Dyrektywa NIS2 oraz projektowana na jej podstawie zmiana ustawy o krajowym systemie cyberbezpieczeństwa mają na celu wzmocnienie ochrony przed zagrożeniami cyfrowymi. Wprowadzają szereg nowych wymogów w zakresie zarządzania ryzykiem zarówno w stosunku do podmiotów publicznych, jak i prywatnych. Jednym z kluczowych elementów nowego podejścia jest rozszerzenie kompetencji kontrolnych przysługujących organom państwowym.

Nowe organy nadzorcze 

Kluczową rolę w nadzorze nad cyberbezpieczeństwem sprawować mają już nie tylko ministerstwa, lecz również wybrane organy administracji centralnej w zakresie przepisanych im sektorów gospodarki. Organy te uzyskają uprawnienia do podejmowania działań o charakterze prewencyjnym i następczym nad podmiotami kluczowymi oraz nad podmiotami ważnymi, w szczególności w przypadku uzasadnionego podejrzenia, że zachodzi możliwość naruszenia przepisów ustawy.

Organy nadzoru będą mogły część swoich zadań zlecać wybranym zespołom CSIRT (czyli Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, ang. Computer Security Incident Response Team).

Czytaj także: Dyrektywa NIS2. Audyt dostawców staje się obowiązkowy

Nowe uprawnienia organów nadzorczych

Organy nadzorcze będą m.in. uprawnione do dokonywania czynności sprawdzających mających na celu weryfikację, czy wdrożony system zarządzania bezpieczeństwem zapewnia odpowiedni poziom cyberodporności lub czy podmiot nie narusza przepisów ustawy.

W tym celu organy zyskają uprawnienia do występowania bezpośrednio do kontrolowanego podmiotu z wnioskiem o udzielenie dostępu do danych, dokumentów i informacji potwierdzających spełnianie wymogów z zakresu cyberbezpieczeństwa lub zlecenia dokonania oceny bezpieczeństwa systemu informatycznego badanego podmiotu przez wybrany CSIRT.

Organy nadzoru zyskają również możliwość polecenia badanemu podmiotowi przeprowadzenia audytu bezpieczeństwa systemu informatycznego przez zewnętrzny podmiot, wraz z określeniem terminu na wdrożenie zaleceń wydanych w wyniku audytu bezpieczeństwa systemu.

Podstawowym narzędziem, za pomocą którego organy nadzoru będą mogły egzekwować wykryte uchybienia, są - wydawane w formie decyzji administracyjnej - nakazy wzywające badane podmioty do podjęcia lub zaniechania określonych czynności mających na celu przywrócenia właściwego poziomu cyberbezpieczeństwa. Oprócz tego organy zyskają prawo do nakładania kar pieniężnych za wykryte uchybienia lub podawania do publicznej wiadomości informacji o naruszeniu przepisów.

W przypadku gdyby kontrolowany podmiot nie zastosował się do wydanego nakazu, ustawa przyznaje organom nadzoru dalej idące środki o charakterze dyscyplinującym, takie jak:

  • wystąpienie do właściwego organu o cofnięcie do czasu usunięcia uchybień lub zaprzestania naruszeń udzielonej koncesji;
  • wystąpienie do właściwego organu o cofnięcie do czasu usunięcia uchybień lub zaprzestania naruszeń udzielone zezwolenia na prowadzenie działalności gospodarczej;
  • wystąpienie do właściwego organu o wykreślenie badanego podmiotu z rejestru działalności regulowanej;
  • wystąpienie do sądu o nałożenie tymczasowego zakazu zajmowania stanowiska przez osoby kierujące badanym podmiotem.

Nowym narzędziem będzie także możliwość wszczęcia postępowania w sprawie uznania dostawcy sprzętu lub oprogramowania za podmiot wysokiego ryzyka, jeśli jego działalność może zagrażać podstawowym interesom bezpieczeństwa państwa. 

Czytaj też w LEX: Bujalski Rafał, Nowe środki w zakresie cyberbezpieczeństwa (dyrektywa NIS 2)> 

 

Nowość
Cyberbezpieczeństwo. Zarys wykładu
-10%
Nowość
Cyberbezpieczeństwo. Zarys wykładu

Cezary Banasiński

Sprawdź  

Cena promocyjna: 80.09 zł

|

Cena regularna: 89 zł

|

Najniższa cena w ostatnich 30 dniach: 62.3 zł


Kary za naruszanie przepisów o cyberbezpieczeństwie

Brak dopełnienia obowiązków wynikających z NIS2, w tym w szczególności:

  • nieuzupełnienie w terminie brakujących danych w wykazie podmiotów kluczowych i ważnych;
  • nieprzeprowadzanie systematycznego szacowania ryzyka;
  • niewdrożenie systemu zarządzenia bezpieczeństwa informacji;
  • brak opracowania i aktualizacji dokumentacji dotyczącej bezpieczeństwa systemu informatycznego;
  • niewykonanie w wyznaczonym terminie zaleceń pokontrolnych;
  • uniemożliwienie lub utrudnienie wykonania kontroli,

grozi nałożeniem kary pieniężnej. 

Czytaj też w LEX: Prabucki Rafał Tomasz, Cyberbezpieczeństwo kancelarii prawnych> 

Projekt ustawy przewiduje kary w wysokości nawet do 10 mln euro lub 2 proc. przychodów z poprzedniego roku obrotowego w przypadku podmiotu kluczowego, a w odniesieniu do podmiotu ważnego do 7 mln euro lub 1,4 proc. przychodów z poprzedniego roku obrotowego. Kara nie może być niższa niż 20 tys. zł (podmiot kluczowy) lub 15 tys. zł (podmiot ważny).

Odpowiedzialność nie ogranicza się jednak jedynie do samych podmiotów ważnych i kluczowych. Karze pieniężnej może podlegać również ich kierownik (czyli w praktyce najczęściej członek zarządu, a w przypadku spółek osobowych wspólnik). Wysokość kary może wynosić wielokrotność otrzymywanego przez kierownika podmiotu wynagrodzenia.

Niezależnie od powyższych kar, organ nadzorczy w celu przymuszenia do wykonania nałożonych przez niego obowiązków, może nałożyć karę pieniężną w wysokości do 5 tys. zł do 100 tys. zł za każdy dzień opóźnienia, w wykonaniu swoich decyzji.

Podsumowując, wraz z wejściem w życie dyrektywy NIS2 oraz planowaną implementacją jej przepisów do polskiego porządku prawnego konieczna jest jak najszybsze rozpoczęcie działań przygotowawczych w celu wdrożenia nowych obowiązków w życie. W pierwszej kolejności konieczne jest przeprowadzenie analizy zgodności, a następnie wdrożenie odpowiednich zabezpieczeń. Zaniechanie tych działań może skutkować nie tylko dotkliwymi karami finansowymi, ale również ograniczeniem możliwości prowadzenia działalności. 

Autorzy:

 

Michał Majnusz, radca prawny, Rödl&Partner

Michał Majusz

 

Alicja Szyrner, radca prawny, Rödl&Partner

Alicja Szyrner

 

Polecamy szkolenie w LEX: Jakubik Mateusz, Prabucki Rafał Tomasz, Nowelizacja Krajowego Systemu Cyberbezpieczeństwa - zmiany dla przedsiębiorców>