Pod koniec kwietnia br. Rada Ministrów opublikowała projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa będzie wdrażać do polskiego prawa postanowienia Dyrektywy NIS 2. Jej wejście w życie będzie rewolucją dla wielu przedsiębiorstw, które zostaną objęte nowymi obowiązkami.
Zwracamy uwagę, że projekt nowelizacji może ulec zmianie.
Nowe przepisy znacząco rozszerzą katalog sektorów, które będą zobowiązane stosować przepisy z zakresu cyberbezpieczeństwa. W rezultacie, według obliczeń Ministerstwa Cyfryzacji około 38 tys. podmiotów może być zobowiązanych do dostosowania się do nowych przepisów. Obowiązki będą dotyczyły przedsiębiorstw i podmiotów działających w następujących sektorach:
Nowe obowiązki nie obejmą wszystkich przedsiębiorstw. Wymóg dostosowania się do nowych przepisów będzie zależał od wielkości podmiotu - ustawa będzie miała zastosowanie tylko do dużych lub średnich przedsiębiorstw w rozumieniu Załącznika 1 do Rozporządzenia Komisji (UE) nr 651/2014.
Ponadto, ustawa określa podmioty, do których jej przepisy będą miały zastosowanie niezależnie od wielkości. Będą to, np. dostawcy kwalifikowanych usług zaufania oraz przedsiębiorcy komunikacji elektronicznej.
Dodatkowo, na mocy decyzji właściwego organu, do stosowania przepisów ustawy mogą być zobowiązane małe i mikroprzedsiębiorstwa, jeśli prowadzą działalność w sektorach wskazanych w tabeli powyżej i posiadają szczególne cechy wskazane w projekcie nowelizacji (np. jako jedyne świadczą usługę o kluczowym znaczeniu dla krytycznej działalności społecznej lub gospodarczej albo zakłócenie w świadczeniu ich usług spowoduje poważne zagrożenie dla bezpieczeństwa państwa).
Podmioty zobowiązane do stosowania przepisów będą dzieliły się na podmioty kluczowe i ważne. Projekt nowelizacji przewiduje dość złożone kryteria kwalifikacji podmiotów jako należących do jednej z tych dwóch kategorii.
Podmioty objęte omawianymi przepisami będą zobowiązane do:
a. Samodzielnej rejestracji w wykazie prowadzonym przez Ministerstwo Cyfryzacji.
Podmioty działające w sektorach wymienionych powyżej muszą samodzielnie ocenić, czy nowe przepisy będą się do nich stosować. Jedynie w wyjątkowych przypadkach organy administracji będą wyznaczać podmioty zobowiązane na mocy decyzji. W celu wstępnej oceny, czy do danego podmiotu znajdą zastosowanie nowe przepisy, sugerujemy skorzystać z narzędzia stworzonego przez Bird & Bird - NIS2 Tool - które w prosty i przystępny sposób prowadzi przez poszczególne wymogi kwalifikacji jako podmiot zobowiązany na podstawie dyrektywy NIS 2. Zwracamy jedynie uwagę, że narzędzie to stworzone zostało na podstawie dyrektywy NIS2, a nie projektu nowelizacji polskich przepisów, które nieco różnią się od dyrektywy NIS2.
b. Wdrożenia systemu zarządzania bezpieczeństwem informacji.
Podmioty istotne i podmioty ważne będą musiały wdrożyć system zarządzania bezpieczeństwem informacji dla procesów wpływających na świadczenie usług.
System zarządzania bezpieczeństwem informacji obejmuje szereg środków umożliwiających zarządzanie ryzykiem, np. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, odpowiednie środki techniczne i organizacyjne, zarządzanie incydentami. Jeśli system zarządzania bezpieczeństwem informacji spełnia wymagania norm PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301, powyższe obowiązki uważa się za spełnione.
c. Zapewnienia nadzoru nad realizacją ww. obowiązków przez kierownika podmiotu kluczowego lub podmiotu ważnego.
