Krajowy System Cyberbezpieczeństwa a NIS 2 – co zmienia ustawa?
Krajowy system cyberbezpieczeństwa po nowelizacji wdrażającej NIS 2 – sprawdź, kogo dotyczy ustawa o KSC, jakie obowiązki wprowadza i co zmienia dla zarządów.
KRAJOWY SYSTEM CYBERBEZPIECZEŃSTWA A NIS 2 – CO ZMIENIA USTAWA?
Krajowy system cyberbezpieczeństwa oraz ustawa o KSC przechodzą fundamentalną zmianę w związku z implementacją Dyrektywy NIS 2.
Najistotniejsze obszary zmian obejmują: konieczność samodzielnego ustalenia, czy dany podmiot podlega regulacji, większą odpowiedzialność członków zarządu, nowe wymogi dotyczące współpracy z dostawcami wysokiego ryzyka, krótkie terminy zgłaszania incydentów oraz obowiązki odnoszące się do bezpieczeństwa łańcucha dostaw.
Z perspektywy biznesu oznacza to, że cyberbezpieczeństwo przestaje być wyłącznie zagadnieniem technologicznym w ramach działu IT, lecz staje się jednym z kluczowych obszarów Compliance, częścią ładu korporacyjnego. Niezbędne jest rozpoznanie cyberzagrożeń występujących w firmie, jasne określenie odpowiedzialności oraz przygotowanie skutecznych procedur działania na wypadek incydentu.
Sprawdź też: NIS 2 w Polsce – kiedy wchodzi w życie?
KOGO DOTYCZY USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA?
To jedno z najważniejszych pytań dla organizacji: kogo dotyczy ustawa o krajowym systemie cyberbezpieczeństwa po nowelizacji?
Nowelizacja UKSC odchodzi od dotychczasowej terminologii obejmującej operatorów usług kluczowych (OUK) oraz dostawców usług cyfrowych (DUC), wprowadzając w ich miejsce nowe kategorie: podmioty kluczowe oraz podmioty ważne.
Poza wskazanymi podmiotami kluczowymi oraz podmiotami ważnymi, równocześnie ustawodawca znacząco rozszerza zakres sektorów objętych regulacją w obszarze cyberbezpieczeństwa. Nowe przepisy obejmują m.in. takie obszary jak gospodarowanie ściekami, zarządzanie usługami ICT, sektor kosmiczny, usługi pocztowe i kurierskie, gospodarka odpadami, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności, a także działalność badawczo-naukowa – które co do zasady nie były wcześniej objęte reżimem UKSC. Kompletny katalog sektorów przypisanych do podmiotów kluczowych i ważnych został określony w załącznikach nr 1 i nr 2 do ustawy.
Jednocześnie nowelizacja ustawy o KSC wprowadza mechanizm samoidentyfikacji (z określonymi wyjątkami, w szczególności w odniesieniu do sektora publicznego). Oznacza to, że podmioty są zobowiązane do samodzielnej analizy swojej działalności pod kątem spełnienia kryteriów uznania za podmiot kluczowy lub ważny, a w przypadku pozytywnej kwalifikacji – do złożenia wniosku o wpis do odpowiedniego wykazu. Niezależnie od tego, organ właściwy do spraw cyberbezpieczeństwa zachowuje uprawnienie do dokonania wpisu z urzędu, jeżeli uzna, że dany podmiot spełnia przesłanki kwalifikacyjne, a nie dopełnił obowiązku zgłoszeniowego w terminie przewidzianym w ustawie.
KRAJOWY SYSTEM CYBERBEZPIECZEŃSTWA A NIS 2 – ZARZĄDZANIE RYZYKIEM JAKO STANDARD
Największą zmianą, jaką wprowadza do krajowego systemu cyberbezpieczeństwa nowelizacja, jest przejście na systemowe zarządzanie ryzykiem. Każdy podmiot kluczowy i ważny musi wdrożyć system obejmujący:
- analizę i ocenę ryzyka,
- środki techniczne i organizacyjne,
- monitorowanie i reagowanie na incydenty,
- zapewnienie ciągłości działania.
To oznacza odejście od punktowych wymogów na rzecz kompleksowego podejścia do bezpieczeństwa. Nowelizacja szczególnie akcentuje:
- ryzyka związane z dostawcami ICT,
- jakość usług i produktów technologicznych,
- konieczność uwzględniania ocen na poziomie UE.
W praktyce oznacza to potrzebę rewizji, celem zwiększenia bezpieczeństwa:
- umów z dostawcami,
- polityk zakupowych,
- procedur zarządzania ryzykiem dostawców.
CO ZMIENIA NIS 2 W KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA W ZAKRESIE INCYDENTÓW?
