Rada Ministrów przyjęła projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, dostosowujący polskie prawo do unijnej dyrektywy NIS2. Nowe przepisy to prawdziwa rewolucja – drastycznie rozszerzają listę firm objętych regulacjami, nakładają na nie szereg nowych obowiązków i wprowadzają gigantyczne kary finansowe za zaniedbania.
Oficjalnie celem zmian jest zwiększenie odporności państwa na „rosnące zagrożenia cyfrowe”. Eksperci szacują, że nowe prawo obejmie nawet kilkanaście tysięcy polskich firm, które do tej pory nie podlegały tym regulacjom.
Kogo obejmą nowe przepisy?
Nowelizacja zastępuje dotychczasowy podział na operatorów usług kluczowych nową klasyfikacją: podmioty kluczowe i podmioty ważne. Katalog sektorów objętych nadzorem zostaje radykalnie rozszerzony.
Dołączą do niego firmy z branż takich jak odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna, zarządzanie ICT, a także produkcja i dystrybucja chemikaliów oraz żywności.
Więcej obowiązków dla przedsiębiorstw
Firmy zakwalifikowane do nowego systemu będą musiały wdrożyć kompleksowe środki zarządzania ryzykiem. Dyrektywa NIS2 odchodzi od sztywnych wymogów na rzecz podejścia opartego na analizie ryzyka. W praktyce oznacza to, że każda firma będzie musiała sama przeanalizować zagrożenia i dopasować do nich swoje zabezpieczenia.
Obowiązki te obejmują m.in. stworzenie systemu zarządzania bezpieczeństwem informacji, regularną ocenę ryzyka, zbieranie informacji o zagrożeniach oraz przeprowadzanie audytów bezpieczeństwa i szkoleń dla pracowników.
Kluczową zmianą jest obowiązek natychmiastowego raportowania poważnych incydentów. Firmy będą musiały zgłosić incydent do odpowiedniego zespołu CSIRT w ciągu 24 godzin od jego wykrycia, a pełny raport złożyć w ciągu 72 godzin. Konieczne będzie także wyznaczenie w firmie kierownika odpowiedzialnego za cyberbezpieczeństwo.
Gigantyczne kary i osobista odpowiedzialność
Nowelizacja wprowadza surowe sankcje za nieprzestrzeganie przepisów. Za brak wdrożenia systemu zarządzania bezpieczeństwem lub brak rejestracji w nowym wykazie podmiotów grozić będą kary pieniężne.
Zgodnie z dyrektywą NIS2, mogą one sięgać nawet 10 milionów euro lub 2 procent globalnego rocznego obrotu przedsiębiorstwa. Co istotne, projekt przewiduje również osobistą odpowiedzialność kierowników podmiotów za niewywiązanie się z obowiązków.
Nowe uprawnienia państwa i „dostawcy wysokiego ryzyka”
Rząd znacząco wzmacnia też swoje kompetencje. Minister cyfryzacji zyska prawo do wydawania tzw. poleceń zabezpieczających, które mają ograniczyć skutki trwającego ataku.
Najważniejszą nowością jest jednak procedura uznania dostawcy za „dostawcę wysokiego ryzyka”. Pozwoli to ministrowi, po przeprowadzeniu postępowania, na wyeliminowanie niebezpiecznego sprzętu i oprogramowania z kluczowych systemów państwa. Podmioty, które już korzystają z technologii takiego dostawcy, będą miały siedem lat na jej wycofanie.
Projekt nowelizacji trafi teraz do Sejmu.
