ZALOGUJ SIĘ KRYTERIA CZŁONKOSTWA Portal

NIS 2 i nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – nowe wymogi regulacyjne

OSTATNIE WPISY:

Restrukturyzacja dewelopera jako sposób odzyskania płynności finansowej i możliwości ukończenia inwestycji 10.12.2024 Jak wywrócić system podatkowy składką zdrowotną? 10.12.2024 Zmiany w prawie dla przedsiębiorców – kluczowe regulacje na 2024 i 2025 rok 10.12.2024 System kaucyjny w branży gastronomicznej – restauracje i bary jako nieoczywiści uczestnicy? 10.12.2024 KSeF powraca – obowiązek z kilkoma odroczeniami. Jakie zmiany przynosi nowa ustawa? 10.12.2024 Czas przypomnieć sobie o ulgach podatkowych! O czym warto pamiętać przy rozliczeniach za 2024 r.? 10.12.2024 Efektywne opodatkowanie, czyli jakie? 08.10.2024 Wydatki na fit-outy mogą być rozliczane proporcjonalnie do czasu trwania umowy najmu – najnowszy wyrok NSA 08.10.2024

10.12.2024

Nowe sektory objęte regulacjami z zakresu cyberbezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeństwa obejmowała dotychczas stosunkowo niewielką liczbę podmiotów z kilku sektorów – energii, transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucję, infrastruktury cyfrowej oraz dostawców wymienionych w ustawie usług cyfrowych.

Sytuacja ta ulegnie jednak istotnej zmianie wraz z uchwaleniem i wejściem w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa („KSC”) implementującej unijną dyrektywę NIS2. Projekt KSC znacznie rozszerza zakres podmiotów zobowiązanych do wdrożenia regulacji, którymi objęte będą całkowicie nowe sektory takie jak ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, przestrzeń kosmiczna, administracja publiczna, chemia, żywność, produkcja, usługi pocztowe, gospodarowanie odpadami i badania naukowe.

Skalę zmian obrazuje liczba podmiotów podlegających pod KSC. Aktualnie zobowiązanych do stosowania przepisów jest około 400 podmiotów, po nowelizacji szacuje się, że będzie ich ponad 38 tysięcy.

Obowiązek dokonania samooceny

Projekt nowelizacji KSC przewiduje obowiązek dokonania przez dany podmiot samooceny w zakresie tego, czy podmiot taki podlega pod wymogi ustawy. Zniknie więc znany z aktualnie obowiązującej ustawy o KSC tryb wyznaczania tzw. operatorów usług kluczowych w ramach decyzji administracyjnej. Tysiące przedsiębiorstw i innych podmiotów, które potencjalnie mogą podlegać pod nową ustawę, będzie więc musiało samodzielnie przeprowadzić analizy podlegania pod nowe przepisy.

Najważniejsze obowiązki

Jednym z najistotniejszych obowiązków, który wymagać będzie od wielu podmiotów dużego wysiłku organizacyjnego w zakresie wdrożenia wielu zmian w organizacji, w tym nowych procesów i procedur wewnętrznych, będzie wymóg posiadania systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi (SZBI). KSC nie definiuje czym jest SZBI, jednak w tym zakresie pomóc może norma ISO 27001 wskazująca, że jest to „zbiór polityk, procedur, wytycznych oraz przydzielonych zasobów oraz aktywności, zarządzanych wspólnie przez organizację w celu ochrony swoich zasobów informacyjnych”. System ten powinien obejmować w szczególności:

systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzania ryzykiem;

odpowiednie środki techniczne i organizacyjne;

gromadzenie informacji o cyberzagrożeniach i podatnościach na incydenty;

zarządzanie incydentami;

stosowanie środków zapobiegających i ograniczających wpływ incydentów.

Obowiązek posiadania odpowiedniej dokumentacji

Zgodnie z art. 10 KSC przedsiębiorstwo powinno opracować, stosować i aktualizować dokumentację dotyczącą bezpieczeństwa systemu informatycznego wykorzystywanego w procesie świadczenia usługi. Dokumentacja ta może mieć formę elektroniczną lub papierową. Należy zapewnić nadzór nad dokumentacją oraz przechowywać ją przez co najmniej 2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi (termin liczony od 1 stycznia kolejnego roku).

Wielkość przedsiębiorstwa jako kluczowa przesłanka zobowiązująca do stosowania KSC

Do stosowania ustawy o krajowym systemie cyberbezpieczeństwa (po nowelizacji) zobowiązane będą podmioty kluczowe i podmioty ważne. Zasadniczo, lecz z pewnymi wyjątkami, dopiero średnie przedsiębiorstwa zobowiązane będą do wdrożenia wymagań nowelizowanej ustawy jako podmioty ważne, a podmioty przekraczające te progi jako podmioty kluczowe. Za średnie przedsiębiorstwo uznaje się przedsiębiorstwo, które zatrudnia co najmniej 50 osób oraz którego roczny obrót i/lub roczna suma bilansowa przekracza 10 mln euro, lecz które zatrudnia mniej niż 250 osób i którego roczny obrót nie przekracza 50 milionów euro, lub roczna suma bilansowa nie przekracza 43 milionów euro[1].

