NIS2 oraz nowelizacja ustawy o KSC coraz bliżej – co się zmieniło w najnowszym projekcie?
Dyrektywa NIS2 powinna zostać zaimplementowana do polskiego porządku prawnego najpóźniej w październiku 2024 roku – tak się jednak nie stało, a Polska nie jest jednak jedynym krajem, który wciąż pracuje nad implementacją NIS2.
12 lutego 2025 r. na stronie Rządowego Centrum Legislacji opublikowano nowy, kolejny już projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa („nowelizacja KSC”), datowany na 7 lutego 2025 r., który ma za zadanie wdrożyć NIS2 w Polsce. Co przynosi najnowszy projekt?
Nowa klasyfikacja wobec podmiotów publicznych
Nie wszystkie podmioty publiczne będą uznawane za „podmioty kluczowe”. Samorządowe jednostki budżetowe, instytucje kultury oraz spółki publiczne wykonujące zadania użyteczności publicznej będą klasyfikowane jako „podmioty ważne”, co oznacza dla nich mniej obowiązków. Wskazuje się, że taki zabieg ma zapewnić kompromis pomiędzy podniesieniem poziomu cyberbezpieczeństwa a realiami organizacyjnymi podmiotów publicznych, w szczególności jednostek samorządu terytorialnego.
Nowelizacja wprowadza zatem ułatwienia proceduralne, zmniejszające zakres kryteriów wymaganych względem podmiotów publicznych, nie naruszając jednocześnie standardu zapewnienia odpowiedniego poziomu bezpieczeństwa. Przykładami takich zmian są uproszczony system zarządzania bezpieczeństwem informacji i uproszczony zakres obowiązków w zakresie zgłaszania incydentów.
Dostęp do wiedzy poprzez odesłanie do rządowych stron internetowych
Nowe przepisy przewidują, że obowiązek zapewnienia dostępu do wiedzy w zakresie zagrożeń cybernetycznych nałożony na podmioty kluczowe i ważne w zakresie korzystania przez użytkowników z ich usług, będzie mógł być realizowany poprzez zamieszczenie linków do stron internetowych organu właściwego do spraw cyberbezpieczeństwa, CSIRT GOV, CSIRT MON, CSIRT NASK lub CSIRT sektorowy. To rozwiązanie ma na celu ułatwienie dostępu do rzetelnych i aktualnych informacji, jednocześnie redukując wymagania formalne nakładane na poszczególne jednostki.
Zmiany w kompetencjach organu nadzorczego
Organ właściwy ds. cyberbezpieczeństwa uzyska większe uprawnienia w aspekcie egzekwowania zgodności funkcjonowania podmiotu kluczowego z przepisami KSC. W przypadku niewykonania nakazów lub decyzji, organ właściwy ds. cyberbezpieczeństwa będzie miał możliwość nakładania sankcji na podmioty kluczowe, w tym wstrzymania lub ograniczenia koncesji, zawieszenia działalności lub zakazania wykonywania w nich funkcji zarządczych. Uprzednio takie uprawnienia posiadał organ koncesyjny lub sąd.
System Zarządzania Bezpieczeństwem Informacji
Przypominamy, że najistotniejszą kwestią związaną z nowelizacją KSC jest fakt, że każdy podmiot musi dokonać samooceny, czy prowadzona przez niego działalność kwalifikuje go do kategorii podmiotu ważnego lub podmiotu kluczowego.
Zwiększony poziom cyberbezpieczeństwa ma być realizowany przez wdrożenie systemu zarządzania bezpieczeństwa informacji, co wymaga dokładnego zaplanowania całego procesu i znalezienia lub zbudowania w organizacji kompetencji w tym zakresie. Jednocześnie warto podkreślić, że odpowiedzialność za wdrożenie cyberbezpieczeństwa będzie leżała na całym zarządzie lub wyznaczonym w tym celu członku zarządu. Kary pieniężne za naruszenie przez członków zarządu obowiązków określonych w nowelizacji KSC mogą być wymierzone w wysokości do 300% wynagrodzenia.
Spodziewamy się, że projekt nowelizacji KSC trafi do Sejmu na przełomie marca i kwietnia. Określony w niej aktualnie okres vacatio legis to jeden miesiąc od dnia ogłoszenia. Warto więc już teraz zweryfikować czy Państwa organizacja musi przygotować się na NIS2 i zaplanować poszczególne kroki. Szybkie rozpoczęcie działań pozwoli uniknąć gorączki związanej z wejściem w życie nowych obowiązków oraz zyskać czas na zbudowanie w organizacji odpowiednich kompetencji.
Jeżeli mają Państwo pytania lub potrzebują wsparcia w przygotowaniu się do NIS2, zachęcamy do kontaktu. Nasi specjaliści chętnie udzielą szczegółowych informacji i pomogą Państwu w ustaleniu, czy NIS2 będzie obowiązywał Państwa organizację.
KONTAKT
E: magdalena.patryas@pl.Andersen.com
T: +48 32 731 68 84
M: +48 502 392 419
E: marcin.matyka@pl.Andersen.com
T: +48 22 690 08 60
M: +48 669 768 444