Kierownik podmiotu ponosi odpowiedzialność za prawidłowe wdrożenie obowiązków. Kierownikami podmiotu mogą być np. członkowie zarządu, komplementariusz spółki komandytowej, wspólnicy spółki jawnej. Kierownik podmiotu będzie odpowiadał m.in. za wdrożenie, stosowanie i przegląd systemu zarządzania bezpieczeństwem informacji, zapewnienie środków finansowych na realizację obowiązków oraz dbałość o wiedzę z zakresu cyberbezpieczeństwa personelu.
d. Przygotowania dokumentacji bezpieczeństwa systemu informacyjnego.
Zapewnieniu cyberbezpieczeństwa podmiotów istotnych i podmiotów ważnych ma też służyć opracowanie dokumentacji bezpieczeństwa systemu informatycznego, który służy do świadczenia usługi. Ma się ona składać z:
e. Zgłaszanie incydentów.
Podmioty kluczowe i ważne będą miały obowiązek zgłaszania do odpowiedniego CSIRT poważnych incydentów w zakresie cyberbezpieczeństwa. Zobowiązani przedsiębiorcy będą musieli dokonać tego w określonym czasie od wykrycia takiego incydentu:
f. Przeprowadzania audytu bezpieczeństwa.
Podmioty kluczowe i ważne co najmniej raz na dwa lata będą zobowiązane do przeprowadzania audytów bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi.
O tym, jak istotne są nowe przepisy, świadczą sankcje, które zostały przewidziane za niewywiązywanie się z obowiązków. Za naruszenie przepisów na podmioty kluczowe i podmioty ważne może zostać nałożona kara pieniężna w wysokości:
W obu przypadkach zastosowanie ma kwota wyższa. Jeśli naruszenie spowodowało ponadto bezpośrednie i poważne zagrożenie dla bezpieczeństwa, życia i zdrowia lub mogło wywołać poważną szkodę majątkową lub poważne utrudnienia w świadczeniu usług, organy będą mogły nałożyć karę w wysokości do 100 milionów złotych.
Odpowiedzialność finansową za naruszenie przepisów, niezależnie od podmiotu kluczowego lub podmiotu ważnego, będzie ponosić też kierownik jednostki. Wysokość kary pieniężnej nie będzie mogła być większa niż 600% wynagrodzenia otrzymywanego przez ukaranego obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
Ustawa jest obecnie na etapie konsultacji społecznych. Ministerstwo Cyfryzacji planuje, że wejdzie ona w życie w IV kwartale tego roku. Nie oznacza to jednak, że wraz z wejściem w życie ustawy konieczne będzie wykazanie zgodności ze wszystkimi obowiązkami.
Podmioty, które już teraz spełniają przesłanki uznania za podmioty kluczowe i ważne będą miały na wdrożenie nowych przepisów 6 miesięcy od dnia wejścia w życie nowelizacji. Podmioty, które staną się kluczowe lub ważne po wejściu w życie nowelizacji, będą musiały dostosować się do jej obowiązków w terminie 6 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny.
Przeprowadzenie pierwszego audytu będzie konieczne w terminie 12 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny.
Przedsiębiorstwa, które zostaną objęte nowymi przepisami powinny rozpocząć proces wdrażania nowych regulacji jak najszybciej. Szczególną uwagę zwrócić na to powinni przede wszystkim dostawcy usług chmurowych i usług ICT oraz producenci towarów objętych regulacjami.
Z doświadczeń praktycznych dotyczących wdrożeń dotychczasowych przepisów dotyczących cyberbezpieczeństwa wynika bowiem, że sprostanie wymogom ustawowym i wdrożenie wymaganych zmian (w tym zatrudnienie osób do wewnętrznego zespołu, wdrożenie narzędzi IT) może zająć nawet rok w przypadku podmiotów, które do tej pory nie podlegały tym regulacjom.