.in. opracowanie i wdrożenie procedur oraz polityk dotyczących zapewnienia ciągłości działania i reagowania na incydenty.
Kary finansowe za nieprzestrzeganie obowiązków
Nowelizacja ustawy o KSC przewiduje surowe kary finansowe dla podmiotów kluczowych i ważnych w przypadku naruszenia przepisów:
- Maksymalna kara: Do 100 mln zł za działania powodująco ważne zagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi.
- Dodatkowe sankcje: Możliwość nałożenia kary pieniężnej na osobę kierującą podmiotem naruszającym obowiązki określone w ustawie, w wysokości do 300% miesięcznego wynagrodzenia, naliczanego jak dla celów ekwiwalentu za urlop wypoczynkowy.
Przestrzeganie nowych obowiązków jest kluczowe dla zapewnienia bezpieczeństwa cybernetycznego oraz uniknięcia dotkliwych kar finansowych. Podmioty kluczowe i ważne powinny niezwłocznie podjąć działania w celu dostosowania się do wymogów nowelizacji ustawy o KSC.
Akt o Cyberodporności a KSC i NIS2 – kluczowe różnice i wspólne cele
Akt o Cyberodporności (Cyber Resilience Act, CRA) stanowi kolejne unijne narzędzie regulujące obszar cyberbezpieczeństwa, które uzupełnia wymogi wynikające z Dyrektywy NIS2 oraz polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Podczas gdy NIS2 i KSC koncentrują się głównie na zabezpieczeniu usług kluczowych i zarządzaniu ryzykiem w podmiotach uznawanych za kluczowe i ważne, CRA skupia się na samych produktach cyfrowych. Regulacja ta wprowadza wymóg, aby sprzęt i oprogramowanie wprowadzane na rynek UE spełniały określone standardy bezpieczeństwa przez cały cykl życia produktu.
CRA nie tylko rozszerza zakres obowiązków producentów, lecz także może wpłynąć na interpretację i wdrażanie krajowych przepisów związanych z cyberbezpieczeństwem, takich jak KSC. Eksperci wskazują, że harmonizacja obu regulacji będzie kluczowa, aby uniknąć powielania obowiązków i zapewnić spójne podejście do ochrony cyberprzestrzeni na poziomie technologicznym i operacyjnym. Warto zauważyć, że oba dokumenty wspierają wspólny cel – zwiększenie odporności na cyberzagrożenia w całej Unii Europejskiej.
Podsumowanie
Wdrożenie Dyrektywy NIS2 oraz nowelizacja ustawy o KSC w Polsce to kroki w stronę wzmocnienia cyberbezpieczeństwa w sektorze publicznym i prywatnym. Kluczowe daty oraz wymogi wskazują, że przedsiębiorstwa muszą jak najszybciej podjąć działania w celu dostosowania się do nowych regulacji. Brak wdrożenia procedur zarządzania ryzykiem i zgłaszania incydentów może skutkować poważnymi konsekwencjami finansowymi oraz utratą zaufania klientów.
Warto monitorować dalszy rozwój sytuacji i skorzystać z pomocy ekspertów ds. cyberbezpieczeństwa, aby sprawnie wdrożyć nowe przepisy i uniknąć potencjalnych sankcji.
Więcej informacji o samej Dyrektywie NIS2 znajdziesz w naszym poprzednim artykule: