7 października 2024 roku ogłoszono nową wersję projektu ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wprowadza istotne zmiany dla organizacji działających w kluczowych sektorach. Nowelizacja dostosowuje polskie przepisy do unijnej dyrektywy NIS 2 i odpowiada na rosnące potrzeby bezpieczeństwa w ciągle rozwijającej się cyfrowej rzeczywistości.

Jakie konkretne obowiązki czekają firmy i instytucje? Jak przygotować się do wdrożenia tych wymagań i zapewnić zgodność z nowymi regulacjami?

Zmiany w sektorach: jakie branże obejmują nowe regulacje?

Nowe przepisy jasno określają sektory kluczowe i ważne, by chronić te branże, które mają strategiczny wpływ na gospodarkę i bezpieczeństwo państwa. Wśród nich znajdują się m.in. transport, bankowość, infrastruktura finansowa, zdrowie publiczne, zaopatrzenie i dystrybucja wody, infrastruktura cyfrowa, zarządzanie usługami IT, administracja publiczna (na szczeblu centralnym i regionalnym) oraz podmioty wspierające branżę kosmiczną.

Dzięki nowym przepisom, które również przenoszą sektory takie jak produkcja urządzeń elektrycznych, chemikaliów i żywności do grupy sektorów ważnych, polskie przepisy jeszcze lepiej współgrają z regulacjami UE (dyrektywa NIS 2). Zmiany przynoszą także bardziej elastyczne podejście do grup kapitałowych: jeśli ich systemy informatyczne funkcjonują niezależnie, mogą one uniknąć klasyfikacji jako podmioty kluczowe.

Jakie obowiązki wynikają z nowelizacji?

1. Obowiązek rejestracji podmiotu
   Podmioty uznane za kluczowe lub ważne będą miały 3 miesiące od momentu wejścia w życie ustawy (bądź spełnienia kryteriów uznania za podmiot kluczowy lub ważny) na złożenie wniosku o wpis do wykazu rejestru, co umożliwi monitorowanie podmiotów istotnych dla bezpieczeństwa państwa.
2. Wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI)
   Podmioty kluczowe i ważne są zobowiązane do wdrożenia SZBI, który uwzględnia m.in.:

   – Systematyczne szacowanie ryzyka incydentów oraz zarządzanie tym ryzykiem.
   – Wdrożenie środków technicznych i organizacyjnych proporcjonalnych do oszacowanego ryzyka, w tym polityki i procedury bezpieczeństwa, kontrolę dostępu, bezpieczeństwo fizyczne oraz zarządzanie łańcuchem dostaw produktów i usług ICT.
   – Ciągłe monitorowanie systemu oraz wdrażanie planów awaryjnych, które zapewnią poufność, integralność i dostępność informacji.

