GrantThornton - regiony
  • en
  • de
    • GrantThornton - regiony

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com

      Wybierz usługę po lewej lub skontaktuj się z nami mailowo!

      kontakt@pl.gt.com
      1. Strona główna
      2. Artykuły
      3. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (NIS2)

      Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (NIS2)

      Usługi

      27.05.2024

      Regulacja ma na celu dostosowanie przepisów krajowych (tj. Ustawy o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 roku) do wymogów Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenia (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (tzw. Dyrektywa NIS 2).

      Podsumowanie

      Nowe kategorie podmiotów objętych obowiązkami wynikającymi z Ustawy o KSC

      Zamiast dotychczasowych „operatorów usług kluczowych” i „operatorów usług cyfrowych” zaproponowano wprowadzenie pojęcia „podmiotu kluczowego” oraz „podmiotu ważnego”, które mają być głównymi adresatami obowiązków wynikających z Ustawy o KSC. Różnica pomiędzy tymi kategoriami podmiotów dotyczy nadzoru nad nimi:

      • Względem podmiotu ważnego czynności nadzorcze można prowadzić jedynie nadzór następczy (w razie podejrzenia nieprawidłowości),
      • Względem podmiotu kluczowego również prewencyjny (również w braku podejrzenia nieprawidłowości).

        Google news

        Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google

        Usługi

        Obowiązek samorejestracji podmiotów kluczowych i ważnych

        Podmioty kluczowe i ważne zobowiązane będą do przeprowadzenia procesu samorejestracji w wykazie podmiotów kluczowych i ważnych, który będzie prowadzony przez ministra właściwego ds. informatyzacji. Proces ten będzie kluczowym krokiem w zapewnieniu transparentności oraz skutecznej kontroli nad istotnymi podmiotami działającymi w danej sferze. Poprzez samorejestrację, te podmioty będą w stanie udokumentować swoją rolę i znaczenie w kontekście dziedziny, w której działają, co pozwoli na lepsze monitorowanie ich działań oraz odpowiednią reakcję na ewentualne zmiany czy zagrożenia.

        Wdrożenie systemu zarządzania bezpieczeństwem informacji

        W podmiotach kluczowych i ważnych, obejmującego elementy wskazane w zmienionej Ustawie o KSC, w tym prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, a także wdrożenie odpowiednich i proporcjonalnych technicznych i organizacyjnych środków bezpieczeństwa.

        Ten system musi obejmować szereg elementów, w tym:

        1. Systematyczne szacowanie ryzyka: To proces identyfikacji, analizy i oceny potencjalnych zagrożeń dla bezpieczeństwa informacji w organizacji. Szacowanie ryzyka pozwala na zidentyfikowanie najbardziej krytycznych obszarów wymagających ochrony.
        2. Zarządzanie ryzykiem: Po dokonaniu oceny ryzyka konieczne jest podejmowanie działań mających na celu jego zarządzanie. Obejmuje to podejmowanie decyzji dotyczących akceptacji, zmniejszenia, unikania lub przeniesienia ryzyka.
        3. Wdrożenie odpowiednich środków bezpieczeństwa: Obejmuje to zarówno środki techniczne, jak i organizacyjne. Środki techniczne mogą obejmować stosowanie oprogramowania antywirusowego, firewalli, szyfrowania danych itp. Środki organizacyjne obejmują procedury dostępu do danych, szkolenia personelu w zakresie bezpieczeństwa informacji, audyty bezpieczeństwa itp.
        4. Proporcjonalność: Środki bezpieczeństwa muszą być proporcjonalne do ryzyka, jakie niesie ze sobą dana działalność. Oznacza to, że organizacje powinny dostosować swoje działania do rzeczywistych zagrożeń i potrzeb, unikając jednocześnie nadmiernego obciążenia związanego z bezpieczeństwem.

        NIS-2 – czy moja firma podlega? [ANKIETA]

        Przygotowaliśmy dla Państwa krótki kwestionariusz, który pozwoli zidentyfikować, czy i w jakim stopniu Państwa firma podlegać będzie pod wymagania Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (dyrektywa NIS2). NIS-2 zostanie implementowana do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa, która ma wejść w życie na przełomie 2023 i 2024. Nowe regulacje wprowadzą znaczące zmiany dla polskich podmiotów: odpowiedzialność organów zarządzających oraz kary dochodzące do 10 000 000 euro lub aż 2% rocznego obrotu przedsiębiorstwa. Z przyjemnością pomożemy Państwu przygotować się do tych nowych wymagań. Aby wstępnie zbadać swoje nowe obowiązki w tym zakresie przygotowaliśmy kilka pytań. Po odpowiedzi na pytania otrzymają Państwo wynik, który odzwierciedli prawdopodobieństwo polegania pod nowe obowiązki nałożone przez Dyrektywę i projektowaną nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa.

