Rewolucja w obszarze cyberbezpieczeństwa – projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Pod koniec kwietnia br. Rada Ministrów opublikowała projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa będzie wdrażać do polskiego prawa postanowienia Dyrektywy NIS 2. Jej wejście w życie będzie rewolucją dla wielu przedsiębiorstw, które zostaną objęte nowymi obowiązkami.

Zwracamy uwagę, że projekt nowelizacji może ulec zmianie.

1. Kogo to dotyczy?

Nowe przepisy znacząco rozszerzą katalog sektorów, które będą zobowiązane stosować przepisy z zakresu cyberbezpieczeństwa. W rezultacie, według obliczeń Ministerstwa Cyfryzacji około 38 tys. podmiotów może być zobowiązanych do dostosowania się do nowych przepisów. Obowiązki będą dotyczyły przedsiębiorstw i podmiotów działających w następujących sektorach:

Załącznik nr 1 do projektu nowelizacji

  • Energia
  • Transport
  • Bankowość i infrastruktura rynków finansowych
  • Ochrona zdrowia
  • Zaopatrzenie w wodę pitną i jej dystrybucja
  • Ścieki
  • Infrastruktura cyfrowa
  • Zarządzanie usługami ICT
  • Przestrzeń kosmiczna
  • Administracja publiczna
  • Produkcja, wytwarzanie i dystrybucja chemikaliów
  • Produkcja, przetwarzanie i dystrybucja żywności
  • Produkcja

Załącznik nr 2 do projektu nowelizacji

  • Usługi pocztowe
  • Gospodarowanie odpadami
  • Dostawcy usług cyfrowych
  • Badania naukowe

Nowe obowiązki nie obejmą wszystkich przedsiębiorstw. Wymóg dostosowania się do nowych przepisów będzie zależał od wielkości podmiotu - ustawa będzie miała zastosowanie tylko do dużych lub średnich przedsiębiorstw w rozumieniu Załącznika 1 do Rozporządzenia Komisji (UE) nr 651/2014.

Ponadto, ustawa określa podmioty, do których jej przepisy będą miały zastosowanie niezależnie od wielkości. Będą to, np. dostawcy kwalifikowanych usług zaufania oraz przedsiębiorcy komunikacji elektronicznej.

Dodatkowo, na mocy decyzji właściwego organu, do stosowania przepisów ustawy mogą być zobowiązane małe i mikroprzedsiębiorstwa, jeśli prowadzą działalność w sektorach wskazanych w tabeli powyżej i posiadają szczególne cechy wskazane w projekcie nowelizacji (np. jako jedyne świadczą usługę o kluczowym znaczeniu dla krytycznej działalności społecznej lub gospodarczej albo zakłócenie w świadczeniu ich usług spowoduje poważne zagrożenie dla bezpieczeństwa państwa).

Podmioty zobowiązane do stosowania przepisów będą dzieliły się na podmioty kluczowe i ważne. Projekt nowelizacji przewiduje dość złożone kryteria kwalifikacji podmiotów jako należących do jednej z tych dwóch kategorii.

2. Jakie obowiązki wprowadzą nowe przepisy?

Podmioty objęte omawianymi przepisami będą zobowiązane do:

a. Samodzielnej rejestracji w wykazie prowadzonym przez Ministerstwo Cyfryzacji.

Podmioty działające w sektorach wymienionych powyżej muszą samodzielnie ocenić, czy nowe przepisy będą się do nich stosować. Jedynie w wyjątkowych przypadkach organy administracji będą wyznaczać podmioty zobowiązane na mocy decyzji. W celu wstępnej oceny, czy do danego podmiotu znajdą zastosowanie nowe przepisy, sugerujemy skorzystać z narzędzia stworzonego przez Bird & Bird - NIS2 Tool - które w prosty i przystępny sposób prowadzi przez poszczególne wymogi kwalifikacji jako podmiot zobowiązany na podstawie dyrektywy NIS 2. Zwracamy jedynie uwagę, że narzędzie to stworzone zostało na podstawie dyrektywy NIS2, a nie projektu nowelizacji polskich przepisów, które nieco różnią się od dyrektywy NIS2.

b. Wdrożenia systemu zarządzania bezpieczeństwem informacji.

Podmioty istotne i podmioty ważne będą musiały wdrożyć system zarządzania bezpieczeństwem informacji dla procesów wpływających na świadczenie usług.

System zarządzania bezpieczeństwem informacji obejmuje szereg środków umożliwiających zarządzanie ryzykiem, np. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, odpowiednie środki techniczne i organizacyjne, zarządzanie incydentami. Jeśli system zarządzania bezpieczeństwem informacji spełnia wymagania norm PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301, powyższe obowiązki uważa się za spełnione.

c. Zapewnienia nadzoru nad realizacją ww. obowiązków przez kierownika podmiotu kluczowego lub podmiotu ważnego.

Kierownik podmiotu ponosi odpowiedzialność za prawidłowe wdrożenie obowiązków. Kierownikami podmiotu mogą być np. członkowie zarządu, komplementariusz spółki komandytowej, wspólnicy spółki jawnej. Kierownik podmiotu będzie odpowiadał m.in. za wdrożenie, stosowanie i przegląd systemu zarządzania bezpieczeństwem informacji, zapewnienie środków finansowych na realizację obowiązków oraz dbałość o wiedzę z zakresu cyberbezpieczeństwa personelu.

d. Przygotowania dokumentacji bezpieczeństwa systemu informacyjnego.

