Cyberbezpieczeństwo podstawą nowoczesnej gospodarki - nowe obowiązki dla rozszerzonego grona podmiotów – Capital Legis
  • Capital Legis/
  • Aktualności/
  • Cyberbezpieczeństwo podstawą nowoczesnej gospodarki – nowe obowiązki dla rozszerzonego grona podmiotów/

03.11.2024 News   |   Publikacje    |   Regulacje prawne

Cyberbezpieczeństwo podstawą nowoczesnej gospodarki – nowe obowiązki dla rozszerzonego grona podmiotów

Udostępnij:

Wprowadzenie 

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („Ustawa o KSC”) ma za zadanie wdrożenie do polskiego porządku prawnego dyrektywy NIS 2 (Network and Information Systems Directive 2, tj. Dyrektywy dotyczącej bezpieczeństwa sieci i informacji, „NIS 2”), na której implementację do krajowych porządków prawnych państwa członkowskie miały czas do 17 października 2024 r. (Polska nie dopełniła tego terminu – projekt ustawy jest na dzień 04.11.2024 r. na etapie prac rządowych).  

Pomimo poprawy poziomu cyberbezpieczeństwa w UE po wprowadzeniu NIS w 2016 r., transformacja cyfrowa nadal przyspieszała, w szczególności w obliczu pandemii Covid-19, a organy odpowiedzialne za cyberbezpieczeństwo reagowały na to w sposób nieadekwatny i niezapewniający odpowiedniego poziomu  bezpieczeństwa. Ponadto pomiędzy krajami członkowskimi pojawiły się rozbieżności interpretacyjne, w wyniku czego zakres podmiotowy i przedmiotowy przepisów wdrażających NIS w krajach członkowskich różnił się zasadniczo. W odpowiedzi na te nieprawidłowości oraz rosnącą liczbę cyberataków przyjęto Dyrektywę NIS 2, która uchyliła dotychczas obowiązujący akt prawny, tj. dyrektywę NIS z 2016 roku. 

Wprowadzenie nowych przepisów ma za zadanie przede wszystkim zabezpieczenie infrastruktury krytycznej na której opiera się funkcjonowanie państwa i kluczowe sektory gospodarki (systemy dystrybucji energii, wody pitnej, służba zdrowia, instytucje finansowe, bankowość i inne). Z tych powodów nowymi obowiązkami objęte zostaną zarówno przedsiębiorstwa prywatne jak i administracja publiczna.  

Kluczowe zmiany 

Dyrektywa NIS 2:

  • precyzuje bądź redefiniuje kompetencje organów UE w obszarze cyberbezpieczeństwa, 
  • rozszerza krąg podmiotów objętych obowiązkami (dzieląc je na podmioty kluczowe i ważne) i katalog obowiązków, którym powinny one sprostać, w tym rygorystyczne przepisy w obszarze zarządzania ryzykiem i raportowania incydentów,
  • wprowadza procedurę uznania dostawcy za dostawcę wysokiego ryzyka („DWR”) i związane z tym obowiązki, 
  • wprowadza obowiązek przeprowadzania co dwa lata audytów bezpieczeństwa systemu informacyjnego wraz z obowiązkiem przedstawienia sprawozdania.

W ślad za NIS 2, polski projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa rozszerza zakres podmiotowy oraz katalog obowiązków, które powinny być spełnione przez podmioty objęte nowymi przepisami, wprowadza obowiązek badania tych podmiotów na podstawie sprawozdań finansowych a także wprowadza nowe struktury ds. wykonywania zadań z zakresu cyberbezpieczeństwa oraz nowe kanały komunikacji. W Ustawie o KSC zmodyfikowano definicje dostawców chmury obliczeniowej, dostawców usług zarządzanych w zakresie cyberbezpieczeństwa oraz internetowych platform handlowych. Wydłużono termin przeprowadzania audytów dla podmiotów kluczowych z 2 do 3 lat, a czas na wykonanie pierwszego audytu z 12 do 24 miesięcy. Wydłużono także termin realizacji podstawowych obowiązków wynikających z Ustawy o KSC z 6 do 12 miesięcy oraz z 12 na 24 godziny wydłużono termin dla przedsiębiorstw komunikacyjnych na zgłoszenie wczesnych ostrzeżeń o zagrożeniach. Zwiększono bezpieczeństwo sieci 5G poprzez zaplanowanie wdrożenia Toolbox 5G, harmonizującego zasady cyberbezpieczeństwa sieci 5G na poziomie UE a także bezpieczeństwa łańcucha dostaw, gdyż nowe przepisy będą dotyczyć wyłącznie bezpośrednich dostawców.  

