Przyjęta przez Senat nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca dyrektywę NIS2, znacząco zmienia krajobraz regulacyjny dla przedsiębiorców działających w kluczowych i wrażliwych sektorach gospodarki. Nowe przepisy nie tylko rozszerzają katalog podmiotów objętych reżimem cyberbezpieczeństwa, ale również wprost przypisują odpowiedzialność za jego realizację kadrze zarządzającej. To wyraźny sygnał, iż cyberbezpieczeństwo przestaje być wyłącznie domeną działów IT, a staje się elementem ładu korporacyjnego i zarządzania ryzykiem.
Kogo obejmą nowe obowiązki?
Nowelizacja ustawy o KSC wprowadza podział na podmioty najważniejsze i podmioty ważne, obejmując nim m.in. sektor energetyczny, transportowy, finansowy, wodno-kanalizacyjny, zdrowotny, a także nowe obszary, takie jak produkcja i dystrybucja żywności, chemikaliów, usługi pocztowe, gospodarka ściekowa czy przestrzeń kosmiczna. W praktyce oznacza to, iż wiele firm, które dotychczas nie identyfikowały się jako podmioty infrastruktury krytycznej, zostanie objętych nowymi, rygorystycznymi wymogami.
– „Dla wielu przedsiębiorców najważniejsze będzie uświadomienie sobie, iż nowe przepisy mogą ich dotyczyć niezależnie od skali działalności. Kryterium nie jest wielkość firmy, ale znaczenie świadczonych usług dla bezpieczeństwa i ciągłości funkcjonowania państwa” – podkreśla Adwokat Anna Kobylińska, Właścicielka Kancelarii Adwokackiej Legal Eagles.
Cyberbezpieczeństwo jako odpowiedzialność zarządu
Jedną z najistotniejszych zmian wprowadzanych przez dyrektywę NIS2 i nowelizację KSC jest wyraźne powiązanie obowiązków z zakresu cyberbezpieczeństwa z odpowiedzialnością osób zarządzających. Kierownicy podmiotów kluczowych i ważnych będą zobowiązani do zapewnienia wdrożenia odpowiednich środków technicznych i organizacyjnych, nadzoru nad ich stosowaniem oraz reagowania na incydenty.
– „Nowe regulacje przenoszą cyberbezpieczeństwo na poziom decyzji zarządczych. Brak procedur, audytów czy szkoleń pracowników nie będzie już postrzegany jako problem techniczny, ale jako zaniechanie w zakresie należytej staranności menedżerskiej” – wskazuje Adwokat Anna Kobylińska.
Nowe kompetencje organów i realne sankcje
Nowelizacja wzmacnia kompetencje organów odpowiedzialnych za cyberbezpieczeństwo, w tym Ministra Cyfryzacji, Pełnomocnika Rządu ds. Cyberbezpieczeństwa oraz sektorowych organów nadzorczych. Organy te będą mogły m.in. wydawać wiążące polecenia zabezpieczające, nakazywać audyty bezpieczeństwa oraz wyznaczać urzędników monitorujących wykonywanie obowiązków przez podmioty objęte ustawą.
Ustawa przewiduje również dotkliwe kary finansowe – do 10 mln euro lub 2 proc. rocznego przychodu w przypadku podmiotów kluczowych oraz do 7 mln euro lub 1,4 proc. przychodu dla podmiotów ważnych. Dodatkowo możliwe są kary okresowe za każdy dzień niewykonania nakazów organów cyberbezpieczeństwa.
Dostawcy wysokiego ryzyka i konsekwencje dla łańcucha dostaw
Nowe przepisy wprowadzają procedurę uznania dostawcy za dostawcę wysokiego ryzyka, co może skutkować obowiązkiem wycofania jego produktów lub usług z kluczowych systemów w perspektywie kilku lat. Ma to istotne znaczenie dla firm korzystających z infrastruktury teleinformatycznej, w szczególności w sektorach regulowanych.
– „Przedsiębiorcy powinni już teraz analizować swoje łańcuchy dostaw pod kątem ryzyk regulacyjnych. Decyzja administracyjna dotycząca dostawcy może mieć długofalowe skutki operacyjne i finansowe” – zaznacza Adwokat Anna Kobylińska.
Co powinien zrobić biznes już teraz?
Choć ustawa oczekuje jeszcze na podpis Prezydenta RP, przedsiębiorcy nie powinni odkładać działań. najważniejsze będzie zidentyfikowanie statusu podmiotu na gruncie KSC, przeprowadzenie analizy ryzyk cyberbezpieczeństwa, przegląd procedur wewnętrznych oraz przygotowanie organizacji na nowe obowiązki raportowe i kontrolne.
Nowelizacja KSC jasno pokazuje, iż cyberbezpieczeństwo stało się jednym z filarów bezpieczeństwa prawnego i operacyjnego biznesu w Polsce.
Patrycja Kruszewska
