Projekt polskich przepisów dotyczących implementacji Dyrektywy NIS-2
W kwietniu 2024 r. Ministerstwo Cyfryzacji opublikowało projekt nowelizacji obowiązującej obecnie ustawy o krajowym systemie cyberbezpieczeństwa („Nowe KSC”). Nowelizacja ta ma wdrożyć do polskiego porządku prawnego unijną dyrektywę NIS-2. Poniżej przyjrzę się wybranym aspektom tej regulacji.
KILKA SŁÓW PRZYPOMNIENIA
NIS-2 przewiduje, że jej postanowienia stosuje się do dwóch kategorii podmiotów – podmiotów kluczowych oraz podmiotów ważnych i taką też nomenklaturę przyjęto w Nowym KSC. W skrócie, podmiotami kluczowymi będą podmioty wskazane w załącznikach do Nowego KSC, jeśli są dużymi przedsiębiorcami, a także niektóre inne jednostki (bez względu na ich wielkość). Natomiast podmiotami ważnymi będą podmioty wskazane w tych samych załącznikach, które są średnimi przedsiębiorcami (o ile nie kwalifikują się jako podmioty kluczowe) i niektóre inne jednostki. Ze wspomnianych załączników do Nowego KSC wynika, że chodzi tutaj o podmioty z sektorów wrażliwych z punktu widzenia interesu publicznego, takich jak m.in. energetyka, transport, bankowość i rynki finansowe, ochrona zdrowia, administracja publiczna, infrastruktura cyfrowa i zarządzanie usługami ICT czy produkcja niektórych rodzajów towarów. Warto pamiętać, że zakres sektorowy NIS-2 (a tym samym i Nowego KSC) będzie szerszy niż w przypadku dotychczasowych przepisów.
PROAKTYWNOŚĆ PODMIOTÓW
W przeciwieństwie do obowiązujących obecnie regulacji, gdzie uznanie za operatora usługi kluczowej następowało w drodze decyzji, na którą można było oczekiwać, Nowe KSC wymaga na start proaktywności po stronie podmiotów zobowiązanych. Co do zasady, wymaga się bowiem, aby podmioty kluczowe i ważne złożyły wnioski o wpis w specjalnym wykazie prowadzonym przez ministra właściwego ds. informatyzacji w terminie 2 miesięcy od spełnienia przez nie przesłanek powodujących, że nabywają taki status. Bardzo ważne jest więc, aby przedsiębiorcy samodzielnie i zawczasu przeprowadzili weryfikację, czy spełniają kryteria do uznania ich za podmioty kluczowe lub ważne.
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
Podmioty kluczowe i ważne zobowiązane są do wdrożenia systemu zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez te podmioty. Ma on zapewnić odpowiednie zarządzanie ryzykiem i wdrożenie niezbędnych w tym celu środków. Obszary, jakie powinien zaadresować ten system, zostały wymienione w Nowym KSC. Co istotne, przewidziano, że można oprzeć się na popularnych normach ISO dot. systemu bezpieczeństwa informacji i zarządzania ciągłością działania (ISO 27001, ISO 22301), aby wykazać zgodność. Oczywiście, należy sporządzić odpowiednią dokumentację w tym zakresie, a także zapewnić dowody jej przestrzegania w postaci np. logów (tzw. część operacyjna dokumentacji). Należy także zapewnić, co najmniej raz na 2 lata, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usług.
OBSŁUGA INCYDENTÓW
Podmioty kluczowe i ważne zobowiązane są zapewnić odpowiednią obsługę incydentów, w tym ich odpowiednią klasyfikację oraz informowanie właściwego CSIRT sektorowego o incydentach uznanych za poważne (zgłoszenie wczesnego ostrzeżenia nie później niż w ciągu 24 godzin od wykrycia incydentu, zgłoszenie w terminie 72 godzin, a następnie przekazanie sprawozdań okresowych i sprawozdania końcowego z obsługi incydentu). Ponadto, w przypadku zaistnienia znaczącego cyberzagrożenia konieczne jest poinformowanie użytkowników usług zapewnianych przez podmiot kluczowy lub ważny.
ODPOWIEDZIALNOŚĆ I SZKOLENIA
Odpowiedzialność w zakresie cyberbezpieczeństwa spoczywać ma finalnie na kierownikach podmiotów kluczowych i ważnych (w przypadku spółek kapitałowych będą to członkowie zarządu) i to nawet wówczas, jeśli obowiązki w tym zakresie zostały delegowane na inne osoby. Kierownicy powinni przechodzić odpowiednie szkolenia w zakresie cyber raz do roku.
TERMINY I KARY
Obowiązki właściwe dla podmiotów kluczowych i ważnych, o których mowa powyżej, powinny być zrealizowane przez przedsiębiorcę w terminie 6 miesięcy od dnia spełnienia przesłanek do uznania za podmiot kluczowy lub ważny, z zastrzeżeniem że na wykonanie pierwszego audytu systemu informatycznego przewidziano 12 miesięcy. Za brak realizacji obowiązków wynikających z Nowego KSC przewidziano kary pieniężne zarówno dla podmiotów kluczowych i ważnych, jak i dla ich kierowników.
Jeśli chcecie dowiedzieć się więcej, serdecznie zapraszamy na konferencję, która odbędzie się w najbliższy piątek, 21 czerwca 2024 r. Nasz ekspert radca prawny Piotr Grzelczak omówi najważniejsze kwestie związane z implementacją dyrektywy NIS-2. Zapisy trwają – więcej szczegółów TUTAJ.
Materiał prasowy: radca prawny Piotr Grzelczak.
fot. Piotr Grzelczak, Kancelaria Prawna GFP_Legal Wrocław
#Cyberbezpieczeństwo #NIS2 #NoweKSC #BezpieczeństwoInformacji #ZarządzanieRyzykiem #PodmiotyKluczowe #PodmiotyWażne #TransformacjaCyfrowa #RegulacjePrawne #SektorPubliczny #TechnologieICT #Compliance #AudytBezpieczeństwa #PrawnikITWrocław #RadcaPrawnyWrocław #KancelariaPrawnaWrocław #ITLawyerPoland #LawfirmPoland #PolecanyPrawnikWrocław #Polishlawfirm #Polishlawoffice #PolishLawyer #IT #GFPLegal #KancelariaPrawnaGFPLegal