LEX Ochrona Srodowiska - Promocja miesiąca
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

NIS2: Co muszą zrobić polskie przedsiębiorstwa, aby uniknąć kar

Paulina Petroniec-Bruens
Prawo europejskie
Cyberbezpieczeństwo
Opinie

Zarządy podmiotów zaliczanych do kategorii "ważnych" mogą nie zdawać sobie sprawy, że ich działalność jest krytyczna dla gospodarki. W Polsce przyjęto model samoidentyfikacji – to zarząd musi przeanalizować status organizacji. Jeśli spełnia ona przesłanki, ma obowiązek zgłosić się do wykazu ministra cyfryzacji - pisze Paulina Petroniec-Bruens, adwokat, BCLA Bisiorek, Cieśliński i Partnerzy.

NIS2: Co muszą zrobić polskie przedsiębiorstwa, aby uniknąć kar

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa („KSC”), będąca skutkiem implementacji dyrektywy NIS2, między innymi znacząco poszerza zakres zastosowania systemu. Wprowadza do niego podmioty, które wcześniej były poza głównym nurtem regulacji cyberbezpieczeństwa, wyróżniając w nich podmioty „kluczowe” (Essential Entities), czyli sektory wysokiego ryzyka oraz podmioty „ważne” (Important Entities).

Podmioty ważne i kluczowe

I tak jak podmioty „kluczowe” to w dużej mierze obecni operatorzy usług kluczowych („OUK”) oraz ewentualne nowe podmioty z sektorów o najwyższym stopniu krytyczności, to podmioty „ważne” to nowe, „nieoczywiste" podmioty, które spełniają kryteria rozmiaru i działają w rozszerzonym katalogu sektorów (np. energia, transport, ochrona zdrowia, bankowość i finanse, produkcja, chemia, żywność, gospodarka odpadami, usługi pocztowe i kurierskie, niektóre usługi cyfrowe, badania naukowe oraz określone działalności przemysłowe). Podmioty te będą podlegać lżejszemu nadzorowi, ale będą mieć takie same obowiązki w zakresie środków bezpieczeństwa jak podmioty „kluczowe”. Do tej kategorii włączono także dostawców usług zarządzanych w zakresie bezpieczeństwa (MSP/MSSP), co jest istotne dla firm outsourcingowych IT.

Dyrektywa NIS 2 i nowelizacja KSC przyjmują dwustopniowy test: najpierw bada się, czy dane przedsiębiorstwo uznawane jest za jeden z sektorów wymienionych w załączniku I i II do NIS2, a następnie wielkość przedsiębiorstwa (co do zasady: średnie i duże firmy, czyli od 50 pracowników oraz 10 mln EUR obrotu/bilansu). Należy jednak podkreślić, że jeśli podmiot prowadzi więcej niż jeden rodzaj działalności, nie jest uznawany za kluczowy lub ważny w zakresie tej części biznesu, która samodzielnie nie przewyższa kryteriów wielkości.

Przepisy NIS2 pozwalają państwom członkowskim włączyć do reżimu także mniejsze jednostki, jeżeli mają one szczególne znaczenie (np. są jedynym lokalnym dostawcą wody, podmiotem o dużym znaczeniu dla bezpieczeństwa lub świadczą określone usługi cyfrowe). Z drugiej strony część sektorów (np. dostawcy publicznych sieci łączności czy kwalifikowani dostawcy usług zaufania) może być objęta niezależnie od liczby pracowników, właśnie ze względu na krytyczność takich usług.

 

Obowiązek samoidentyfikacji i dostosowywania organizacji

Właśnie te podmioty „ważne" stanowią największe wyzwanie. Ich zarządy mogą nie zdawać sobie sprawy, że ich działalność jest krytyczna dla gospodarki. W Polsce przyjęto model samoidentyfikacji – to zarząd musi przeanalizować status organizacji. Jeśli spełnia ona przesłanki, ma obowiązek zgłosić się do wykazu ministra cyfryzacji.

Zgodnie z ostatecznym brzmieniem ustawy uchwalonej przez Sejm proces dostosowywania organizacji do nowych standardów cyberbezpieczeństwa został rozłożony na kilka etapów, dając przedsiębiorcom realny czas na przygotowanie struktur. Kluczowe terminy prezentują się następująco:

