Nowe obowiązki w zakresie cyberbezpieczeństwa NIS 2 – wdrożenie unijnej Dyrektywy NIS 2

W związku z koniecznością wdrożenia do polskiego porządku prawnego unijnej Dyrektywy NIS 2, o której była mowa w artykule Dyrektywa NIS 2 – Kluczowe aspekty dla Twojej organizacji, planowana jest nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa.

Celem nowych przepisów jest zwiększenie bezpieczeństwa usług i systemów informatycznych, z których na co dzień korzystają obywatele, przedsiębiorcy oraz instytucje publiczne. W praktyce oznacza to nowe, konkretne obowiązki dla wielu przedsiębiorców działających w strategicznych sektorach gospodarki.

Podmioty kluczowe i ważne – kogo dotyczą zmiany?

Nowelizacja wprowadza – zgodnie z Dyrektywą NIS 2 – podział na:

• podmioty kluczowe,
• podmioty ważne.

Podział ten obejmuje podmioty działające w sektorach istotnych z punktu widzenia funkcjonowania państwa.

Podmioty kluczowe

Do tej kategorii należą podmioty z sektorów:

• energetyki,
• transportu,
• bankowości i infrastruktury rynków finansowych,
• ochrony zdrowia,
• zaopatrzenia w wodę pitną i jej dystrybucji,
• zbiorowego odprowadzania ścieków,
• infrastruktury cyfrowej,
• zarządzania usługami ICT,
• sektora kosmicznego,
• administracji rządowej.

Podmioty ważne

Do podmiotów ważnych zaliczono m.in. podmioty z sektorów:

• usług pocztowych,
• inwestycji w energetykę jądrową,
• gospodarowania odpadami,
• produkcji i dystrybucji chemikaliów,
• produkcji, przetwarzania i dystrybucji żywności,
• badań naukowych,
• administracji samorządowej.

Jakie obowiązki nakłada nowelizacja NIS2?

Podmioty kluczowe i ważne będą zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, które realnie zwiększą bezpieczeństwo ich systemów informatycznych.

Kluczowym wymogiem będzie wdrożenie systemu zarządzania bezpieczeństwem informacji, który obejmie m.in.:

• regularną analizę ryzyka wystąpienia incydentów oraz zarządzanie tym ryzykiem,
• dobór środków ochrony adekwatnych do poziomu zagrożeń (z uwzględnieniem m.in. wielkości organizacji, kosztów wdrożenia i potencjalnych skutków incydentów),
• monitorowanie zagrożeń i podatności systemów na incydenty,
• procedury reagowania na incydenty,
• działania ograniczające skutki ewentualnych naruszeń.

W praktyce oznacza to konieczność:

• przeglądu posiadanych zasobów IT,
• identyfikacji potencjalnych zagrożeń,
• aktualizacji procedur wewnętrznych,
• przeszkolenia pracowników.

Wsparciem dla przedsiębiorców mają być sektorowe zespoły CSIRT (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą pomagać w reagowaniu na incydenty, przekazywać informacje o zagrożeniach oraz prowadzić działania szkoleniowe.

Odpowiedzialność kierownictwa w zakresie NIS2

Nowe przepisy wyraźnie wskazują, że za realizację obowiązków w zakresie cyberbezpieczeństwa odpowiadają kierownicy podmiotów kluczowych i ważnych.

Do ich zadań będzie należało m.in.:

• podejmowanie decyzji dotyczących wdrożenia i nadzoru nad systemem zarządzania bezpieczeństwem informacji,
• zapewnienie odpowiednich środków finansowych,
• wyznaczanie i nadzorowanie osób odpowiedzialnych za cyberbezpieczeństwo,
• dbanie o świadomość pracowników w zakresie obowiązków i procedur,
• zapewnienie zgodności działań organizacji z przepisami prawa i regulacjami wewnętrznymi.

Oznacza to, że cyberbezpieczeństwo staje się realnym elementem odpowiedzialności zarządczej, a nie wyłącznie kwestią techniczną pozostawioną działowi IT.

Dostawcy wysokiego ryzyka

Nowelizacja wprowadza także mechanizm uznawania określonych podmiotów za tzw. dostawców wysokiego ryzyka.

Jeżeli dany dostawca zostanie tak zakwalifikowany:

• podmioty kluczowe i ważne nie będą mogły wdrażać jego produktów lub usług w swoich systemach,
• w przypadku już używanych rozwiązań – będą zobowiązane do ich wycofania w terminie do 7 lat.

Dostawca ma prawo zaskarżyć decyzję do sądu administracyjnego.

Wysokie kary finansowe za niewywiązywanie się z NIS2

Nowelizacja przewiduje istotne sankcje za niewywiązywanie się z obowiązków.

Minimalne kary wynoszą:

• 20 000 zł – dla podmiotów kluczowych,
• 15 000 zł – dla podmiotów ważnych.

Maksymalne kary mogą sięgnąć:

• 10 000 000 euro lub 2% rocznych przychodów – dla podmiotów kluczowych,
• 7 000 000 euro lub 1,4% rocznych przychodów – dla podmiotów ważnych.

W przypadku poważnych naruszeń zagrażających obronności, bezpieczeństwu państwa, zdrowiu lub życiu ludzi kara może wynieść nawet do 100 000 000 zł.

Co istotne, pierwsze kary będą mogły zostać nałożone dopiero po upływie 2 lat od wejścia w życie nowelizacji – to czas na dostosowanie się do nowych wymogów.

Jeżeli chcą Państwo sprawdzić, czy nowe przepisy obejmują Państwa działalność, lub potrzebują wsparcia przy wdrażaniu obowiązków wynikających z Dyrektywy NIS 2 – zapraszamy do kontaktu.

Źródła:

• https://orka.sejm.gov.pl/opinie10.nsf/nazwa/1955_u/$file/1955_u.pdf,
• https://kpmg.com/pl/pl/wiedza/podatki/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa.html,
• https://biznes.pap.pl/wiadomosci/firmy/sejm-uchwalil-nowelizacje-ustawy-o-krajowym-systemie-cyberbezpieczenstwa.

Jeśli chcesz dowiedzieć się więcej i skorzystać z naszej pomocy, serdecznie zapraszamy do kontaktu!  

Autorzy

Aleksandra Wiktorowska