W skrócie:

• Ustawa wdraża dyrektywę NIS2 z ponad rocznym opóźnieniem
• Liczba objętych podmiotów rośnie z 400 do ponad 10 tys.
• Kary dla podmiotów kluczowych: do 2 proc. przychodów lub 10 mln euro
• Firmy mają 6 miesięcy na dostosowanie się do wymogów

Kogo obejmą nowe przepisy o cyberbezpieczeństwie

Nowelizacja zastępuje dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych nową kategorią podmiotów kluczowych i podmiotów ważnych.

• To fundamentalna zmiana - dotychczas regulacją objętych było około 400 operatorów, teraz będzie to ponad 10 tysięcy organizacji.

Podmioty kluczowe to firmy i instytucje, których działanie ma istotne znaczenie dla funkcjonowania państwa - energetyka, transport, bankowość, opieka zdrowotna, infrastruktura IT. Podmioty ważne, mimo mniejszej skali, również muszą spełniać obowiązki w zakresie cyberbezpieczeństwa.

"Ustawa nie nakazuje konkretnych rozwiązań, ale jedynie uwrażliwia na to, że trzeba się zająć tematem, dokonać analizy ryzyka i na tej podstawie oznaczyć obszary, które wymagają poprawy" - mówi Mikołaj Śniatała, adwokat z Kancelarii Andersen Tax & Legal.

Jak podaje Gazeta Prawna, kary administracyjne będą mogły być nakładane dopiero po upływie 2 lat od wejścia ustawy w życie.

Ile kosztuje wdrożenie NIS2 w Polsce

Koszty dostosowania się do wymogów wahają się znacząco w zależności od wielkości organizacji. Według analiz rynkowych, wdrożenie może kosztować od 10 tys. do nawet 10 mln zł. Na te kwoty składają się systemy zarządzania bezpieczeństwem informacji (10-50 tys. zł), rozwiązania do monitorowania (SIEM - 20-200 tys. zł) oraz systemy wykrywania włamań (15-100 tys. zł).

Dla porównania - analitycy Frontier Economics oszacowali, że wdrożenie NIS2 i powiązanych regulacji kosztować będzie przedsiębiorstwa w całej UE około 31,2 mld euro rocznie.

• Czytaj także: Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa - co nas czeka?

Polska wdraża dyrektywę z ponad rocznym opóźnieniem względem unijnego terminu (październik 2024). Niemcy przyjęły swoją ustawę implementującą NIS2 w grudniu 2025 roku, obejmując nią około 29 tys. firm.

Na co uważać przy wdrażaniu wymogów KSC

Nowelizacja wprowadza obowiązek samoidentyfikacji - to organizacja, nie organ nadzorczy, musi ustalić swój status i złożyć wniosek o wpis do właściwego wykazu.

• Przeprowadź analizę ryzyka i zidentyfikuj krytyczne zasoby
• Wdróż system zarządzania bezpieczeństwem informacji
• Przeszkol pracowników - odpowiedzialność spoczywa na zarządzie
• Przygotuj procedury zgłaszania incydentów do CSIRT
• Zweryfikuj dostawców - ustawa wprowadza kategorię dostawców wysokiego ryzyka

Kontrowersje budzi procedura uznawania dostawców wysokiego ryzyka. Podmioty korzystające ze sprzętu takiego dostawcy będą miały 7 lat na jego wymianę.

Prezydent skierował właśnie te przepisy do kontroli TK, wskazując na ingerencję w samodzielność przedsiębiorców bez odszkodowania.

Warto zapamiętać

• Kontrola TK nie wstrzymuje obowiązków - firmy muszą działać już teraz
• Brak samoidentyfikacji nie zwalnia z odpowiedzialności i kar
• Inwestycja w cyberbezpieczeństwo jest tańsza niż potencjalne straty z ataku
• Dostęp do audytorów może być ograniczony - warto zacząć wcześniej

Źródło: Newseria, Gazeta Prawna, Ministerstwo Cyfryzacji

Foto: Freepik