  1. Krok 1: Rejestracja w Wykazie (6 miesięcy). Podmioty, które zidentyfikują się jako kluczowe lub ważne, mają 6 miesięcy na złożenie wniosku o wpis do centralnego rejestru prowadzonego przez ministra cyfryzacji. Termin ten liczy się od dnia spełnienia przesłanek uznania za taki podmiot (np. od dnia wejścia w życie ustawy dla firm już funkcjonujących na rynku).
  2. Krok 2: Realizacja obowiązków merytorycznych (12 miesięcy). Na wdrożenie kompleksowych środków zarządzania ryzykiem, przygotowanie dokumentacji oraz przeszkolenie kadr, ustawodawca przewidział 12 miesięcy. Czas ten liczy się od dnia doręczenia decyzji o wpisie do wykazu lub od dnia spełnienia ustawowych przesłanek.
  3. Krok 3: Integracja z systemem S46 (12 miesięcy). W tym samym terminie (12 miesięcy) podmioty muszą zapewnić sobie techniczną zdolność do korzystania z państwowego systemu teleinformatycznego służącego do raportowania incydentów w czasie rzeczywistym.

Nowelizacja zakłada, że to minister cyfryzacji ma prowadzić wykaz podmiotów „kluczowych” i „ważnych”, do którego podmiot składa wniosek o wpis drogą elektroniczną. Jednocześnie nowelizacja przewiduje, że niektóre kategorie, np. przedsiębiorcy telekomunikacyjni czy wybrane podmioty publiczne, będą wpisywane do wykazu automatycznie, na podstawie danych z innych rejestrów (REGON, rejestry resortowe itp.). Należy jednak pamiętać, że organ ds. cyberbezpieczeństwa zachowuje także prawo „dopytać” podmiot oraz wpisać go do wykazu, jeżeli ustali, że spełnia on kryteria, mimo braku samoidentyfikacji.

Zgodnie z nowelizacją KSC, za naruszenia (w tym brak rejestracji) mają grozić administracyjne kary pieniężne, które w przypadku podmiotów „ważnych” mogą sięgać do 7 mln euro albo do 1,4 proc. rocznego obrotu (w zależności od tego, która wartość jest wyższa), przy czym ustawa przewiduje również minimalną karę 15 tys. zł.

Najważniejszą informacją dla zarządów jest jednak wprowadzenie tzw. „okresu bezkarności”. Zgodnie z nowym art. 34a KSC, administracyjne kary pieniężne przewidziane w nowelizacji (sięgające milionów euro) będą mogły zostać nałożone po raz pierwszy dopiero po upływie 2 lat od dnia wejścia w życie ustawy. To celowy zabieg ustawodawcy, mający na celu wsparcie firm w procesie nauki nowych procedur, zamiast natychmiastowego karania za błędy wynikające z braku doświadczenia w nowym reżimie prawnym.

 

Firmy nie wiedzą o nowych obowiązkach

Z publikacji i raportów wynika istotna luka w świadomości wśród podmiotów dotyczących objęcia ich struktur NIS2, a co za tym idzie nowelizacją. Z wyników badania EY Polska przeprowadzonego wspólnie z CSO Council oraz Trend Micro, wynika na przykład, że 25 proc. podmiotów w Polsce objętych nowymi przepisami nie ma świadomości, że NIS2 będzie ich dotyczyć. Uszczegółowiając, na pytanie czy organizacja będzie podlegać regulacjom NIS2, 13 proc. badanych wskazało odpowiedź „nie wiem”, a kolejne 12 proc. odpowiedziało „nie”, mimo że reprezentują podmioty, na których funkcjonowanie wpływ będzie miał NIS2.

Podobne wyniki są publikowane w raporcie ESET, dostawcy oprogramowania i usług security, z którego wynika, że 36 proc. specjalistów ds. cyberbezpieczeństwa nie wie, czy ich firma jest objęta unijną dyrektywą.

Po wejściu w życie nowelizacji ustawy, podmioty powinny zatem:

  • sprawdzić, czy świadczą usługi w sektorach z załączników I i II (sektory kluczowe i ważne);
  • zbadać wielkość wg definicji średniego/dużego przedsiębiorstwa (≥50 pracowników oraz odpowiednie progi finansowe), ale również zweryfikować krajowe przepisy wdrażające KSC/NIS2, bo mogą rozszerzać lub doprecyzowywać katalog (np. szczególne podmioty w danym sektorze).

W praktyce, podmioty „ważne” będą musiały wdrożyć pełny, udokumentowany system zarządzania cyberbezpieczeństwem: od oceny ryzyka, przez zabezpieczenia techniczne i organizacyjne, po zgłaszanie incydentów w określonych terminach.