Zapewnieniu cyberbezpieczeństwa podmiotów istotnych i podmiotów ważnych ma też służyć opracowanie dokumentacji bezpieczeństwa systemu informatycznego, który służy do świadczenia usługi. Ma się ona składać z:

  • dokumentacji normatywnej, dotyczącej m.in. systemu zarządzania bezpieczeństwem informacji, ochrony infrastruktury czy systemu zarządzania ciągłością działania usługi
  • dokumentacji operacyjnej, która ma poświadczać wykonywanie obowiązków zawartych w dokumentacji normatywnej.

e. Zgłaszanie incydentów.

Podmioty kluczowe i ważne będą miały obowiązek zgłaszania do odpowiedniego CSIRT poważnych incydentów w zakresie cyberbezpieczeństwa. Zobowiązani przedsiębiorcy będą musieli dokonać tego w określonym czasie od wykrycia takiego incydentu:

  • wczesne ostrzeżenie o incydencie poważnym powinno być zgłoszone w ciągu 24 godzin od wykrycia incydentu (wyjątek: przedsiębiorca komunikacji elektronicznej – 12 godzin)
  •  zgłoszenie incydentu poważnego w ciągu 72 godzin od jego wykrycia (wyjątek: dostawca usług zaufania – 24 godziny).

f. Przeprowadzania audytu bezpieczeństwa.

Podmioty kluczowe i ważne co najmniej raz na dwa lata będą zobowiązane do przeprowadzania audytów bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi.

3. Jakie będą kary za nieprzestrzeganie obowiązków?

O tym, jak istotne są nowe przepisy, świadczą sankcje, które zostały przewidziane za niewywiązywanie się z obowiązków. Za naruszenie przepisów na podmioty kluczowe i podmioty ważne może zostać nałożona kara pieniężna w wysokości:

  • do 10 milionów euro lub 2% przychodów osiągniętych w poprzednim roku obrotowym, ale nie mniej niż 20 000 zł – w przypadku podmiotów kluczowych,
  • do 7 milionów euro lub 1,4% przychodów osiągniętych w poprzednim roku obrotowym, nie mniej niż 15 000 zł – w przypadku podmiotów ważnych.

W obu przypadkach zastosowanie ma kwota wyższa. Jeśli naruszenie spowodowało ponadto bezpośrednie i poważne zagrożenie dla bezpieczeństwa, życia i zdrowia lub mogło wywołać poważną szkodę majątkową lub poważne utrudnienia w świadczeniu usług, organy będą mogły nałożyć karę w wysokości do 100 milionów złotych.

Odpowiedzialność finansową za naruszenie przepisów, niezależnie od podmiotu kluczowego lub podmiotu ważnego, będzie ponosić też kierownik jednostki. Wysokość kary pieniężnej nie będzie mogła być większa niż 600% wynagrodzenia otrzymywanego przez ukaranego obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

4. Ile jest czasu na przygotowania?

Ustawa jest obecnie na etapie konsultacji społecznych. Ministerstwo Cyfryzacji planuje, że wejdzie ona w życie w IV kwartale tego roku. Nie oznacza to jednak, że wraz z wejściem w życie ustawy konieczne będzie wykazanie zgodności ze wszystkimi obowiązkami.

Podmioty, które już teraz spełniają przesłanki uznania za podmioty kluczowe i ważne będą miały na wdrożenie nowych przepisów 6 miesięcy od dnia wejścia w życie nowelizacji. Podmioty, które staną się kluczowe lub ważne po wejściu w życie nowelizacji, będą musiały dostosować się do jej obowiązków w terminie 6 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny.

Przeprowadzenie pierwszego audytu będzie konieczne w terminie 12 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny.

5. Dla kogo to ważne?

Przedsiębiorstwa, które zostaną objęte nowymi przepisami powinny rozpocząć proces wdrażania nowych regulacji jak najszybciej. Szczególną uwagę zwrócić na to powinni przede wszystkim dostawcy usług chmurowych i usług ICT oraz producenci towarów objętych regulacjami.

Z doświadczeń praktycznych dotyczących wdrożeń dotychczasowych przepisów dotyczących cyberbezpieczeństwa wynika bowiem, że sprostanie wymogom ustawowym i wdrożenie wymaganych zmian (w tym zatrudnienie osób do wewnętrznego zespołu, wdrożenie narzędzi IT) może zająć nawet rok w przypadku podmiotów, które do tej pory nie podlegały tym regulacjom.

 

   

Latest insights

More Insights

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw w wersji dla podmiotów kluczowych i podmiotów ważnych z sektora bankowego i infrastruktury rynków finansowych

Nov 22 2024

Read More

Czy analiza sentymentu przy pomocy systemu AI to praktyka zakazana?

Nov 08 2024

Read More

Nowe uprawnienia konsumenckie w ustawie Prawo komunikacji elektronicznej

3 min Nov 05 2024

Read More