Regulacja ma na celu dostosowanie przepisów krajowych (tj. Ustawy o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 roku) do wymogów Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenia (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (tzw. Dyrektywa NIS 2).

Nowe kategorie podmiotów objętych obowiązkami wynikającymi z Ustawy o KSC

Zamiast dotychczasowych „operatorów usług kluczowych” i „operatorów usług cyfrowych” zaproponowano wprowadzenie pojęcia „podmiotu kluczowego” oraz „podmiotu ważnego”, które mają być głównymi adresatami obowiązków wynikających z Ustawy o KSC. Różnica pomiędzy tymi kategoriami podmiotów dotyczy nadzoru nad nimi:

  • Względem podmiotu ważnego czynności nadzorcze można prowadzić jedynie nadzór następczy (w razie podejrzenia nieprawidłowości),
  • Względem podmiotu kluczowego również prewencyjny (również w braku podejrzenia nieprawidłowości).

    Google news

    Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google

    Obowiązek samorejestracji podmiotów kluczowych i ważnych

    Podmioty kluczowe i ważne zobowiązane będą do przeprowadzenia procesu samorejestracji w wykazie podmiotów kluczowych i ważnych, który będzie prowadzony przez ministra właściwego ds. informatyzacji. Proces ten będzie kluczowym krokiem w zapewnieniu transparentności oraz skutecznej kontroli nad istotnymi podmiotami działającymi w danej sferze. Poprzez samorejestrację, te podmioty będą w stanie udokumentować swoją rolę i znaczenie w kontekście dziedziny, w której działają, co pozwoli na lepsze monitorowanie ich działań oraz odpowiednią reakcję na ewentualne zmiany czy zagrożenia.

    Wdrożenie systemu zarządzania bezpieczeństwem informacji

    W podmiotach kluczowych i ważnych, obejmującego elementy wskazane w zmienionej Ustawie o KSC, w tym prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, a także wdrożenie odpowiednich i proporcjonalnych technicznych i organizacyjnych środków bezpieczeństwa.

    Ten system musi obejmować szereg elementów, w tym:

    1. Systematyczne szacowanie ryzyka: To proces identyfikacji, analizy i oceny potencjalnych zagrożeń dla bezpieczeństwa informacji w organizacji. Szacowanie ryzyka pozwala na zidentyfikowanie najbardziej krytycznych obszarów wymagających ochrony.
    2. Zarządzanie ryzykiem: Po dokonaniu oceny ryzyka konieczne jest podejmowanie działań mających na celu jego zarządzanie. Obejmuje to podejmowanie decyzji dotyczących akceptacji, zmniejszenia, unikania lub przeniesienia ryzyka.
    3. Wdrożenie odpowiednich środków bezpieczeństwa: Obejmuje to zarówno środki techniczne, jak i organizacyjne. Środki techniczne mogą obejmować stosowanie oprogramowania antywirusowego, firewalli, szyfrowania danych itp. Środki organizacyjne obejmują procedury dostępu do danych, szkolenia personelu w zakresie bezpieczeństwa informacji, audyty bezpieczeństwa itp.
    4. Proporcjonalność: Środki bezpieczeństwa muszą być proporcjonalne do ryzyka, jakie niesie ze sobą dana działalność. Oznacza to, że organizacje powinny dostosować swoje działania do rzeczywistych zagrożeń i potrzeb, unikając jednocześnie nadmiernego obciążenia związanego z bezpieczeństwem.

    Czy moja firma podlega pod NIS-2? – Sprawdź w 2 minuty

    Skorzystaj z naszych usług z zakresu: Cyberbezpieczeństwo i outsourcing IT
    Dowiedz się więcej

    Zmiany w zakresie zgłaszania incydentów poważnych

    Wprowadzone zostają zmiany w procedurze zgłaszania incydentów poważnych, mające na celu usprawnienie komunikacji i zapewnienie szybszej reakcji na tego typu zdarzenia. Celem zmian jest wczesne poinformowanie CSIRT sektorowego o potencjalnym zagrożeniu, co umożliwi szybsze podjęcie działań prewencyjnych i ograniczających skutki incydentu. Wczesne ostrzeżenie o incydencie poważnym, należy zgłosić w terminie 24 godzin od jego wykrycia, do CSIRT sektorowego (podczas gdy aktualnie konieczne jest zgłoszenie „incydentu”, a nie wczesnego ostrzeżenia, do CSIRT MON, CSIRT NASK lub CSIRT GOV). Zgłoszenie incydentu poważnego ma natomiast nastąpić w terminie 72 godzin od jego wykrycia.

    Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik

    Znaczące podwyżki kar pieniężnych za nieprzestrzeganie przepisów o KSC

    Znacznemu podwyższeniu mają ulec również kary pieniężne za nieprzestrzeganie przepisów Ustawy (np. za niedokonanie obowiązkowego szacowania ryzyka, niezgłoszenie incydentu czy niedokonanie wpisu do rejestru). Proponuje się określenie minimalnego poziomu kary pieniężnej na kwotę 20 000 zł co do podmiotów kluczowych oraz 15 000 zł co do podmiotów ważnych.

    • maksymalny wymiar kary wyniesie w przypadku podmiotów kluczowych równowartość 10 000 000 euro lub 2% przychodów osiągniętych w poprzednim roku obrotowym.
    • podmioty ważne muszą liczyć się z karami wynoszącymi do 7 000 000 euro lub 1,4% przychodów zrealizowanych w poprzednim roku obrotowym.

    Proponowane zmiany w Ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC) przynoszą istotne nowości w zakresie regulacji dotyczących podmiotów kluczowych i ważnych. Wprowadzenie nowych kategorii adresatów obowiązków, tj. podmiotów kluczowych i ważnych, oraz różnicowanie rodzaju nadzoru nad nimi stanowi istotny krok w kierunku skuteczniejszej ochrony cyfrowego krajobrazu.

    Proces samorejestracji podmiotów kluczowych i ważnych umożliwi lepszą kontrolę nad tymi podmiotami, a wdrażanie systemów zarządzania bezpieczeństwem informacji pozwoli na skuteczną identyfikację, ocenę i zarządzanie ryzykiem. Zmiany w procedurze zgłaszania incydentów oraz zaostrzenie kar finansowych mają na celu zwiększenie skuteczności reakcji na potencjalne zagrożenia i promowanie bezpiecznych praktyk w obszarze cybernetycznym.

    AUTORKA: Paulina Wójcik, Specjalistka ds. sprzedaży, Outsourcing IT

    Czytaj więcej o NIS2:

    Porozmawiajmy o Twoich wyzwaniach

    Świadczymy usługi w zakresie Cyberbezpieczeństwo i outsourcing IT

    Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

    Pole zawiera niedozwolone znaki

    Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

    Poproś o kontakt

    Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.