Zgodnie z nowelizacją, w ramach działań prewencyjnych podmioty „ważne” będą zobowiązane wdrożyć środki służące nie tylko reagowaniu na zagrożenia, lecz także ich wczesnej identyfikacji, ograniczaniu prawdopodobieństwa wystąpienia oraz minimalizowaniu skutków incydentów. Obejmuje to zarówno rozwiązania techniczne (np. mechanizmy detekcji i reagowania), jak i instrumenty organizacyjne, w szczególności polityki i procedury wewnętrzne, zarządzanie uprawnieniami dostępowymi oraz uporządkowaną dokumentację bezpieczeństwa systemów informacyjnych (w tym rejestry incydentów, plany ciągłości działania i odtwarzania).

Inne obowiązki wynikające z NIS2

NIS2 wymaga sformalizowania obsługi incydentów, czyli ustanowienia kanałów zgłaszania, przypisania ról i odpowiedzialności (w tym zespołu reagowania) oraz uruchomienia mechanizmów raportowania incydentów istotnych do właściwego CSIRT lub innego właściwego organu w modelu etapowym: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie wstępne w ciągu 72 godzin oraz raport końcowy co do zasady w terminie miesiąca, z możliwością raportów pośrednich zależnie od przebiegu zdarzenia.

Zgodnie z reżimem NIS2 kierownictwo podmiotu (rozumiane jako kierownik jednostki według ustawy o rachunkowości) będzie zobowiązane do realnego nadzoru nad budową i funkcjonowaniem systemu cyberbezpieczeństwa, w tym do zatwierdzania przyjmowanych rozwiązań, monitorowania ich efektywności oraz zapewnienia zasobów niezbędnych do ich wdrożenia i utrzymania. W praktyce oznacza to zaangażowanie nie tylko formalne, lecz także merytoryczne.

Dyrektywa wymaga, aby kadra zarządzająca była szkolona z cyberbezpieczeństwa. Jednocześnie podkreśla się, że odpowiedzialność za spełnienie wymogów nie będzie wyłącznie „firmowa”, jeżeli bowiem poważne naruszenia wynikną z zaniedbań po stronie zarządu (np. braku nadzoru, ignorowania ryzyk, niewdrożenia podstawowych środków), środki egzekucyjne mogą być kierowane także wobec konkretnych osób pełniących funkcje zarządcze.

Dodatkowym aspektem, na który zwraca uwagę unijny ustawodawca, jest konieczność stałego podnoszenia kompetencji osób decyzyjnych w zakresie cyberbezpieczeństwa. Wymaga się nie tylko świadomości istniejących zagrożeń, ale również zdolności do interpretacji i oceny rozwiązań technicznych oraz podejmowania decyzji w warunkach presji i niepewności. W tym kontekście budowa tzw. kultury bezpieczeństwa w organizacji zaczyna się właśnie na poziomie zarządu, to jego postawa, kompetencje i zaangażowanie kształtują priorytety i realne działania w całej strukturze.

Co również istotne, nowelizacja KSC przewiduje, że podmioty „ważne” będą musiały systemowo oceniać ryzyka wynikające z korzystania z dostawców i podwykonawców (m.in. outsourcing IT, chmura, serwis, logistyka) oraz zabezpieczać je kontraktowo. Może wymagać to przeprowadzenia cyklicznych audytów bezpieczeństwa u kluczowych partnerów technologicznych i logistycznych, aby zweryfikować ich realną odporność na ataki. W praktyce oznacza to zaostrzenie wymagań umownych, takich jak SLA, minimalne standardy bezpieczeństwa, obowiązki raportowania incydentów, prawo audytu czy, w niektórych przypadkach, wymogi dotyczące określonych standardów lub certyfikacji.

Co z nowelizacją KSC

Efekt nowelizacji KSC będzie zatem wykraczać poza podmioty formalnie objęte reżimem - skoro podmiot „kluczowy” albo „ważny” ma obowiązek zarządzać ryzykiem w łańcuchu dostaw, to wielu mniejszych dostawców odczuje NIS2 pośrednio, poprzez konieczność spełnienia nowych wymogów kontraktowych jako warunku utrzymania współpracy.

Proces legislacyjny w Polsce wszedł w finalną fazę: ustawa została uchwalona przez Sejm i bez poprawek Senatu skierowana do podpisu prezydenta.

Choć 6-miesięczny termin na zgłoszenie do wykazu oraz 12 miesięcy na wdrożenie środków bezpieczeństwa mogą wydawać się odległymi datami, należy pamiętać o skali wymaganych zmian. Budowa realnej odporności cyfrowej, obejmująca audyty łańcucha dostaw i przebudowę wewnętrznych polityk, to proces czaso- i zasobochłonny. Dlatego audyt organizacji warto potraktować jako element doskonalenia procesów biznesowych, widząc w nadchodzących przepisach nie uciążliwy obowiązek, lecz fundament stabilnego rozwoju i wiarygodności na cyfrowym rynku.

----------------------------------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.