Rozszerzony katalog branż

W związku z nowelizacją Ustawy o KSC rozszerzeniu uległa lista sektorów objętych nowymi regulacjami – sektory kluczowe wskazano w Załączniku 1 a sektory ważne w Załączniku 2 do dyrektywy NIS 2. Do sektorów kluczowych zaliczono następujące obszary: energetykę; transport; bankowość; infrastrukturę rynków finansowych; opiekę zdrowotną; zaopatrzenie w wodę pitną; ścieki; infrastrukturę cyfrową;  zarządzanie usługami ICT; podmioty administracji publicznej oraz przestrzeń kosmiczną. 

Sektory ważne w rozumieniu NIS2 to natomiast usługi pocztowe i kurierskie; gospodarka odpadami; produkcja, wytwarzanie i  dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; produkcja (zaliczono do niej np. wyroby medyczne, komputery, urządzenia elektryczne i samochody); dostawcy usług cyfrowych (internetowych platform handlowych, wyszukiwarek, sieci społecznościowych) i badania naukowe.

Zatem nowym przepisom będą podlegać podmioty kluczowe i ważne z ww. sektorów gospodarki, które – dodatkowo – co do zasady są co najmniej średnimi przedsiębiorstwami zgodnie z wymogami określonymi w art. 2 ust. 1 załącznika 1 do rozporządzenia 651/2014/UE  (z paroma wyjątkami wskazanymi w NIS 2). 

Wyznaczenie podmiotów kluczowych i ważnych

Czy Twoja firma zalicza się do grona podmiotów podlegających Dyrektywie NIS 2?

Nowelizacja Ustawy o KSC zastępuje dotychczasowy podział na operatorów kluczowych i dostawców usług cyfrowych podziałem na podmioty kluczowe i ważne. Podmioty kluczowe to podmioty, których zakłócenie działalności spowodowane cyberatakami może powodować poważne konsekwencje społeczno-gospodarcze (w tym administracja publiczna). Zgodnie z projektem Ustawy o KSC podmiotem kluczowym jest:

  • osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej;
  • przedsiębiorca komunikacji elektronicznej, który co najmniej spełnia wymogi dla średniego przedsiębiorcy;
  • dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, który co najmniej spełnia wymogi dla małego albo średniego przedsiębiorcy określone w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE albo je przewyższa;
  • niezależnie od wielkości podmiotu:
    • dostawca usług DNS;
    • kwalifikowany dostawca usług zaufania w rozumieniu art. 3 pkt 20 rozporządzenia nr 910/2014;
    • podmiot krytyczny;
    • podmiot publiczny;
    • podmiot zidentyfikowany jako podmiot kluczowy na podstawie art. 7l ust.2 pkt 1;
    • państwowa osoba prawna zidentyfikowana jako podmiot kluczowy na podstawie art. 7m;
    • podmiot, który nie jest przedsiębiorcą, a jest wskazany w załączniku nr 1 do ustawy z nazwy albo poprzez określenie jego rodzaju;
    • podmiot będący operatorem obiektu energetyki jądrowej, o którym mowa w art. 2 pkt 2 ustawy z dnia 29 czerwca 2011 r. o przygotowaniu i realizacji inwestycji w zakresie obiektów energetyki jądrowej oraz inwestycji towarzyszących (Dz. U. z 2024 r. gpoz.1410);
    • rejestr nazw domen najwyższego poziomu (TLD).

W odróżnieniu od przepisów dyrektywy NIS 2, w projekcie nowelizacji przewidziano, że dostawca usług zarządzanych w zakresie cyberbezpieczeństwa (podmiot typu Security Operations Center, Computer Emerge Response Team itp.) jest podmiotem kluczowym niezależenie od wielkości. Zmianą w stosunku do postanowień tej dyrektywy jest również objęcie przepisami tej ustawy wszystkich podmiotów publicznych, niezależnie od wielkości.

Podmioty ważne natomiast co do zasady to podmioty wskazane w załączniku 1 i 2 nie kwalifikujące się do grupy podmiotów kluczowych. Ponadto zgodnie z dyrektywą NIS 2 są nimi również podmioty wskazane przez państwa członkowskie. W naszym kraju będą to:

  • mikro-, mały lub średni przedsiębiorca w rozumieniu rozporządzenia 651/2014/UE, który jest niekwalifikowanym dostawcą usług zaufania albo przedsiębiorcą komunikacji elektronicznej,
  • podmiot zidentyfikowany jako podmiot ważny przez organ właściwy do spraw cyberbezpieczeństwa.