3. Audyt bezpieczeństwa SZBI
   Podmioty kluczowe będą musiały przeprowadzać audyt SZBI co 36 miesięcy, a pierwszy audyt będzie musiał być zrealizowany w ciągu 24 miesięcy od wprowadzenia nowych przepisów. Obowiązek przeprowadzania audytu nie obejmuje podmiotów ważnych.
4. Zbieranie informacji o cyberzagrożeniach
   Monitorowanie nowych zagrożeń i podatności w systemach informacyjnych oraz wdrażanie odpowiednich działań mających na celu ograniczenie ich skutków.
5. Zarządzanie incydentami
   Podmioty kluczowe i ważne muszą mieć procedury zarządzania incydentami, w tym odpowiednie działania, aby zapobiegać zagrożeniom i minimalizować ich skutki.
6. Aktualizacja i ochrona systemu
   Podmioty są zobowiązane do regularnego aktualizowania oprogramowania, zgodnie
   z zaleceniami producenta, analizując wpływ aktualizacji na bezpieczeństwo oraz poziom krytyczności każdego komponentu systemu.
7. Stosowanie bezpiecznych środków komunikacji
   Komunikacja między podmiotami kluczowymi i ważnymi oraz w ramach systemu cyberbezpieczeństwa musi być odpowiednio zabezpieczona, co obejmuje m.in. uwierzytelnianie wieloskładnikowe.
8. Szkolenie kierownictwa
   Kierownictwo podmiotów kluczowych i ważnych zobowiązane jest do corocznych szkoleń w zakresie swoich obowiązków związanych z cyberbezpieczeństwem, m.in. nadzoru nad SZBI oraz dotyczących dbałości o to, by podejmowane działania były zgodne z prawem.
9. Weryfikacja niekaralności
   Obejmuje obowiązek sprawdzania, czy osoby pełniące kluczowe funkcje w zakresie cyberbezpieczeństwa nie były skazane za przestępstwa związane z ochroną informacji.
10. Wymiana informacji z innymi podmiotami
    Podmioty muszą przekazywać sobie wzajemnie informacje o potencjalnych zagrożeniach, co ma na celu wspieranie współpracy i zwiększanie poziomu bezpieczeństwa w kraju.
11. Zgłaszanie poważnych incydentów
    Incydenty poważne należy zgłaszać do odpowiedniego CSIRT sektorowego w ciągu 72 godzin od ich wykrycia. W przypadku wczesnego ostrzeżenia, incydent musi być zgłoszony w ciągu 24 godzin.
12. Sprawozdania z obsługi incydentów
    Podmioty muszą przedkładać raporty dotyczące obsługi incydentów poważnych, zarówno okresowe, jak i końcowe, co pozwala na bieżące monitorowanie sytuacji.
13. Opracowanie i utrzymywanie dokumentacji
    Podmioty kluczowe i ważne mają obowiązek opracować, stosować i aktualizować dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi. Dokumentacja ta dzieli się na dokumentację normatywną oraz operacyjną. Dokumentacja normatywna obejmuje m.in. dokumentację SZBI, dokumentację ochrony infrastruktury, dokumentację systemu zarządzania ciągłością działania, dokumentację techniczną systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, dokumentację wynikającą ze specyfiki świadczonej usługi w danym sektorze lub podsektorze. Dokumentację operacyjną stanowią zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej, w tym automatycznie generowane zapisy w dziennikach systemów informacyjnych.
14. Nadzór nad dokumentacją
    Podmiot kluczowy lub podmiot ważny przechowuje dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi przez co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi, liczony od 1 stycznia roku następującego po roku, w którym wygasa okres jej przechowywania. Regulacji tej nie stosuje się do podmiotów podlegających ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164).
15. Informowanie użytkowników o zagrożeniach
    Jeśli cyberzagrożenia mogą wpłynąć na jakość świadczonej usługi, podmioty muszą informować o tym swoich użytkowników.
16. Wyznaczenie osób kontaktowych
    Każdy podmiot musi wyznaczyć dwie osoby odpowiedzialne za kontakt z innymi podmiotami oraz CSIRT.
17. Korzystanie z dedykowanego systemu teleinformatycznego
    Podmioty kluczowe i ważne korzystają z systemu teleinformatycznego, który wspiera zgłaszanie incydentów i komunikację z organami cyberbezpieczeństwa w terminie 6 miesięcy od momentu spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny.
18. Kary finansowe
    Kara nakładana na podmioty kluczowe, które nie wykonują ustawowych obowiązków, może wynieść aż 10 mln EUR lub 2% przychodów osiągniętych przez podmiot w roku poprzednim (przy czym zastosowanie ma kara wyższa). Nałożona kara nie może być jednak niższa niż 20 000 złotych.

Kara nakładana na podmioty ważne może wynieść maksymalnie 7 mln EUR lub 1,4% przychodów osiągniętych przez podmiot ważny z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary. Nałożona kara nie może być jednak niższa niż 15 000 złotych.

W projekcie nowelizacji ustawy o KSC ustawodawca wprowadził możliwość nałożenia kary kwalifikowanej przez organ właściwy ds. cyberbezpieczeństwa – w wysokości do 100 mln złotych w przypadku, gdy podmiot kluczowy lub ważny narusza przepisy ustawy polegające na: bezpośrednim i poważnym cyberzagrożeniu dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, zagrożeniu wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

Nowelizacja projektu ustawy wprowadza również kary dla kierowników podmiotu kluczowego lub ważnego w wysokości do 600% otrzymywanego przez niego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

Przygotuj organizację do nowych wymagań

Ministerstwo Cyfryzacji planuje zakończyć prace nad projektem jeszcze w 2024 roku, a ustawa wejdzie w życie prawdopodobnie na początku 2025 roku. Firmy i instytucje, które przygotują się odpowiednio wcześniej, będą miały większą kontrolę nad zgodnością swoich systemów bezpieczeństwa z wymaganiami nowej ustawy. Pozwoli to zapewnić stabilność i ochronę w czasach, gdy przestępczość cybernetyczna tak gwałtownie rośnie.

SUKCESJA