Podsumowanie
- Nowe kategorie podmiotów objętych obowiązkami wynikającymi z Ustawy o KSC
- Obowiązek samorejestracji podmiotów kluczowych i ważnych
- Wdrożenie systemu zarządzania bezpieczeństwem informacji
- Zmiany w zakresie zgłaszania incydentów poważnych
- Znaczące podwyżki kar pieniężnych za nieprzestrzeganie przepisów o KSC
Nowe kategorie podmiotów objętych obowiązkami wynikającymi z Ustawy o KSC
Zamiast dotychczasowych „operatorów usług kluczowych” i „operatorów usług cyfrowych” zaproponowano wprowadzenie pojęcia „podmiotu kluczowego” oraz „podmiotu ważnego”, które mają być głównymi adresatami obowiązków wynikających z Ustawy o KSC. Różnica pomiędzy tymi kategoriami podmiotów dotyczy nadzoru nad nimi:
- Względem podmiotu ważnego czynności nadzorcze można prowadzić jedynie nadzór następczy (w razie podejrzenia nieprawidłowości),
- Względem podmiotu kluczowego również prewencyjny (również w braku podejrzenia nieprawidłowości).
Google news
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
Obowiązek samorejestracji podmiotów kluczowych i ważnych
Podmioty kluczowe i ważne zobowiązane będą do przeprowadzenia procesu samorejestracji w wykazie podmiotów kluczowych i ważnych, który będzie prowadzony przez ministra właściwego ds. informatyzacji. Proces ten będzie kluczowym krokiem w zapewnieniu transparentności oraz skutecznej kontroli nad istotnymi podmiotami działającymi w danej sferze. Poprzez samorejestrację, te podmioty będą w stanie udokumentować swoją rolę i znaczenie w kontekście dziedziny, w której działają, co pozwoli na lepsze monitorowanie ich działań oraz odpowiednią reakcję na ewentualne zmiany czy zagrożenia.
Wdrożenie systemu zarządzania bezpieczeństwem informacji
W podmiotach kluczowych i ważnych, obejmującego elementy wskazane w zmienionej Ustawie o KSC, w tym prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, a także wdrożenie odpowiednich i proporcjonalnych technicznych i organizacyjnych środków bezpieczeństwa.
Ten system musi obejmować szereg elementów, w tym:
- Systematyczne szacowanie ryzyka: To proces identyfikacji, analizy i oceny potencjalnych zagrożeń dla bezpieczeństwa informacji w organizacji. Szacowanie ryzyka pozwala na zidentyfikowanie najbardziej krytycznych obszarów wymagających ochrony.
- Zarządzanie ryzykiem: Po dokonaniu oceny ryzyka konieczne jest podejmowanie działań mających na celu jego zarządzanie. Obejmuje to podejmowanie decyzji dotyczących akceptacji, zmniejszenia, unikania lub przeniesienia ryzyka.
- Wdrożenie odpowiednich środków bezpieczeństwa: Obejmuje to zarówno środki techniczne, jak i organizacyjne. Środki techniczne mogą obejmować stosowanie oprogramowania antywirusowego, firewalli, szyfrowania danych itp. Środki organizacyjne obejmują procedury dostępu do danych, szkolenia personelu w zakresie bezpieczeństwa informacji, audyty bezpieczeństwa itp.
- Proporcjonalność: Środki bezpieczeństwa muszą być proporcjonalne do ryzyka, jakie niesie ze sobą dana działalność. Oznacza to, że organizacje powinny dostosować swoje działania do rzeczywistych zagrożeń i potrzeb, unikając jednocześnie nadmiernego obciążenia związanego z bezpieczeństwem.
Zmiany w zakresie zgłaszania incydentów poważnych
Wprowadzone zostają zmiany w procedurze zgłaszania incydentów poważnych, mające na celu usprawnienie komunikacji i zapewnienie szybszej reakcji na tego typu zdarzenia. Celem zmian jest wczesne poinformowanie CSIRT sektorowego o potencjalnym zagrożeniu, co umożliwi szybsze podjęcie działań prewencyjnych i ograniczających skutki incydentu. Wczesne ostrzeżenie o incydencie poważnym, należy zgłosić w terminie 24 godzin od jego wykrycia, do CSIRT sektorowego (podczas gdy aktualnie konieczne jest zgłoszenie „incydentu”, a nie wczesnego ostrzeżenia, do CSIRT MON, CSIRT NASK lub CSIRT GOV). Zgłoszenie incydentu poważnego ma natomiast nastąpić w terminie 72 godzin od jego wykrycia.
Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik
Znaczące podwyżki kar pieniężnych za nieprzestrzeganie przepisów o KSC
Znacznemu podwyższeniu mają ulec również kary pieniężne za nieprzestrzeganie przepisów Ustawy (np. za niedokonanie obowiązkowego szacowania ryzyka, niezgłoszenie incydentu czy niedokonanie wpisu do rejestru). Proponuje się określenie minimalnego poziomu kary pieniężnej na kwotę 20 000 zł co do podmiotów kluczowych oraz 15 000 zł co do podmiotów ważnych.
- maksymalny wymiar kary wyniesie w przypadku podmiotów kluczowych równowartość 10 000 000 euro lub 2% przychodów osiągniętych w poprzednim roku obrotowym.
- podmioty ważne muszą liczyć się z karami wynoszącymi do 7 000 000 euro lub 1,4% przychodów zrealizowanych w poprzednim roku obrotowym.
Proponowane zmiany w Ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC) przynoszą istotne nowości w zakresie regulacji dotyczących podmiotów kluczowych i ważnych. Wprowadzenie nowych kategorii adresatów obowiązków, tj. podmiotów kluczowych i ważnych, oraz różnicowanie rodzaju nadzoru nad nimi stanowi istotny krok w kierunku skuteczniejszej ochrony cyfrowego krajobrazu.
Proces samorejestracji podmiotów kluczowych i ważnych umożliwi lepszą kontrolę nad tymi podmiotami, a wdrażanie systemów zarządzania bezpieczeństwem informacji pozwoli na skuteczną identyfikację, ocenę i zarządzanie ryzykiem. Zmiany w procedurze zgłaszania incydentów oraz zaostrzenie kar finansowych mają na celu zwiększenie skuteczności reakcji na potencjalne zagrożenia i promowanie bezpiecznych praktyk w obszarze cybernetycznym.
AUTORKA: Paulina Wójcik, Specjalistka ds. sprzedaży, Outsourcing IT
Czytaj więcej o NIS2: