NIS 2 i Krajowy System Cyberbezpieczeństwa – czy firmy w Polsce są gotowe?

28 października, 2024
nis2 dyrektywa

Termin implementacji przepisów wynikających z dyrektywy NIS 2 – 17 października 2024 roku – niedawno minął. Dokument ten zmienia standardy w zakresie cyberbezpieczeństwa dla przedsiębiorstw działających na terenie UE. Zobowiązuje on firmy do zabezpieczania łańcuchów dostaw oraz rozszerza ich obowiązki w zakresie analizy ryzyka i reagowania na cyfrowe incydenty. Nie wszystkie państwa członkowskie były jednak w stanie sprostać postawionemu przez Komisję Europejską terminowi wprowadzenia reguł dyrektywy do lokalnego ustawodawstwa. Wśród nich jest Hiszpania, Portugalia oraz Polska.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) przeszła przez proces konsultacji społecznych, w trakcie których zgłoszono 1567 uwag.

W ustawie o KSC znalazło się kilka odważnych propozycji zaostrzenia przepisów w zakresie cyfrowej ochrony. Akt zakłada m.in. przeprowadzanie w firmach szczegółowych audytów bezpieczeństwa systemów informatycznych. Równocześnie jednak wiele przedsiębiorstw nie zdaje sobie sprawy, że będą je obowiązywały nowe przepisy. Jak wykazało przeprowadzone na zlecenie Fortinet badanie, ponad połowa firm w Polsce, których będzie to dotyczyć, nie wie, że będzie podlegać pod NIS 2, a w efekcie również pod nowelizację KSC.


Kłopotliwa konieczność

Jedną z najszerzej omawianych kwestii w czasie konsultacji społecznych był obowiązek przeprowadzania audytów przez przedsiębiorstwa objęte KSC. Miałoby się to odbywać co dwa lata, na koszt danej firmy, która następnie zdawałaby sprawozdanie właściwemu organowi kontrolnemu. W czasie konsultacji społecznych przedsiębiorcy usiłowali doprowadzić do ograniczenia zakresu audytów bezpieczeństwa. Ostatecznie zmianom uległy jednak tylko powiązane z nimi ramy czasowe. Ustawa o KSC w obecnej postaci nakłada na firmy obowiązek przeprowadzania audytów raz na trzy lata. Zmienił się także termin wykonania pierwszej tego typu kontroli bezpieczeństwa. Początkowo miało to mieć miejsce 12 miesięcy po uchwaleniu ustawy, ale wersja po konsultacjach społecznych wydłuża ten termin do dwóch lat. Przyjęcie tych modyfikacji nie oznacza jednak zakończenia dyskusji wokół audytów bezpieczeństwa.

Tylko koszty? NIS 2 i KSC oczami firm

Problemem w kontekście NIS 2 oraz KSC pozostaje też brak świadomości firm co do ich precyzyjnych zapisów oraz ogólnej zmiany status quo.

Nowelizacja ustawyKSC, podobnie jak unijna dyrektywa, przewiduje sytuację, w której podmiot nie spełnia postawionych w niej warunków. Na takie przedsiębiorstwo nałożone mogą zostać wysokie kary finansowe. Warto nadmienić, że nawet te firmy, które wiedzą o nadchodzących zmianach w przepisach, nie są w pełni świadome konsekwencji wynikających z braku zgodności z nimi. Jak ukazało badanie Fortinet, blisko 30 proc. przedsiębiorstw nie wie, jakie kary grożą im z tytułu nieprzystosowania się do NIS 2.

W polskim projekcie ustawy – w fazie sprzed konsultacji społecznych – przyjęto grzywny w wysokości zaproponowanej w dyrektywie NIS 2. Według tych zapisów podmiot niespełniający unijnych standardów cyberbezpieczeństwa zostałby dotknięty karą w wysokości nawet 10 milionów euro lub kwoty odpowiadającej 2 procentom jego światowych obrotów. Projekt ustawy o KSC z października 2024 roku przewiduje zmiany w tej kwestii. W jego myśl, wysokość kary pieniężnej ma być zależna od szeregu kryteriów, w tym rodzaju i skali przypadku naruszenia bezpieczeństwa, czasu jego trwania, ale także możliwości finansowych podmiotu oraz poziomu jego współpracy z organami nadzoru.

Ostateczna postać nowelizacji ustawy o KSC wciąż może się zmienić. Ministerstwo Cyfryzacji przewiduje jednak, że do końca 2024 roku projekt zostanie przyjęty przez Radę Ministrów, a następnie skierowany do parlamentu. Przyjęcie ustawy ma nastąpić w 2025 roku.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]