Pod koniec stycznia Sejm RP uchwalił zmianę ustawy o krajowym systemie cyberbezpieczeństwa (KSC), jednocześnie nadrabiając obowiązek implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r., potocznie znanej jako NIS2. Regulacja wprowadza istotne zmiany w zakresie odpowiedzialności za bezpieczeństwo systemów informatycznych w przedsiębiorstwach i znacząco rozszerza krąg podmiotów objętych obowiązkami. Nowością jest podział przedsiębiorców będących dostawcami usług cyfrowych na podmioty kluczowe i ważne, nakładający na nich często nowe obowiązki organizacyjne i zarządcze. Cyberbezpieczeństwo staje się więc nie tylko kwestią technologiczną, ale także elementem odpowiedzialności zarządu i kadry kierowniczej.

Nowelizacja ustawy o KSC wprowadza okresy przejściowe, które zapewniają podmiotom kluczowym oraz ważnym dodatkowy czas na wdrożenie wymaganych rozwiązań:

- na dostosowanie się do obowiązków wynikających z nowych regulacji przewidziano 12 miesięcy od dnia wejścia w życie nowelizacji, czyli do 3 kwietnia 2027 r.,

- podmioty kluczowe są zobowiązane do przeprowadzenia pierwszego audytu bezpieczeństwa w terminie 24 miesięcy od wejścia w życie przepisów, tj. do 3 kwietnia 2028 r.

Implementacja dyrektywy NIS2

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa stanowi implementację dyrektywy NIS2. Jej celem jest wzmocnienie poziomu cyberbezpieczeństwa w państwach członkowskich poprzez ujednolicenie minimalnych standardów ochrony systemów informacyjnych w sektorach, które mają strategiczne znaczenie dla funkcjonowania gospodarki i państwa. Regulacja ta stanowi podstawowy akt prawny określający zasady funkcjonowania systemu reagowania na incydenty bezpieczeństwa komputerowego oraz obowiązki podmiotów publicznych i prywatnych w zakresie ochrony systemów informatycznych.

Klasyfikacja podmiotów

Jedną z najważniejszych zmian wprowadzonych przez nowelizację jest odejście od dotychczasowej kategorii operatorów usług kluczowych i zastąpienie jej nowym podziałem na podmioty kluczowe oraz podmioty ważne. Podmioty kluczowe obejmują organizacje działające w sektorach uznanych za krytyczne dla funkcjonowania państwa i gospodarki, takich jak m.in. energetyka, transport, bankowość, infrastruktura cyfrowa czy dostarczanie wody. Z kolei podmioty ważne to przedsiębiorstwa funkcjonujące w sektorach o istotnym znaczeniu gospodarczym, które również mogą wpływać na stabilność funkcjonowania infrastruktury cyfrowej i gospodarki – będą to m.in. firmy świadczące usługi kurierskie oraz operatorzy pocztowi, przedsiębiorstwa zajmujące się gospodarką odpadami, przedsiębiorstwa zajmujące się produkcją, przetwarzaniem i dystrybucją żywności oraz przedsiębiorstwa produkujące chemikalia. Istotną zmianą jest także odejście od podejścia czysto podmiotowego na rzecz podejścia sektorowego. W praktyce oznacza to, że regulacje obejmują całe sektory gospodarki uznane za istotne dla funkcjonowania państwa, a nie wyłącznie wybrane, indywidualnie wskazane przedsiębiorstwa. Nowe podmioty, które pojawiły się w krajowym systemie cyberbezpieczeństwa, reprezentują m.in. takie sektory, jak usługi pocztowe, gospodarowanie odpadami, zarządzanie usługami ICT (technologiami informacyjno-komunikacyjnymi), oraz wybrane gałęzie przemysłu produkcyjnego (w tym chemicznego, spożywczego, wyrobów medycznych oraz komputerów i elektroniki). Dodatkowo rozszerzono katalog podmiotów działających w podsektorach obszarów rynku już wcześniej objętych ustawą o krajowym systemie cyberbezpieczeństwa. Przykładowo w sektorze energetycznym regulacje obejmą operatorów infrastruktury ładowania pojazdów elektrycznych, natomiast w sektorze infrastruktury cyfrowej – dostawców usług chmury obliczeniowej, którzy wcześniej byli klasyfikowani jako dostawcy usług cyfrowych. W rezultacie liczba podmiotów objętych regulacją znacząco wzrośnie, co dla wielu przedsiębiorstw będzie pierwszym zetknięciem z tak rozbudowanym reżimem regulacyjnym w obszarze cyberbezpieczeństwa i nowymi obowiązkami w tym zakresie.

