Jak przygotować organizację na nadchodzącą ustawę o krajowym systemie cyberbezpieczeństwa?
Wdrożenie dyrektywy NIS2 w Polsce wkracza w decydujący etap. Rada Ministrów przyjęła ostateczny projekt ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), która zaimplementuje europejskie przepisy do polskiego prawa.
Dyrektywa NIS2, a w konsekwencji UKSC, ma zwiększyć odporność cyfrową państwa i przedsiębiorstw wobec rosnących zagrożeń w cyberprzestrzeni. Stąd szeroki zakres podmiotów objętych ustawą i wynikającymi z niej obowiązkami.
Nowe przepisy wejdą w życie już po upływie miesiąca od ich ogłoszeniaw Dzienniku Ustaw i wiele wskazuje na to, że zaczną obowiązywać jeszcze w 2025 r.
Kogo dotyczy ustawa o krajowym systemie cyberbezpieczeństwa?
Do branż, wobec których stosuje się UKSC, zaliczamy m. in.:
- automotive / motoryzacyjną,
- IT, w tym usługi ICT,
- produkcyjną,
- medyczną oraz ochrony zdrowia,
- transportową,
- bankowość i finanse,
- przedsiębiorców prowadzących marketplace,
- usług użyteczności publicznej (m.in. gospodarowanie ściekami i odpadami, administracja publiczna).
Podmioty ważne i kluczowe
Zakres obowiązków, jakie obejmą przedsiębiorstwo zależy od tego, do której grupy podmiotów będzie ono przypisane - podmiotów ważnych lub kluczowych. Przy klasyfikacji do grup będą w szczególności brane pod uwagę branża w której podmiot prowadzi działalność, liczba pracowników oraz dane finansowe (roczny obrót lub suma bilansowa), a także powiązania kapitałowe (w szczególności działalność w grupie kapitałowej).
Podmiotami kluczowymi będą duże przedsiębiorstwa (zatrudnienie na poziomie minimum 250 pracowników i roczny obrót ponad 50 mln euro lub suma bilansowa ponad 43 mln euro). Podmioty ważne to firmy zatrudniające minimum 50 osób, których roczny obrót lub suma bilansowa przekracza 10 mln euro.
Nowe obowiązki w obszarze cyberbezpieczeństwa
UKSC nakłada na przedsiębiorstwa szereg obowiązków, w tym m. in. opracowanie i wdrożenie w organizacji:
- Systemu Zarządzania Bezpieczeństwem Informacji,
- procedury reagowania na incydenty,
- oceny ryzyka w łańcuchu dostaw,
- systemu raportowania incydentów,
- systemu szkolenia pracowników,
- cyklicznych audytów cyberbezpieczeństwa.
Kary za niewdrożenie obowiązków z UKSC
Niedopełnienie obowiązków, które wynikają z ustawy o krajowym systemie cyberbezpieczeństwa, może skutkować nałożeniem kar przez organy nadzorcze - zarówno na przedsiębiorstwo, jak i osoby sprawujące funkcje kierownicze (np. zarząd). Projekt przewiduje kary finansowe:
- do 10 mln euro lub do 2% przychodów osiągniętych w roku poprzedzającym rok nałożenia kary (w szczególnych przypadkach kara może wynieść nawet 100 mln złotych);
- do 300% wynagrodzenia lub zakaz zajmowania stanowiska w przypadku kierownika podmiotu ważnego (np. członka zarządu).
Jak przygotować się do wdrożenia przepisów ustawy o krajowym systemie cyberbezpieczeństwa?
Już wkrótce przegląd, a w razie potrzeby aktualizacja systemu zarządzania cyberbezpieczeństwem w organizacji, staną się obowiązkiem dla wielu przedsiębiorców. To zatem dobry moment, aby ustalić czy firma będzie podlegać przepisom UKSC. Jeśli tak – warto rozpocząć przygotowania do właściwego wdrożenia ustawy oraz zaplanować niezbędne działania.
W razie potrzeby zachęcamy do kontaktu naszymi ekspertami, którzy wesprą Państwa na każdym etapie wdrażania obowiązków wynikających z UKSC i NIS 2 w organizacji.
