Projektowana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa rozróżnia „incydent poważny” oraz „incydent w cyberbezpieczeństwie na dużą skalę”.

1. Incydent poważny powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi, straty finansowe lub wpływa na inne podmioty przez wywołanie poważnej szkody materialnej lub niematerialnej. Konkretne progi uznania danego incydentu za poważny mają zostać w przyszłości dookreślone rozporządzeniem Rady Ministrów.
2. Natomiast incydent w cyberbezpieczeństwie na dużą skalę to incydent, którego skutki przekraczają już możliwości reagowania państwa lub który ma poważny wpływ na inne państwo UE. Na ten moment projekt nowelizacji ustawy o krajowym systemie bezpieczeństwa nie zmienia definicji incydentu krytycznego – jest on opisany jako skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi.

W jakim terminie konieczne będzie zgłoszenie incydentów

W przypadku wystąpienia incydentu, podmioty objęte NIS 2 będą zobowiązane do zgłaszania wczesnego ostrzeżenia już w ciągu 24 godzin od momentu jego wykrycia. We wczesnym ostrzeżeniu będzie trzeba wskazać (poza danymi kontaktowymi) moment wystąpienia i wykrycie incydentu poważnego, czas jego trwania, określenie czy został wywołany działaniem bezprawnym lub działaniem w złej wierze (o ile na tym etapie taka ocena będzie możliwa), a także informację, czy zdarzenie dotyczy innych państw UE. Wczesne ostrzeżenie może także zawierać wniosek o wskazanie wytycznych dotyczących możliwości wdrożenia środków ograniczających skutki incydentów oraz dodatkowe wsparcie techniczne.

W przeciągu kolejnych 48 godzin konieczne będzie już pełne zgłoszenie incydentu. W przypadku dostawców usług zaufania termin na zgłoszenie incydentu poważnego będzie skrócony do 24 godzin.

Zobacz też w LEX: Rola IOD-a w obszarze cyberbezpieczeństwa >

Treść zgłoszenia incydentu

Zgłoszenie będzie musiało być odpowiednio rozbudowane i zawierać informacje na temat:

• usługi oraz liczby użytkowników, na którą incydent miał wpływ,
• zasięgu geograficznego incydentu,
• wpływu incydentu na świadczenie usługi przez inne podmioty,
• przyczyny zdarzenia, sposobu jego przebiegu oraz prawdopodobnych skutkach oddziaływania na systemy informatyczne lub świadczone usługi,
• podjętych działaniach zapobiegawczych i naprawczych.

W razie wystąpienia takiego incydentu podmioty będą zobowiązane do poinformowania użytkowników swoich usług o możliwych środkach zapobiegawczych związanych z incydentem, o ile nie spowoduje to zwiększenia poziomu ryzyka dla bezpieczeństwa systemów informacyjnych.

Zobacz też w LEX: Identyfikowanie i zgłaszanie incydentów na gruncie NIS 2 i RODO >

Co ważne, w terminie miesiąca od zgłoszenia incydentu obowiązkowe będzie przekazanie odpowiedniemu organowi sprawozdania końcowego z obsługi incydentu. Sprawozdanie zawiera co najmniej:

• szczegółowy opis incydentu poważnego, w tym spowodowane zakłócenia i szkody,
• rodzaj zagrożenia lub przyczynę, która prawdopodobnie była źródłem incydentu,
• zastosowane i wdrażane środki ograniczające ryzyko,
• ewentualne transgraniczne skutki incydentów.

Czytaj też w LEX: Bezpieczeństwo łańcucha dostaw - due diligence dostawców wg dyrektywy NIS 2 >

Przedsprzedaż

-15%

Przedsprzedaż

AI Act. Europejska regulacja sztucznej inteligencji [PRZEDSPRZEDAŻ]

Artur Bogucki

Sprawdź  

Sankcje za brak zgłoszenia incydentów

W przypadku podmiotów kluczowych kara za brak terminowego zgłoszenia incydentu może sięgnąć do nawet 10 mln euro lub 2 proc. przychodów osiągniętych w poprzednim roku obrotowym. Dla podmiotów ważnych maksymalna kara wynosi 7 mln euro lub 1,4 proc. rocznych przychodów. Minimalna wysokość kary to odpowiednio 20 tys. zł dla podmiotów kluczowych oraz 15 tys. zł dla podmiotów ważnych.

Odpowiedzialność finansowa nie jest ograniczona jedynie do samych spółek. Karą może zostać obciążony również członek zarządu, a w przypadku spółek osobowych – wspólnik. Kara może wynosić wielokrotność wynagrodzenia otrzymywanego przez daną osobę.

Ponadto organ nadzorczy, w celu przymuszenia do wykonania nałożonych obowiązków będzie mógł nakładać dodatkowe kary pieniężne w wysokości od 5 tys. do 100 tys. zł za każdy dzień opóźnienia w realizacji zobowiązań.

Czytaj też w LEX: Nowe zasady zarządzania bezpieczeństwem informacji - czyli co zmieni projektowana nowelizacja UKSC? >

Nowe standardy zgłaszania incydentów

Dyrektywa NIS 2 wprowadza zupełnie nowe standardy zgłaszania incydentów w zakresie cyberbezpieczeństwa. Obowiązki raportowania liczone będą teraz w godzinach, a nie w dniach – wstępna informacja musi nastąpić w ciągu 24 godzin, a pełne zgłoszenie w ciągu kolejnych 48 godzin. Oznacza to, że przedsiębiorstwa objęte NIS 2 muszą być przygotowane na natychmiastową reakcję w przypadku wystąpienia incydentu. W tym kontekście kluczowe staje się opracowanie planu reagowania na incydenty, a także regularne audyty zgodności. Równie istotne będą z całą pewnością szkolenia pracowników, tak aby potrafili rozpoznać i zgłosić, oraz odpowiednie uregulowanie kwestii w umowach z dostawcami i podwykonawcami.

Czytaj też w LEX: Incydent - krok po kroku według RODO, NIS2 (UKSC), CRA, CER, AIA, PKSC >

Zgłoszenie incydentu nie zwalnia przy tym z ryzyka równoczesnego ponoszenia odpowiedzialności za skutki naruszenia innych zobowiązań ustawowych lub umownych, jakie mogą towarzyszyć incydentowi, np. z tytułu odpowiedzialności za naruszenie ochrony danych osobowych, informacji poufnych kontrahentów, tajemnic państwowych lub licencji praw autorskich lub własności przemysłowej.

Czytaj także: Dyrektywa NIS2. Audyt dostawców staje się obowiązkowy

Autorzy:

Alicja Szyrner, radca prawny, Rödl

Michał Majnusz, radca prawny, Rödl