Obowiązki organizacyjne i zarządcze

Nowelizacja ustawy wprowadza również szereg obowiązków dotyczących zarządzania ryzykiem cyberbezpieczeństwa. Podmioty kluczowe i ważne będą zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa systemów informacyjnych.

Do podstawowych obowiązków należeć będzie w szczególności:

- identyfikacja i zarządzanie ryzykami w obszarze cyberbezpieczeństwa,

- wdrożenie procedur reagowania na incydenty bezpieczeństwa,

- zapewnienie ciągłości działania systemów informatycznych,

- zarządzanie bezpieczeństwem w łańcuchu dostaw IT,

- monitorowanie zagrożeń oraz prowadzenie analiz incydentów.

Szczególnie istotnym elementem nowych regulacji są obowiązki związane z raportowaniem incydentów bezpieczeństwa, czyli zdarzeń mających rzeczywisty lub potencjalny negatywny wpływ na bezpieczeństwo systemów informacyjnych, w szczególności na poufność, integralność, dostępność lub autentyczność przetwarzanych danych albo świadczonych usług, np. atak hakerski lub wyciek danych. Podmioty objęte ustawą będą zobowiązane do zgłaszania poważnych incydentów do właściwego zespołu reagowania na incydenty bezpieczeństwa komputerowego (Computer Security Incident Response Team – CSIRT). Zgłoszenie będzie odbywało się w kilku etapach – wstępne powiadomienie, tzw. wczesne ostrzeżenie, powinno nastąpić nie później niż w ciągu 24 godzin od wykrycia incydentu, natomiast szczegółowy raport powinien zostać przekazany w terminie 72 godzin. Nowe przepisy wprowadzają również obowiązek rejestracji podmiotów objętych regulacją w odpowiednim wykazie oraz utrzymywania stałej komunikacji z właściwymi organami nadzoru.

Wzmocnienie odpowiedzialności

Istotnym elementem nowych regulacji jest wzmocnienie odpowiedzialności kierownictwa organizacji za zapewnienie odpowiedniego poziomu cyberbezpieczeństwa. Dyrektywa NIS2 oraz implementujące ją przepisy krajowe zakładają, że zarządy przedsiębiorstw powinny aktywnie nadzorować system zarządzania bezpieczeństwem informacji. W praktyce oznacza to konieczność zapewnienia odpowiednich zasobów organizacyjnych i finansowych na działania związane z cyberbezpieczeństwem oraz monitorowania skuteczności wdrożonych mechanizmów ochrony systemów informatycznych. W wielu organizacjach będzie to oznaczało konieczność włączenia zagadnień cyberbezpieczeństwa do regularnych procesów zarządczych, w tym do systemu zarządzania ryzykiem korporacyjnym.

Surowe sankcje

Nowelizacja ustawy przewiduje również znaczące zaostrzenie sankcji za naruszenie obowiązków w zakresie cyberbezpieczeństwa. W przypadku podmiotów kluczowych kara administracyjna może wynieść maksymalnie 10 milionów euro lub 2 proc. przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa (dla podmiotów ważnych jest to odpowiednio 7 milionów euro i 1,4 proc.). Co istotne, sankcje mogą dotyczyć nie tylko samego przedsiębiorstwa, lecz także osób pełniących funkcje kierownicze odpowiedzialne za nadzór nad cyberbezpieczeństwem. W niektórych przypadkach członkowie zarządu mogą zostać ukarani grzywną sięgającą nawet kilkakrotności ich miesięcznego wynagrodzenia.

Nowe wyzwanie

Nowelizacja ustawy o KSC znacząco zmienia sposób postrzegania cyberbezpieczeństwa w organizacjach. O ile dotychczas było ono często traktowane jako zagadnienie techniczne pozostające w kompetencji działów IT, o tyle nowe przepisy wyraźnie wskazują na odpowiedzialność kierownictwa przedsiębiorstw za zapewnienie odpowiedniego poziomu bezpieczeństwa systemów informatycznych. Dla wielu organizacji oznacza to konieczność przeprowadzenia audytu istniejących procedur bezpieczeństwa oraz dostosowania systemów zarządzania ryzykiem do nowych wymogów regulacyjnych. Cyberbezpieczeństwo staje się tym samym jednym z kluczowych elementów zarządzania organizacją – obok zarządzania finansami, zgodności regulacyjnej czy ochrony danych. W realiach gospodarki cyfrowej odpowiedzialność za bezpieczeństwo systemów informatycznych staje się bowiem integralnym elementem odpowiedzialnego zarządzania przedsiębiorstwem.

Aleksandra Wawszczak -  Rubicon Kancelaria Radców Prawnych i Adwokatów Wacht, Kijek sp.k.