LEGAL ALERT: Implementacja NIS2 już w Sejmie!
W ubiegłym tygodniu, Rada Ministrów przyjęła projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, który następnie został przekazany do Sejmu. Projekt stanowi implementację unijnej dyrektywy NIS2 (czyli dyrektywy 2022/2555 z dnia 14 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii). Poniżej opisujemy, czego można spodziewać się po nowelizacji oraz jakie działania podjąć już teraz, a które zaplanować na przyszły rok.
Kogo dotyczy nowelizacja?
Projektowane regulacje znacząco rozszerzają katalog podmiotów objętych krajowym systemem cyberbezpieczeństwa. O ile dotychczas regulacją objętych było około czterystu operatorów usług kluczowych, o tyle nowelizacja objąć może ponad dziesięć tysięcy podmiotów działających w kluczowych i ważnych sektorach gospodarki. Co istotne, obowiązek dostosowania się do nowych przepisów nie będzie wynikał z decyzji administracyjnej – podmioty nimi objęte będą musiały dokonać tzw. samoidentyfikacji i rejestracji w specjalnym systemie teleinformatycznym.
Do sektorów, które zostaną objęte nowymi przepisami należą między innymi energetyka, transport, sektor bankowy, infrastruktura rynków finansowych, ochrona zdrowia, infrastruktura cyfrowa oraz zarządzanie usługami technologii informacyjno-komunikacyjnych (ICT), usługi pocztowe, gospodarowanie odpadami, przemysł chemiczny, produkcję i przetwórstwo żywności, przemysł wytwórczy oraz badania naukowe. Poza kryterium branży istotna jest także wielkość organizacji. Zachęcamy do kontaktu z naszymi specjalistami w celu ustalenia, czy Państwa organizacja może podlegać tym wymogom.
Nowelizacja dotyczy również dostawców produktów i usług dla podmiotów kluczowych oraz podmiotów ważnych, którzy mogą podlegać wymogom dotyczącym bezpieczeństwa łańcucha dostaw. Odpowiednie podejście do nowych regulacji może zatem stanowić przewagę konkurencyjną, a w niektórych przypadkach być warunkiem pozyskania klienta.
Jakie obowiązki przewiduje nowelizacja?
Projektowane przepisy nakładają szereg nowych obowiązków mających na celu wzmocnienie ich odporności na cyberzagrożenia. Podmioty objęte tymi regulacjami będą zobowiązane do wdrożenia systemu zarządzania bezpieczeństwem informacji obejmującego regularne oceny ryzyka, wprowadzenie adekwatnych środków technicznych i organizacyjnych, zarządzanie incydentami oraz zapewnienie ciągłości działania systemów informacyjnych, a także prowadzenie regularnych audytów.
Kluczowymi obowiązkami wprowadzanymi przez nowelizację są wdrożenie kompleksowego systemu zarządzania ryzykiem w bezpieczeństwie informacji, obligatoryjne zgłaszanie incydentów bezpieczeństwa do właściwych organów oraz zapewnienie bezpieczeństwa łańcucha dostaw poprzez weryfikację dostawców i kontrahentów. Podmioty będą musiały wprowadzić skuteczne procedury oceny ryzyka oraz mechanizmy szybkiego reagowania na zagrożenia cybernetyczne.
Nowelizacja wprowadza również osobistą odpowiedzialność osób zarządzających za nadzór nad realizacją wymogów cyberbezpieczeństwa oraz obowiązek odbycia przez nich specjalistycznych szkoleń w tym zakresie.
Kiedy nowe przepisy mogą wejść w życie?
Projekt nowelizacji został przekazany do Sejmu i zgodnie z zapowiedziami przewodniczącego sejmowej Komisji Cyfryzacji powinien trafić na posiedzenie w drugiej połowie listopada 2025 roku. Ministerstwo Cyfryzacji zapowiada, że ustawa ma zostać przyjęta przez Sejm i Senat jeszcze przed końcem 2025 roku.
Ustawa, zgodnie z projektem, przewiduje miesięczne vacatio legis, co oznacza, że wejdzie w życie miesiąc po jej ogłoszeniu w Dzienniku Ustaw. Następnie podmioty zobowiązane będą miały sześć miesięcy na spełnienie podstawowych obowiązków, w tym na rejestrację w krajowym systemie cyberbezpieczeństwa oraz wdrożenie systemów zarządzania ryzykiem. Oznacza to, że przy zakładanym scenariuszu przyjęcia ustawy do końca 2025 roku, pełne wymogi zaczną obowiązywać mniej więcej w drugiej połowie 2026 roku.
Podsumowanie
W obliczu zbliżającego się wejścia w życie nowelizacji rekomendujemy przeprowadzenie kompleksowej oceny, czy Państwa organizacja może podlegać obowiązkom wynikającym z nowych przepisów. Analiza powinna obejmować ustalenie, czy jednostka zobowiązana będzie do stosowania ustawy oraz w jakim zakresie, gdyż wczesna identyfikacja statusu pozwoli na właściwe przygotowanie się do wymogów ustawowych.
KONTAKT
E: magdalena.patryas@pl.Andersen.com
T: +48 32 731 68 84
M: +48 502 392 419