Obowiązki podmiotów kluczowych i ważnych 

Zgodnie z nowymi regulacjami, takie same obowiązki nałożono na podmioty kluczowe i ważne z zastrzeżeniem, że mają one uwzględniać w pewnym stopniu specyfikę danej organizacji. Obowiązki obejmują:

  • Proporcjonalne środki zarządzania ryzykiem w cyberbezpieczeństwie uwzględniające: 
    • ryzyko,
    • wielkość podmiotu,
    • prawdopodobieństwo wystąpienia incydentów i ich dotkliwość;
  • Zgłaszanie incydentów poważnych do właściwego organu;
  • Obowiązkowe szkolenia dla kadry kierowniczej oraz zalecane dla pracowników;
  • W określonych sytuacjach – powiadamianie odbiorców usług o poważnych incydentach oraz środkach zaradczych;
  • Stosowanie własnych lub nabytych certyfikowanych produktów, usług i procesów ICT; zalecane korzystanie z kwalifikowanych usług zaufania; 
  • Zawiadamianie o uczestnictwie w mechanizmach wymiany informacji.

Zgodnie z NIS 2, najważniejsze obowiązki podmiotów kluczowych i ważnych to wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych, tj. środków zarządzania ryzykiem w cyberbezpieczeństwie oraz zgłaszanie incydentów poważnych. Takie wdrożenie ma na celu zarządzanie ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności gospodarczej a także zapobieganie wpływowi incydentów na odbiorców ich usług bądź minimalizowania takiego wpływu. Środki te mają uwzględniać wszystkie zagrożenia i mają chronić przed incydentami. Przepisy nie przewidują konkretnych środków dla konkretnych grup podmiotów, tylko wymagają żeby wprowadzone w danej organizacji środki zarządzania ryzykiem były:

  • proporcjonalne,
  • uwzględniające stopień narażenia podmiotu na ryzyko,
  • uwzględniające wielkość podmiotu,
  • uwzględniające prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze. 

Organizacja samodzielnie musi dokonać oceny, czy zastosowane u niej środki zarządzania ryzykiem spełniają powyższe wymogi. W razie stwierdzenia niezgodności z wymogami NIS 2, organizacja  będzie zobowiązana do zastosowania środków naprawczych. Dyrektywa NIS 2 w ramach obowiązku wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie zobowiązuje organizacje  do zapewnienia co najmniej:

  • polityki analizy ryzyka i bezpieczeństwa systemów informatycznych;
  • obsługi incydentu;
  • ciągłości działania i zarządzania kryzysowego, np. zarządzania kopiami zapasowymi i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej;
  • bezpieczeństwa łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
  • bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawniania;
  • polityk i procedur służących ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie; 
  • podstawowych praktyk cyberhigieny i szkoleń w zakresie cyberbezpieczeństwa;
  • polityk i procedur stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
  • bezpieczeństwa zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami;
  • w stosownych przypadkach – stosowania uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych. 

Konkludując obowiązki nałożone na podmioty kluczowe i ważne z określonych sektorów są dość rygorystyczne i wymagają dużo czasu na ich prawidłowe wdrożenie w organizacji (choćby z powodu konieczności współpracy specjalistów z wielu dziedzin, np. IT i prawa). Z tego powodu warto jak najszybciej rozpocząć przygotowania do wdrożenia zasad zawartych w NIS 2, aby osiągnąć niezbędne minimum wskazane w dyrektywie, w szczególności, że NIS 2 wprowadza dotkliwe kary i sankcje za nieprzestrzeganie przepisów w obszarze zapewnienia cyberbezpieczeństwa. Kary finansowe mogą sięgać nawet 10 milionów euro lub 2 % rocznego obrotu dla podmiotów kluczowych, a 7 milionów euro lub 1,4 % dla podmiotów ważnych (organizacje mogą zostać obciążone w zależności od stopnia naruszenia i proporcjonalnie do skali zaniedbania). Niezgodność z wymogami NIS 2 może skutkować ponadto kryzysem wizerunkowym, brakiem bezpieczeństwa operacyjnego dla organizacji a nawet zamknięciem działalności. 

Zobacz również

News   |   04.12.2024

Ministerstwo zaproponowało zmiany w L4

Więcej
Ministerstwo zaproponowało zmiany w L4

Księgowość   |   News   |   27.11.2024

Kasowy PIT wchodzi w życie od nowego roku

Więcej
Kasowy PIT wchodzi w życie od nowego roku

Regulacje prawne   |   News   |   20.11.2024

Unijne rozporządzenie dotyczące wylesiania przełożone o rok

Więcej
Unijne rozporządzenie dotyczące wylesiania przełożone o rok

Regulacje prawne   |   News   |   13.11.2024

Doręczenia elektroniczne zaczną obowiązywać z początkiem nowego roku

Więcej
Doręczenia elektroniczne zaczną obowiązywać z początkiem nowego roku

Chcesz być na bieżąco?

Zapisz się do naszego newslettera o prawie i podatkach! Praktyczną wiedzę przesyłamy raz w miesiącu.