        1

        Informacje o Twoim biznesie

        2

        Kwestionariusz

        3

        Wynik

        Czy Twoja firma operuje w jednym z poniższych sektorów?

        • Energia
        • Transport
        • Bankowość i infrastruktura rynków finansowych
        • Ochrona zdrowia
        • Zaopatrzenie w wodę pitną i jej dystrybucja
        • Infrastruktura cyfrowa
        • Zarządzanie usługami ICT
        • Przestrzeń kosmiczna
        • Produkcja, wytwarzanie i dystrybucja chemikaliów
        • Produkcja, przetwarzanie i dystrybucja żywności
        • Inna produkcja
        • Usługi pocztowe
        • Gospodarowanie odpadami
        • Dostawcy usług cyfrowych
        • Badania naukowe
        • dostawca usług DNS
        • kwalifikowany albo niekwalifikowany dostawca usług zaufania
        • Podmiot krytyczny
        • Podmiot publiczny
        • Rejestr nazw domen najwyższego poziomu (TLD)
        • przedsiębiorca komunikacji elektronicznej
        • INNE

          W szczególności:

        • Wydobywanie kopalin
        • Energia elektryczna - jako operator systemów dystrybucyjnych, przesyłowych, wytwórca lub uczestnik rynku magazynowania, agregacji, a także jako operator punktów ładowania odpowiedzialni za zarządzanie punktem ładowania i jego obsługę, świadczący usługę ładowania użytkownikom końcowym, w tym w imieniu i na rzecz dostawcy usług w zakresie mobilności
        • System ciepłowniczy lub chłodniczy - operator systemu ciepłowniczego lub chłodniczego
        • Ropa naftowa - jako operator ropociągu, operator instalacji służącej do produkcji, rafinacji, przetwarzania lub magazynowania i przesyłu ropy naftowej, jak również stanowiący krajową centralę zapasów ropy naftowej
        • Gaz - Jako przedsiębiorca dostarczający gaz lub operator systemu dystrybucyjnego, przesyłowego, magazynowania, LNG, jak również przedsiębiorstwo gazowe lub operator instalacji służących do rafinacji i przetwarzania gazu ziemnego; podmioty prowadzące działalność gospodarczą w zakresie wydobywania gazu ziemnego na podstawie koncesji
        • Energetyka jądrowa - podmiot będący operatorem obiektu energetyki jądrowej, podmiot będący inwestorem obiektu energetyki jądrowej
        • Wodór - jako operator instalacji służących do produkcji, magazynowania i przesyłu wodoru
        • Transport lotniczy - jako przewoźnik lotniczy, Zarządzający portem lotniczym lub jako obsługujący urządzenia pomocnicze w porcie lotniczym; operator zarządzający ruchem lotniczym, który zapewnia służbę kontroli ruchu lotniczego (ATC)
        • Transport kolejowy - zarządcy infrastruktury kolejowej lub przedsiębiorstwa kolejowe, w tym operatorzy infrastruktury kolejowej
        • Transport wodny - armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów, a także organy zarządzające portami, oraz jednostki wykonujące prace i operujące sprzętem znajdującym się w tych portach, a także operatorzy systemów ruchu statków
        • Transport drogowy - organy administracji drogowej odpowiedzialne za zarządzanie ruchem drogowym, z wyłączeniem podmiotów publicznych, dla których zarządzanie ruchem lub obsługa inteligentnych systemów transportowych jest inną niż istotna częścią ich ogólnej działalności

          • W szczególności:

        • Instytucja kredytowa
        • operatorzy systemów obrotu
        • kontrahenci centralni (CCP)
        • SKOK
        • Biura maklerskie

          • W szczególności:

        • Podmiot leczniczy
        • Laboratoria referencyjne UE
        • podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych
        • podmioty udzielające świadczeń opieki zdrowotnej będące podwykonawcą dla podmiotów kluczowych lub ważnych w sektorze ochrona zdrowi
        • podmioty produkujące/importujące podstawowe substancje farmaceutyczne oraz leki
        • podmioty produkujące/importujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne
        • Apteka ogólnodostępna
        • Hurtownia farmaceutyczna
        • dostawcy i dystrybutorzy wody przeznaczonej do spożycia przez ludzi
        • Zbiorowe odprowadzanie ścieków Przedsiębiorstwo wodociągowo-kanalizacyjne

          • W szczególności:

        • Dostawca punktu wymiany ruchu internetowego
        • Dostawca chmury obliczeniowej
        • Dostawca usług centrum przetwarzania danych
        • Dostawca sieci dostarczania treści
        • Podmiot świadczący usługę rejestracji nazw domen
        • Dostawca usług zarządzanych
        • Dostawca usług zarządzanych w zakresie cyberbezpieczeństwa
        • operatorzy infrastruktury naziemnej należącej do, zarządzanej i obsługiwanej przez państwa członkowskie lub podmioty prywatne, które wspierają świadczenie usług kosmicznych, z wyjątkiem dostawców publicznych sieci łączności elektronicznej
        • W szczególności przedsiębiorstwa zajmujące się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin, a także przedsiębiorstwa zajmujące się wytwarzaniem z substancji lub mieszanin wyrobów
        • Przedsiębiorstwa spożywcze zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem
        • produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
        • produkcja komputerów, wyrobów elektronicznych i optycznych
        • produkcja urządzeń elektrycznych
        • produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana
        • produkcja pojazdów samochodowych, przyczep i naczep
        • produkcja pozostałego sprzętu transportowego
        • operatorzy świadczący usługi pocztowe
        • Zbieranie odpadów
        • Transport odpadów
        • Przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
        • Działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
        • Dostawy i usługi dla sektora gospodarowania odpadami
        • Zbieranie odpadów
        • dostawcy internetowych platform handlowych
        • dostawcy wyszukiwarek internetowych
        • dostawcy platform usług sieci społecznościowych
        • organizacje badawcze
        • uczelnie
        • federacje podmiotów systemu szkolnictwa wyższego i nauki
        • instytuty naukowe PAN
        • międzynarodowe instytuty naukowe
        • Centrum Łukasiewicz
        • instytuty działające w ramach Sieci Badawczej Łukasiewicz
        • Polska Akademia Umiejętności

          • W szczególności:

        • organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa
        • sądy i trybunały
        • jednostki samorządu terytorialnego oraz ich związki
        • związki metropolitalne
        • jednostki budżetowe
        • samorządowe zakłady budżetowe
        • agencje wykonawcze
        • instytucje gospodarki budżetowej
        • Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego
        • uczelnie publiczne
        • Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne
        • państwowe i samorządowe instytucje kultury
        • Instytuty badawcze
        • Narodowy Bank Polski
        • Bank Gospodarstwa Krajowego
        • Urząd Dozoru Technicznego
        • Polska Agencja Żeglugi Powietrznej
        • Polskie Centrum Akredytacji
        • Urząd Komisji Nadzoru Finansowego
        • Narodowy Fundusz Zdrowia
        • Polska Agencja Prasowa
        • Państwowe Gospodarstwo Wodne Wody Polskie, o którym mowa w ustawie z dnia 20 lipca 2017 r. - Prawo wodne (Dz. U. z 2024 r. poz. 1087 i 1089)
        • Polski Fundusz Rozwoju i inne instytucje rozwoju, o których mowa w art. 2 ust. 1 pkt 1 i 3-6 ustawy z dnia 4 lipca 2019 r. o systemie instytucji rozwoju
        • Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej
        • Wojewódzkie fundusze ochrony środowiska i gospodarki wodnej
        • Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych
        • Zakład Unieszkodliwiania Odpadów Promieniotwórczych z siedzibą w Otwocku-Świerku
        • Spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679)

        Opowiedz nam o swoim biznesie

        • Mniej niż 50
        • Pomiędzy 50 a 250
        • Więcej niż 250
        • Mniej niż 10 mln Euro
        • Pomiędzy 10 a 50 mln Euro
        • Powyżej 50 mln Euro

        Twój wynik:

        Twoje odpowiedzi
        Wielkość firmy 0 - 10 pracowników Zmień

        Adam Woźniak

        Partner

        Skontaktuj się z Adam Woźniak, by skonsultować swój wynik.

        *Zgoda obowiązkowa
        Informacje o sposobach przetwarzania danych osobowych znajdziesz w Polityce prywatności i Klauzuli informacyjnej.
        Skorzystaj z naszych usług z zakresu: Cyberbezpieczeństwo i outsourcing IT
        Dowiedz się więcej

        Zmiany w zakresie zgłaszania incydentów poważnych

        Wprowadzone zostają zmiany w procedurze zgłaszania incydentów poważnych, mające na celu usprawnienie komunikacji i zapewnienie szybszej reakcji na tego typu zdarzenia. Celem zmian jest wczesne poinformowanie CSIRT sektorowego o potencjalnym zagrożeniu, co umożliwi szybsze podjęcie działań prewencyjnych i ograniczających skutki incydentu. Wczesne ostrzeżenie o incydencie poważnym, należy zgłosić w terminie 24 godzin od jego wykrycia, do CSIRT sektorowego (podczas gdy aktualnie konieczne jest zgłoszenie „incydentu”, a nie wczesnego ostrzeżenia, do CSIRT MON, CSIRT NASK lub CSIRT GOV). Zgłoszenie incydentu poważnego ma natomiast nastąpić w terminie 72 godzin od jego wykrycia.