 

Autor:
Paulina Petroniec-Bruens
Czytaj także
ComplianceFinanseCyberbezpieczeństwo
Przejdź do artykułu: NIS2 to nie tylko dyrektywa. Kary grożą też za niestosowanie rozporządzenia
Już teraz obowiązuje rozporządzenie wykonawcze do dyrektywy NIS2, tj. rozporządzenie 2024/2690, o którym niewiele osób wie, a jeszcze mniej je stosuje. W konsekwencji organizacje narażone są na potencjalne kary finansowe, a także na zwiększone ryzyko operacyjne wynikające z braku zgodności z nowymi wymogami w zakresie cyberbezpieczeństwa – pisze Przemysław Świeboda, wykładowca z zakresu cyberbezpieczeństwa na Wydziale Prawa i Administracji Uniwersytetu WSB Merito w Gdańsku.
Prawo gospodarczePrawo europejskieCyberbezpieczeństwo
Przejdź do artykułu: Dyrektywa NIS2. Audyt dostawców staje się obowiązkowy
Obowiązki związane z bezpieczeństwem informacji przestają być wyłącznie wewnętrzną sprawą organizacji. Dyrektywa NIS2 znacząco rozszerza zakres odpowiedzialności – obejmuje ona już nie tylko ochronę własnych systemów IT, ale również obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa u dostawców i partnerów biznesowych - piszą Michał Majnusz i Alicja Szyrner, radcowie prawni z Rödl&Partner.
Prawo gospodarczePrawo europejskieCyberbezpieczeństwo
Przejdź do artykułu: Nadzór nad cyberbezpieczeństwem po NIS2. Nowe uprawnienia organów państwowych
Kluczową rolę w nadzorze nad cyberbezpieczeństwem sprawować mają już nie tylko ministerstwa, lecz również wybrane organy administracji centralnej w zakresie przepisanych im sektorów gospodarki. Zyskają m.in. prawo do nakładania kar pieniężnych za wykryte uchybienia - piszą Michał Majnusz i Alicja Szyrner, radcowie prawni z Rödl&Partner.
Bezpieczeństwo publiczneCyberbezpieczeństwoCompliancePrawo europejskie
Przejdź do artykułu: Krajowy system cyberbezpieczeństwa. Zwolennicy projektu zarzucają przeciwnikom chiński lobbing
Mamy w strukturze członkowskiej ponad 20 tys. firm. Żadna z tych firm nie przyszła do nas z problemem: „zróbcie coś, bo wchodzi nowelizacja ustawy o KSC i będziemy mieli wyższe koszty” – mówi Jakub Bińkowski, członek zarządu Związku Przedsiębiorców i Pracodawców. Wraz z przedstawicielami kilku innych środowisk przekonuje, że procedowana obecnie w Sejmie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to dla Polski konieczność, zaś jej przeciwnicy szerzą dezinformację, na której skorzystają chińskie firmy.

Polecamy książki biznesowe

Przejdź do: Ochrona sygnalistów i przeciwdziałanie korupcji w praktyce biznesowej, Bartosz Bacia - otwiera się w nowym oknie
Nowość
10% Rabatu
Sprawdź
Cena promocyjna: 152,09 zł | Cena regularna: 169,00 zł
Najniższa cena w ostatnich 30 dniach: 33,80 zł
Przejdź do: Zakaz prowadzenia działalności gospodarczej. Zagadnienia praktyczne, Aleksandra Machowska - otwiera się w nowym oknie
Nowość
30% Rabatu
Sprawdź
Cena promocyjna: 139,29 zł | Cena regularna: 199,00 zł
Najniższa cena w ostatnich 30 dniach: 199,00 zł
Przejdź do: Zobowiązania w obrocie gospodarczym , Agnieszka Malarewicz-Jakubów - otwiera się w nowym oknie
Nowość
10% Rabatu
Sprawdź
Cena promocyjna: 179,10 zł | Cena regularna: 199,00 zł
Najniższa cena w ostatnich 30 dniach: 139,29 zł
Przejdź do: Instytucje gospodarki rynkowej, Tadeusz Włudyka, Marek Porzycki - otwiera się w nowym oknie
Nowość
10% Rabatu
Sprawdź
Cena promocyjna: 71,11 zł | Cena regularna: 79,00 zł
Najniższa cena w ostatnich 30 dniach: 55,30 zł
Przejdź do: Prawo autorskie. Komentarz, Adrian Niewęgłowski - otwiera się w nowym oknie
Nowość
10% Rabatu
Sprawdź
Cena promocyjna: 323,10 zł | Cena regularna: 359,00 zł
Najniższa cena w ostatnich 30 dniach: 251,30 zł