Nowe regulacje do ustawy o KSC wprowadzają trójstopniowy model raportowania incydentów, który obejmuje: przekazanie wczesnego ostrzeżenia w terminie do 24 godzin od momentu wykrycia incydentu poważnego, dokonanie pełnego zgłoszenia w ciągu 72 godzin, a następnie sporządzenie sprawozdania końcowego po zakończeniu obsługi incydentu, nie później niż w terminie miesiąca od dnia jego zgłoszenia.
Zgłoszenia kierowane są wyłącznie do właściwego CSIRT za pośrednictwem dedykowanego systemu teleinformatycznego (S46). W praktyce oznacza to konieczność odpowiedniego dostosowania procedur reagowania na incydenty przez podmioty kluczowe i ważne, w szczególności w zakresie precyzyjnego określenia ról decyzyjnych, ścieżek eskalacji oraz zapewnienia, że działania podejmowane są w rygorystycznych ramach czasowych wynikających z przepisów.
ODPOWIEDZIALNOŚĆ ZARZĄDU – KLUCZOWA ZMIANA USTAWY O KSC
Nowelizacja ustawy o KSC jednoznacznie przesądza, że odpowiedzialność za cyberbezpieczeństwo zostaje przeniesiona na poziom zarządczy. Wprowadza ona bezpośrednie obowiązki po stronie kierownictwa (w tym członków zarządu), obejmujące nadzór nad systemem zarządzania ryzykiem, organizację procesu obsługi incydentów oraz zapewnienie zgodności działalności z przepisami.
Odpowiedzialność ta ma charakter osobisty, co w praktyce oznacza konieczność realnego zaangażowania decyzyjnego, zapewnienia adekwatnych zasobów oraz bieżącego nadzoru nad funkcjonowaniem przyjętych rozwiązań. Brak skutecznego wdrożenia lub utrzymania wymagań ustawy o KSC wiąże się z istotnym ryzykiem sankcyjnym – zarówno finansowym (sięgającym nawet do 300% wynagrodzenia kierownika), jak i nadzorczym, w tym możliwością czasowego zakazu pełnienia funkcji zarządczych w podmiocie kluczowym do momentu usunięcia stwierdzonych naruszeń.
W konsekwencji cyberbezpieczeństwo przestaje być wyłącznie obszarem operacyjnym czy technologicznym, lecz staje się integralnym elementem odpowiedzialności zarządczej, wymagającym aktywnego nadzoru i podejmowania decyzji na najwyższym poziomie organizacji.
CO DALEJ Z KSC? KIERUNEK ZMIAN REGULACYJNYCH
Odpowiadając wprost na pytanie: co dalej z KSC – kierunek jest jednoznaczny.
Krajowy system cyberbezpieczeństwa nowelizacja wpisuje się w szerszy ekosystem regulacyjny UE, tj. wachlarz obejmujący:
- Dyrektywa NIS 2,
- DORA,
- CER Directive.
W konsekwencji regulacje prowadzą do dalszego zaostrzenia wymogów i odchodzenia od „papierowego” bezpieczeństwa na rzecz rzeczywistych działań. Audyty będą koncentrować się na weryfikacji faktycznie funkcjonujących procedur, a nie jedynie formalnej dokumentacji.
Istotnym obszarem staje się również zarządzanie ryzykiem w łańcuchu dostaw. Organizacje są zobowiązane do oceny nie tylko własnych zabezpieczeń, lecz także praktyk stosowanych przez dostawców IT, w tym do weryfikacji, czy wykorzystywane oprogramowanie nie pochodzi od podmiotów uznawanych za wysokiego ryzyka.
Najważniejszą zmianą pozostaje jednak kwestia odpowiedzialności zarządów, która wymusza istotną transformację podejścia do bezpieczeństwa na poziomie strategicznym.
CO ZMIENIA NIS 2 W KSC? PODSUMOWANIE
Najważniejsze zmiany w KSC po wprowadzeniu NIS 2 to:
- rozszerzenie katalogu podmiotów objętych regulacją,
- wprowadzenie systemowego zarządzania ryzykiem,
- rozbudowany model raportowania incydentów,
- bezpośrednia odpowiedzialność zarządu,
- wzmocnienie nadzoru publicznego.
W praktyce oznacza to konieczność strategicznego podejścia do cyberbezpieczeństwa na poziomie całej organizacji.
Na marginesie warto zauważyć, że w kontekście zmian, jakie wprowadza krajowy system cyberbezpieczeństwa, punktem wyjścia do przygotowania organizacji jest zazwyczaj audyt zgodności z ustawą o KSC oraz Dyrektywą NIS 2, pozwalający ocenić poziom dojrzałości organizacji i zidentyfikować kluczowe obszary wymagające dostosowania.
Jeśli chcesz bezpiecznie przygotować organizację do nowych obowiązków i przejść przez cały proces w sposób uporządkowany, pomoc we wdrożeniu NIS 2 zapewnia kancelaria GFP Legal. Zapraszamy do kontaktu i zapoznania się ze szczegółami oferty.
Materiał prasowy: radca prawny Monika Kozłowska.
