Projekt polskich przepisów dotyczących implementacji Dyrektywy NIS-2

W kwietniu 2024 r. Ministerstwo Cyfryzacji opublikowało projekt nowelizacji obowiązującej obecnie ustawy o krajowym systemie cyberbezpieczeństwa („Nowe KSC”). Nowelizacja ta ma wdrożyć do polskiego porządku prawnego unijną dyrektywę NIS-2. Poniżej przyjrzę się wybranym aspektom tej regulacji.


KILKA SŁÓW PRZYPOMNIENIA

NIS-2 przewiduje, że jej postanowienia stosuje się do dwóch kategorii podmiotów – podmiotów kluczowych oraz podmiotów ważnych i taką też nomenklaturę przyjęto w Nowym KSC. W skrócie, podmiotami kluczowymi będą podmioty wskazane w załącznikach do Nowego KSC, jeśli są dużymi przedsiębiorcami, a także niektóre inne jednostki (bez względu na ich wielkość). Natomiast podmiotami ważnymi będą podmioty wskazane w tych samych załącznikach, które są średnimi przedsiębiorcami (o ile nie kwalifikują się jako podmioty kluczowe) i niektóre inne jednostki. Ze wspomnianych załączników do Nowego KSC wynika, że chodzi tutaj o podmioty z sektorów wrażliwych z punktu widzenia interesu publicznego, takich jak m.in. energetyka, transport, bankowość i rynki finansowe, ochrona zdrowia, administracja publiczna, infrastruktura cyfrowa i zarządzanie usługami ICT czy produkcja niektórych rodzajów towarów. Warto pamiętać, że zakres sektorowy NIS-2 (a tym samym i Nowego KSC) będzie szerszy niż w przypadku dotychczasowych przepisów.


PROAKTYWNOŚĆ PODMIOTÓW

W przeciwieństwie do obowiązujących obecnie regulacji, gdzie uznanie za operatora usługi kluczowej następowało w drodze decyzji, na którą można było oczekiwać, Nowe KSC wymaga na start proaktywności po stronie podmiotów zobowiązanych. Co do zasady, wymaga się bowiem, aby podmioty kluczowe i ważne złożyły wnioski o wpis w specjalnym wykazie prowadzonym przez ministra właściwego ds. informatyzacji w terminie 2 miesięcy od spełnienia przez nie przesłanek powodujących, że nabywają taki status. Bardzo ważne jest więc, aby przedsiębiorcy samodzielnie i zawczasu przeprowadzili weryfikację, czy spełniają kryteria do uznania ich za podmioty kluczowe lub ważne.


SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Podmioty kluczowe i ważne zobowiązane są do wdrożenia systemu zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez te podmioty. Ma on zapewnić odpowiednie zarządzanie ryzykiem i wdrożenie niezbędnych w tym celu środków. Obszary, jakie powinien zaadresować ten system, zostały wymienione w Nowym KSC. Co istotne, przewidziano, że można oprzeć się na popularnych normach ISO dot. systemu bezpieczeństwa informacji i zarządzania ciągłością działania (ISO 27001, ISO 22301), aby wykazać zgodność. Oczywiście, należy sporządzić odpowiednią dokumentację w tym zakresie, a także zapewnić dowody jej przestrzegania w postaci np. logów (tzw. część operacyjna dokumentacji). Należy także zapewnić, co najmniej raz na 2 lata, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usług.


OBSŁUGA INCYDENTÓW

Podmioty kluczowe i ważne zobowiązane są zapewnić odpowiednią obsługę incydentów, w tym ich odpowiednią klasyfikację oraz informowanie właściwego CSIRT sektorowego o incydentach uznanych za poważne (zgłoszenie wczesnego ostrzeżenia nie później niż w ciągu 24 godzin od wykrycia incydentu, zgłoszenie w terminie 72 godzin, a następnie przekazanie sprawozdań okresowych i sprawozdania końcowego z obsługi incydentu). Ponadto, w przypadku zaistnienia znaczącego cyberzagrożenia konieczne jest poinformowanie użytkowników usług zapewnianych przez podmiot kluczowy lub ważny.


ODPOWIEDZIALNOŚĆ I SZKOLENIA

Odpowiedzialność w zakresie cyberbezpieczeństwa spoczywać ma finalnie na kierownikach podmiotów kluczowych i ważnych (w przypadku spółek kapitałowych będą to członkowie zarządu) i to nawet wówczas, jeśli obowiązki w tym zakresie zostały delegowane na inne osoby. Kierownicy powinni przechodzić odpowiednie szkolenia w zakresie cyber raz do roku.


TERMINY I KARY

Obowiązki właściwe dla podmiotów kluczowych i ważnych, o których mowa powyżej, powinny być zrealizowane przez przedsiębiorcę w terminie 6 miesięcy od dnia spełnienia przesłanek do uznania za podmiot kluczowy lub ważny, z zastrzeżeniem że na wykonanie pierwszego audytu systemu informatycznego przewidziano 12 miesięcy.  Za brak realizacji obowiązków wynikających z Nowego KSC przewidziano kary pieniężne zarówno dla podmiotów kluczowych i ważnych, jak i dla ich kierowników.


Jeśli chcecie dowiedzieć się więcej, serdecznie zapraszamy na konferencję, która odbędzie się w najbliższy piątek, 21 czerwca 2024 r. Nasz ekspert radca prawny Piotr Grzelczak omówi najważniejsze kwestie związane z implementacją dyrektywy NIS-2. Zapisy trwają – więcej szczegółów TUTAJ.


Materiał prasowy: radca prawny Piotr Grzelczak.

fot. Piotr Grzelczak, Kancelaria Prawna GFP_Legal Wrocław



#Cyberbezpieczeństwo #NIS2 #NoweKSC #BezpieczeństwoInformacji #ZarządzanieRyzykiem #PodmiotyKluczowe #PodmiotyWażne #TransformacjaCyfrowa #RegulacjePrawne #SektorPubliczny #TechnologieICT #Compliance #AudytBezpieczeństwa #PrawnikITWrocław #RadcaPrawnyWrocław #KancelariaPrawnaWrocław #ITLawyerPoland #LawfirmPoland #PolecanyPrawnikWrocław #Polishlawfirm #Polishlawoffice #PolishLawyer #IT #GFPLegal #KancelariaPrawnaGFPLegal