Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco rozszerzy grono podmiotów objętych obowiązkami w tym obszarze. Nowe regulacje mogą dotyczyć od kilkunastu do nawet kilkudziesięciu tysięcy organizacji w Polsce. Dotychczas przepisy obejmowały zaledwie ok. 400–500 podmiotów.

19 lutego prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa i jednocześnie skierował ją do rozpatrzenia przez Trybunał Konstytucyjny. Zgodnie z zapowiedziami nowe przepisy mają wejść w życie miesiąc po publikacji w Dzienniku Ustaw, czyli 3 kwietnia. Jak wyjaśnia adwokat Michał Opala z kancelarii Sołtysiński Kawecki & Szlęzak, zmiany znacząco rozszerzają katalog sektorów objętych regulacjami dotyczącymi cyberbezpieczeństwa. Dotychczas obejmowały one przede wszystkim obszary takie jak energetyka, transport, ochrona zdrowia, bankowość, infrastruktura rynków finansowych, dostawy wody i infrastruktura cyfrowa. Nowelizacja wprowadza kolejne sektory, w tym gospodarkę ściekową, zarządzanie technologiami informacyjno-komunikacyjnymi, przestrzeń kosmiczną, usługi pocztowe, a także produkcję i dystrybucję, w tym w branży chemicznej i spożywczej. Nowe przepisy obejmą również liczne instytucje publiczne. Wśród nich znajdą się m.in. urzędy administracji, samorządy, szkoły, szpitale, instytuty badawcze, a także Polska Agencja Prasowa.

Jednym z obowiązków dla podmiotów objętych ustawą będzie wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji. System ten powinien opierać się na rzetelnej analizie ryzyka i służyć budowaniu odporności organizacji na cyberzagrożenia, incydenty oraz luki bezpieczeństwa. W praktyce oznacza to konieczność wprowadzenia odpowiednich procedur, zabezpieczeń technicznych i działań organizacyjnych. Organizacje będą musiały także zadbać o bezpieczeństwo łańcucha dostaw, prowadzić szkolenia pracowników z zakresu tzw. cyberhigieny oraz dokładnie identyfikować posiadane systemy i urządzenia informatyczne. Istotnym elementem będzie również określenie, kto w firmie lub instytucji ma dostęp do poszczególnych zasobów cyfrowych.

– Cała filozofia regulacji dotyczącej cyberbezpieczeństwa polega na tym, żeby środki podejmowane przez konkretne podmioty uczestniczące w działalności gospodarczej przyjmowały środki adekwatne z jednej strony do ich potrzeb, ale też do zagrożeń, jakie się wiążą z tego rodzaju działalnością. Zupełnie inne mamy zagrożenia w przypadku działalności rolniczej czy związanej z produkcją żywności niż w stosunku np. do przedsiębiorców, który świadczy usługi cyfrowe, ponieważ w pierwszym przypadku ingerencja i incydent związany z zakłóceniem procesu produkcyjnego żywności, przerwanie czy zanieczyszczenie tego procesu może spowodować istotne skutki – wyjaśnia ekspert.

Podmioty objęte nowymi regulacjami otrzymają rok na pełne wdrożenie obowiązków wynikających z ustawy. W pierwszych sześciu miesiącach będą musiały przeprowadzić tzw. samoidentyfikację, czyli sprawdzić, czy podlegają nowym przepisom, a następnie zarejestrować się w odpowiednim rejestrze prowadzonym przez organy państwowe. Kolejne pół roku przewidziano na osiągnięcie pełnej zgodności z wymaganiami regulacyjnymi.

Jak wskazuje Michał Opala, ustalenie, czy dana firma podlega przepisom, może być skomplikowane. Kryteria określone w załączniku do ustawy opierają się głównie na wielkości przedsiębiorstwa, liczbie pracowników i rocznym obrocie. W przypadku średnich firm próg wynosi co najmniej 50 pracowników i 10 mln euro obrotu rocznie. Dla dużych przedsiębiorstw granica ta to 250 pracowników i 50 mln euro obrotu. Małe przedsiębiorstwa zostały wyłączone z regulacji, jednak od tej zasady istnieją wyjątki. Dotyczy to m.in. firm świadczących usługi związane z cyberbezpieczeństwem. – Tutaj próg wielkościowy jest obniżony i jeśli będziemy mieli firmę, która zatrudnia nawet 10 osób, to taka firma zostanie objęta przepisami – zaznacza adwokat.

O objęciu przedsiębiorstwa nowymi regulacjami może zdecydować nie tylko główna działalność firmy, ale także poboczna część jej biznesu. Przykładem może być niewielkie przedsiębiorstwo produkcyjne, które zarządza bocznicą kolejową – taka działalność może zmienić jego status w świetle przepisów.

Największym wyzwaniem dla wielu organizacji może okazać się nie tyle sam obowiązek wdrożenia nowych procedur, ile ich rzeczywiste stosowanie w praktyce. – To jest pułapka bardzo ambitnego podejścia na samym początku, ustanowienia sobie bardzo wysokich norm i standardów, które chcielibyśmy utrzymywać w naszej organizacji. Natomiast czasem tego się nie da dotrzymać, o tym się czasem zapomina. Widzieliśmy to na gruncie przepisów o ochronie danych osobowych, gdzie były czasami tworzone tzw. słynne teczki, które trafiały na półki, do których nikt nie zaglądał. Przepisy ustawy o KSC z jednej strony dają swobodę w stworzeniu Systemu Zarządzania Bezpieczeństwem Informacji, ale z drugiej strony nakładają obowiązek później realizacji tych wszystkich obowiązków, które sami na siebie de facto nakładamy i definiujemy – tłumaczy Michał Opala.

Ustawa przewiduje również wysokie kary za brak realizacji obowiązków. Maksymalne sankcje mogą sięgać nawet 10 mln euro lub 2% rocznego obrotu przedsiębiorstwa. W skrajnych przypadkach ignorowania zaleceń organów nadzorczych kary mogą wynieść nawet 100 mln zł. System sankcji ma jednak charakter stopniowy i ma przede wszystkim skłaniać przedsiębiorstwa do dostosowania się do nowych wymogów.

Nowelizacja ustawy wdraża w Polsce unijną dyrektywę NIS 2 dotyczącą cyberbezpieczeństwa oraz dokument 5G Toolbox związany z bezpieczeństwem sieci 5G. Wraz z nowymi przepisami zmienia się także podział podmiotów objętych regulacjami – zamiast operatorów usług kluczowych i dostawców usług cyfrowych pojawią się tzw. podmioty kluczowe oraz podmioty ważne.

fot. freepik.com
oprac. /kp/