Co bardzo istotne, należy pamiętać o możliwym obowiązku uwzględnienia przedsiębiorstw partnerskich lub powiązanych w wyliczeniach. Najprostszą sytuację mają przedsiębiorstwa samodzielne – biorą one pod uwagę jedynie własne dane. W przypadku występowania przedsiębiorstw partnerskich lub powiązanych do danych własnego przedsiębiorstwa konieczne może okazać się doliczenie odpowiedniej liczby zatrudnionych i obrotu lub sumy bilansowej. Stosunek powiązania lub partnerstwa rozciągany jest szeroko i może sięgać daleko, nawet poza grupę kapitałową przedsiębiorstwa w rozumieniu polskich przepisów prawa. Dla przykładu poziomu skomplikowania tej analizy – pod uwagę brane powinny być np. przedsiębiorstwa powiązane przedsiębiorstw powiązanych i partnerskich, czy też przedsiębiorstwa partnerskie przedsiębiorstw powiązanych.

Dodatkowo, na potrzeby kwalifikacji przedsiębiorstw w grupach spółek, w najnowszej wersji projektu ustawy wprowadzone zostały dwie dodatkowe przesłanki – powiązania systemów informacyjnych w spółkach z grupy badanych podmiotów lub wspólnego świadczenia usług przez te spółki.

Pozostałe przypadki

Niezależnie od swojej wielkości, za podmioty kluczowe będą uznani m.in. dostawcy usług DNS czy też podmioty publiczne. Przedsiębiorstwa mogą zostać uznane za podmioty kluczowe lub ważne także na podstawie decyzji właściwego organu ds. cyberbezpieczeństwa.

Wysokie kary administracyjne i odpowiedzialność zarządów

Projekt nowelizacji ustawy o KSC przewiduje znacznie wyższe niż dotychczas kary administracyjne za niestosowanie przepisów ustawy. Sam katalog kar jest bardzo szczegółowy, a maksymalne kary mogą wynieść nawet do 10 mln euro lub 2% przychodów za poprzedni rok obrotowy (dla podmiotów kluczowych) oraz do 7 mln euro lub 1,4% przychodów za poprzedni rok obrotowy (dla podmiotów ważnych).

Ponadto, projekt przewiduje również możliwość nakładania indywidualnych kar administracyjnych bezpośrednio na kierowników (tj. np. członków zarządu w spółce z ograniczoną odpowiedzialnością i spółce akcyjnej) w przypadku niewdrożenia lub nieprawidłowego wdrożenia w spółce poszczególnych wymogów ustawy. Kary wynosić mogą nawet do 600% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. Co istotne, odpowiedzialność spoczywa na wszystkich członkach zarządu nawet pomimo wyznaczenia osoby odpowiedzialnej za obszar bezpieczeństwa (w tym np. zewnętrznego dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa).

Jak podejść do wdrożenia nowych przepisów?

Pierwszym krokiem, niezbędnym do wykonania w kontekście nowych przepisów jest dokonanie wspomnianej samooceny w zakresie podlegania pod nowe regulacje. Ustawa zawiera przy tym dość szczegółowe (i niekiedy niejasne) kryteria, które implikują obowiązek jej stosowania. Warto więc podejść do tego procesu z dużą starannością i zarezerwować sobie odpowiedni czas na jego wykonanie. Nowe przepisy z pewnością wymuszą też modyfikację podejścia do poszczególnych procesów w organizacji – np. zawierania umów z dostawcami, procesów mających na celu zapewnienie bezpieczeństwa informacji, ale też np. procesów zakupowych, z uwagi na rygorystyczne wymogi w zakresie zarządzania cyberbezpieczeństwem w całym łańcuchu dostaw, co z pewnością wpłynie na konieczność renegocjacji poszczególnych umów z dostawcami IT. Nowe, zmodyfikowane podejście do poszczególnych procesów w organizacji będzie musiało także znaleźć odzwierciedlenie w odpowiednich procedurach wewnętrznych, a więc w wielu przypadkach i one będą wymagać  przeglądu i aktualizacji.

 ***

Autor: Piotr Filipowski, Managing Associate w kancelarii WKB Lawyers, koordynator Zespołu Nowych Technologii i Cyberbezpieczeństwa

Kontakt: +48 609 206 700, piotr.filipowski@wkb.pl

Specjalizuje się w zagadnieniach w zakresie prawa nowych technologii, ze szczególnym uwzględnieniem kwestii cyberbezpieczeństwa, wdrożeń technologii chmurowych, kontraktów IT, a także regulacjach sektora finansowego i prawie bankowym. Autor publikacji z zakresu nowych technologii, outsourcingu technologicznego w sektorze bankowym, rozporządzenia DORA, jak również dyrektywy NIS2.

W WKB Lawyers odpowiada za prowadzenie projektów prawnych, obejmujących m. in.: wdrożenia technologii chmury obliczeniowej, opracowywanie i negocjacje kontraktów IT, doradztwo regulacyjne w zakresie wdrożeń usług i produktów opartych o technologie, doradztwo w zakresie zagadnień związanych z cyberbezpieczeństwem (KSCU, dyrektywa NIS i NIS 2, DORA). Zajmuje się także doradztwem regulacyjnym w zakresie nowych technologii dla najbardziej wrażliwych sektorów gospodarki, w tym dla rynku energetycznego, finansowego, jak również dostawców IT w zakresie aspektów regulacyjnych wykorzystania nowych technologii.

[1] Art. 2 załącznika I do rozporządzenia 651/2014.

COPYRIGHTS BCC
CREATED BY 2SIDES.PL