Newsletter Prawny
Subskrybuj newsletter i otrzymuj aktualne informacje o zmianach w prawie dotyczących polskiego biznesu.
Procedura uznania dostawcy za DWR
Nowelizacja ustawy o KSC szczegółowo opisuje proces uznania dostawcy za DWR, co może mieć znaczący wpływ na działalność podmiotów kluczowych i ważnych. Przyjrzyjmy się poszczególnym etapom tej procedury.
Procedura uznania dostawcy za DWR może zostać wszczęta z urzędu przez Ministra Cyfryzacji lub na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa. Postępowanie dotyczy dostawców sprzętu lub oprogramowania, którzy zaopatrują podmioty kluczowe lub ważne.
Przed podjęciem decyzji przez Ministra Cyfryzacji, Kolegium ds. Cyberbezpieczeństwa musi wydać opinię, która zawiera analizę ryzyka wynikającego z dalszej współpracy z danym dostawcą. Analiza obejmuje zagrożenia związane z bezpieczeństwem narodowym, zagrożenia ekonomiczne, wywiadowcze, czy terrorystyczne. Opinia jest kluczowa dla oceny ryzyka.
Po uzyskaniu opinii Kolegium, Minister Cyfryzacji podejmuje decyzję o uznaniu dostawcy DWR. Decyzja ta jest natychmiast publikowana w Dzienniku Urzędowym „Monitor Polski” i podlega natychmiastowemu wykonaniu. Oznacza to, że podmioty kluczowe mają obowiązek przystąpić do jej realizacji bez zwłoki.
Realizacja obowiązków przez podmioty kluczowe i ważne - Po ogłoszeniu decyzji, podmioty korzystające z produktów dostawcy uznanego za DWR muszą:
- Natychmiast wstrzymać wprowadzanie do użytkowania sprzętu, oprogramowania lub usług dostawcy DWR.
- Wycofać z użytkowania te produkty w ciągu 7 lat od wydania decyzji (4 lata w przypadku krytycznych funkcji ICT).
- Nie nabywać produktów od dostawcy DWR w ramach zamówień publicznych.
Podsumowując, jako przedsiębiorca musisz aktywnie monitorować procedury uznawania dostawców za DWR, być gotowym do szybkiego reagowania i dostosowywania swojej działalności do nowych regulacji. Wdrożenie odpowiednich procedur zarządzania ryzykiem i planów awaryjnych jest kluczowe dla zapewnienia ciągłości operacyjnej Twojej firmy.
Audyty bezpieczeństwa
Podmioty kluczowe i ważne mają obowiązek przeprowadzać audyt bezpieczeństwa systemu informacyjnego co najmniej raz na dwa lata. Po otrzymaniu raportu z audytu, podmioty te muszą przedstawić sprawozdanie z przeprowadzonego audytu właściwemu organowi do spraw cyberbezpieczeństwa w ciągu trzech dni roboczych.
Audyt musi być przeprowadzony przez osobę niezależną, która nie była zaangażowana w realizację zadań związanych z bezpieczeństwem informacji w audytowanym podmiocie przez rok przed przystąpieniem do audytu. Dodatkowo, organ do spraw cyberbezpieczeństwa ma prawo nakazać przeprowadzenie audytu i określić termin przekazania sprawozdania.
Polecenie zabezpieczające
Polecenie zabezpieczające to decyzja Ministra Cyfryzacji, stosowana w reakcji na incydenty krytyczne, wpływająca na podmioty kluczowe i ważne. Umożliwia szybkie działanie, pomijając niektóre procedury administracyjne. Jej wynikiem jest nałożenie na podmiot objęty decyzją obowiązku określonego zachowania, którego celem ma być ograniczenie skutków incydentu krytycznego.
Przed wydaniem polecenia przeprowadzana jest analiza ryzyka i skutków incydentu. Polecenie określa obowiązki dla podmiotów, takie jak ocena ryzyka, aktualizacje bezpieczeństwa czy ograniczenia technologiczne i jest natychmiast wykonalne na okres do dwóch lat.
Ogłaszane jest w dzienniku urzędowym i na stronie internetowej, a informacje o jego wykonaniu muszą być przekazywane właściwym organom. Można na nie złożyć skargę w sądzie administracyjnym w ciągu 2 miesięcy od ogłoszenia.
Kary naruszenie obowiązków
Aby zapewnić zgodność z nowymi przepisami, nowelizacja wprowadza szczegółowy system kar pieniężnych. Te sankcje mają na celu egzekwowanie przestrzegania przepisów zarówno przez podmioty kluczowe i ważne, jak i przez osoby zarządzające tymi podmiotami.
Wysokość kar jest surowa i ma charakter odstraszający. Podmioty kluczowe mogą zostać ukarane kwotą do 10 milionów euro lub 2% rocznego obrotu, w zależności od tego, która kwota jest wyższa. W przypadku mniejszych podmiotów, kara może wynosić do 7 milionów euro lub 1,4% obrotu. Minimalne kary wynoszą odpowiednio 20 000 zł dla podmiotów kluczowych i 15 000 zł dla podmiotów ważnych. Najbardziej surowe kary dotyczą niewykonania obowiązków związanych z dostawcami uznanymi za DWR. Dodatkowo, za niewykonanie polecenia zabezpieczającego, przewidziano kary sięgające nawet 100 milionów złotych. Kara ta jest nakładana, gdy naruszenie powoduje poważne zagrożenie dla bezpieczeństwa państwa lub porządku publicznego.
Osoby zarządzające podmiotami kluczowymi i ważnymi także podlegają odpowiedzialności. Zgodnie z projektowanymi rozwiązaniami, kierownicy podmiotów mogą zostać ukarani karą pieniężną do 600% swojego wynagrodzenia, jeżeli nie wywiązują się z obowiązków wynikających z ustawy. To dodatkowy mechanizm, który ma na celu motywowanie osób na stanowiskach kierowniczych do pilnego przestrzegania przepisów.
Podsumowanie
Nowelizacja ustawy o KSC wprowadza nowe wymogi i procedury, których celem jest zwiększenie ochrony przed zagrożeniami cybernetycznymi. Wprowadzenie procedury uznania dostawcy za DWR oraz surowe kary finansowe za jej niewykonanie stanowią kluczowe elementy tej regulacji. Czas na dostosowanie się do jej wymogów będzie krótki. Warto już dziś monitorować zmiany, aby w odpowiednim czasie powziąć działania zmierzające do zapewnienia zgodności z nowymi wymogami.