Nowa ustawa o krajowym systemie cyberbezpieczeństwa - kogo dotyczy?

Fundamentalne zmiany w polskim porządku prawnym wprowadza nowa ustawa o krajowym systemie cyberbezpieczeństwa (KSC), która implementuje unijną dyrektywę NIS 2. Dotychczasowe przepisy nie odpowiadały w pełni na dynamiczny rozwój cyberzagrożeń. Obecna nowelizacja znacząco rozszerza katalog podmiotów objętych nowymi obowiązkami w zakresie ochrony cyfrowej, co ma kluczowe znaczenie dla tysięcy polskich firm.

Czym jest dyrektywa NIS 2?

Dyrektywa NIS 2 (Network and Information Security 2) to unijny akt prawny mający na celu podniesienie poziomu cyberbezpieczeństwa w państwach członkowskich Unii Europejskiej. Polska, jako kraj członkowski UE, ma obowiązek implementować jej zapisy do krajowego porządku prawnego. Nowelizacja ustawy o KSC jest właśnie realizacją tego obowiązku.

Dyrektywa NIS 2 wchodzi w życie w miejsce poprzedniej dyrektywy NIS i rozszerza zakres podmiotowy o nowe sektory gospodarki, a także wzmacnia mechanizmy zarządzania cyberzagrożeniami oraz nadzoru nad podmiotami kluczowymi.

Podmioty kluczowe

Podmiotami kluczowymi są jednostki, których awaria, incydent cybernetyczny lub problem techniczny może wywołać poważne skutki dla bezpieczeństwa państwa, społeczeństwa lub gospodarki. Do sektorów, w których działalność może uzasadniać uznanie podmiotu za kluczowy, należą:

• Energetyka - systemy wytwarzania, przesyłu i dystrybucji energii elektrycznej, gazu, ropy oraz wodoru
• Transport - infrastruktura i operatorzy transportu lotniczego, kolejowego, morskiego i drogowego
• Bankowość i infrastruktura rynków finansowych
• Ochrona zdrowia - podmioty świadczące usługi medyczne i diagnostyczne oraz systemy IT w służbie zdrowia
• Zaopatrzenie w wodę pitną i systemy gospodarki ściekowej
• Infrastruktura cyfrowa - centra danych, usługi chmurowe, rejestry DNS i operatorzy sieci komunikacyjnych
• Zarządzanie usługami ICT
• Sektor przestrzeni kosmicznej
• Administracja publiczna - istotne organy państwowe oraz jednostki świadczące usługi publiczne krytyczne dla funkcjonowania państwa

Projekt nowelizacji przewiduje również możliwość uznania za podmiot kluczowy jednostki na podstawie indywidualnej procedury administracyjnej, nawet jeśli nie spełnia ona katalogowych kryteriów sektorowych - to narzędzie elastyczne, umożliwiające reagowanie na nowe okoliczności w cyberprzestrzeni.

Podmioty ważne

Drugą istotną kategorią są podmioty ważne, które również podlegają regulacjom ustawy, jednak ich zakres obowiązków i nadzór mogą być łagodniejsze niż w przypadku podmiotów kluczowych.

Spółki działające w sektorach uznanych za ważne w NIS 2, choć niespełniające kryteriów dla podmiotów kluczowych, mogą zostać uznane za ważne, jeśli działają jako średnie lub większe przedsiębiorstwa. Do tej grupy mogą należeć przedsiębiorstwa działające w branżach takich jak:

• Usługi pocztowe
• Produkcja i dystrybucja chemikaliów
• Produkcja i dystrybucja żywności
• Zarządzanie odpadami
• Wybrane usługi ICT
• Inne usługi cyfrowe

Kryterium wielkości przedsiębiorstwa

Nowelizacja ustawy o KSC implementuje również zasady dotyczące kryteriów wielkości przedsiębiorstwa:

• Duże przedsiębiorstwa działające w sektorach kluczowych zostaną automatycznie uznane za podmioty kluczowe - cele o najwyższym poziomie nadzoru
• Średnie przedsiębiorstwa działające w sektorach kluczowych lub ważnych mogą zostać uznane odpowiednio za podmioty kluczowe lub ważne
• Mikro- i małe przedsiębiorstwa z zasady nie będą kwalifikowane jako podmioty kluczowe lub ważne, chyba że zostały wskazane w załącznikach do ustawy z nazwy lub w drodze decyzji administracyjnej

Podmioty w łańcuchu dostaw

Ustawa o KSC oraz dyrektywa NIS 2 przewidują możliwość uwzględnienia podmiotów, które nie są bezpośrednio kluczowymi dostawcami usług, ale mają znaczenie w łańcuchu dostaw dla podmiotów objętych systemem. Oznacza to, że dostawcy usług ICT, usług chmurowych, serwisów DNS czy dostawcy infrastruktury mogą być objęci wymogami cyberbezpieczeństwa ze względu na swoją rolę w zapewnianiu bezpieczeństwa szerszej sieci usług.

Co oznaczają zmiany dla Twojej firmy?

Jeśli Twoja firma działa w jednym z wymienionych sektorów i zatrudnia powyżej 50 pracowników (lub spełnia kryteria średniego przedsiębiorstwa), prawdopodobnie zostanie objęta nowymi przepisami. Oznacza to konieczność:

• Wdrożenia systemu zarządzania ryzykiem w cyberbezpieczeństwie
• Raportowania incydentów do właściwych zespołów CSIRT w określonym terminie
• Wprowadzenia monitoringu i audytów zgodności
• Stosowania odpowiednich środków technicznych i organizacyjnych

Potrzebujesz pomocy w przygotowaniu się do nowych wymogów? Skontaktuj się ze mną - pomogę Ci w audycie bezpieczeństwa i dostosowaniu firmy do przepisów ustawy o KSC.