        Znaczące podwyżki kar pieniężnych za nieprzestrzeganie przepisów o KSC

        Znacznemu podwyższeniu mają ulec również kary pieniężne za nieprzestrzeganie przepisów Ustawy (np. za niedokonanie obowiązkowego szacowania ryzyka, niezgłoszenie incydentu czy niedokonanie wpisu do rejestru). Proponuje się określenie minimalnego poziomu kary pieniężnej na kwotę 20 000 zł co do podmiotów kluczowych oraz 15 000 zł co do podmiotów ważnych.

        • maksymalny wymiar kary wyniesie w przypadku podmiotów kluczowych równowartość 10 000 000 euro lub 2% przychodów osiągniętych w poprzednim roku obrotowym.
        • podmioty ważne muszą liczyć się z karami wynoszącymi do 7 000 000 euro lub 1,4% przychodów zrealizowanych w poprzednim roku obrotowym.

        Proponowane zmiany w Ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC) przynoszą istotne nowości w zakresie regulacji dotyczących podmiotów kluczowych i ważnych. Wprowadzenie nowych kategorii adresatów obowiązków, tj. podmiotów kluczowych i ważnych, oraz różnicowanie rodzaju nadzoru nad nimi stanowi istotny krok w kierunku skuteczniejszej ochrony cyfrowego krajobrazu.

        Proces samorejestracji podmiotów kluczowych i ważnych umożliwi lepszą kontrolę nad tymi podmiotami, a wdrażanie systemów zarządzania bezpieczeństwem informacji pozwoli na skuteczną identyfikację, ocenę i zarządzanie ryzykiem. Zmiany w procedurze zgłaszania incydentów oraz zaostrzenie kar finansowych mają na celu zwiększenie skuteczności reakcji na potencjalne zagrożenia i promowanie bezpiecznych praktyk w obszarze cybernetycznym.

        AUTORKA: Paulina Wójcik, Specjalistka ds. sprzedaży, Outsourcing IT

        Czytaj więcej o NIS2:

        Porozmawiajmy o Twoich wyzwaniach

        Świadczymy usługi w zakresie Cyberbezpieczeństwo

        Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

        Pole zawiera niedozwolone znaki

        Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

        Skontaktuj się
        Adam Woźniak

        Partner

        Specjalizacje

        Skontaktuj się Poproś o kontakt

        Skontaktuj się
        Adam Woźniak

        Partner

        Specjalizacje

        Poproś o kontakt

        Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

        Artykuły z kategorii: Cyberbezpieczeństwo i outsourcing IT

        Zobacz wszystkie

        Newsletter

        Subskrybuj specjalny newsletter, aby otrzymywać informacje o wszystkich najnowszych wpisach na blogu Grant Thornton!

        Najczęściej czytane

        Zobacz wszystkie
        Powered by  Zgodności ciasteczek z RODO
        Informacja o ciasteczkach

        1. W ramach witryny Administrator stosuje pliki Cookies w celu świadczenia usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb.

        2. Korzystanie z witryny bez zmiany ustawień dotyczących Cookies oznacza, że będą one zapisywane na Twoim urządzeniu końcowym. Możesz w każdym czasie dokonać zmiany ustawień dotyczących Cookies w swojej przeglądarce internetowej.

        3. Administrator używa technologii Cookies w celu identyfikacji odwiedzających witrynę, w celu prowadzenia statystyk na potrzeby marketingowe, a także w celu poprawnego realizowania innych, oferowanych przez serwis usług.

        4. Pliki Cookies, a w tym Cookies sesyjne mogą również dostarczyć informacji na temat Twojego urządzenia końcowego, jak i wersji przeglądarki, której używasz. Zadania te są realizowane dla prawidłowego wyświetlania treści w ramach witryny Administratora.

        3. Cookies to krótkie pliki tekstowe. Cookies w żadnym wypadku nie umożliwiają personalnej identyfikacji osoby odwiedzającej witrynę i nie są w nim zapisywane żadne informacje mogące taką identyfikację umożliwić.

        Aby zobaczyć pełną listę wykorzystywanych przez nas ciasteczek i dowiedzieć się więcej o ich celach, odwiedź naszą Politykę Prywatności.