5 min. czytania 12 wrz 2024
AI SLA

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) – nowe obowiązki dla przedsiębiorców

Autor Justyna Wilczyńska-Baraniak

EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat

Lider Zespołu Prawa Własności Intelektualnej, Technologii, Danych Osobowych w Kancelarii EY Law. Doradza na rzecz korporacji w zakresie ochrony własności intelektualnej i wdrażania nowych technologii.

Współautorzy
Szymon Skalski
5 min. czytania 12 wrz 2024
Powiązane tematy Doradztwo prawne AI Cybersecurity

Polska, podobnie jak inne kraje Unii Europejskiej, stoi przed wyzwaniami związanymi z rosnącym zagrożeniem cyberatakami. Aby wzmocnić swoją obronność cyfrową, toczą się prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która stanowi implementację dyrektywy NIS2. Wprowadzenie tej regulacji ma na celu zabezpieczenie najważniejszych systemów cyfrowych, w tym infrastruktury krytycznej, na której opiera się funkcjonowanie państwa i kluczowych sektorów gospodarki.

Wiąże się to jednak z wprowadzeniem rozbudowanego katalogu obowiązków zarówno po stronie biznesu, jak i administracji publicznej. Nowelizacja rozszerzy krąg podmiotów objętych regulacją – niektórzy z przedsiębiorców po raz pierwszy zmierzą się z nowymi wyzwaniami. Poniżej przybliżamy kluczowe aspekty wprowadzane projektowaną nowelizacją.

Kluczowe zmiany w nowelizacji

Wprowadzane zmiany w nowelizacji ustawy o KSC mają istotne znaczenie dla podmiotów kluczowych i ważnych, które będą musiały dostosować swoje działania do nowych regulacji. Proces uznania dostawcy za dostawcę wysokiego ryzyka (DWR) oraz związane z tym obowiązki, takie jak natychmiastowe wstrzymanie korzystania z produktów DWR, ich wycofanie oraz zakaz nabywania w ramach zamówień publicznych, stanowią istotne wyzwanie dla przedsiębiorców.

Ponadto, audyty bezpieczeństwa systemu informacyjnego stają się obowiązkowe co dwa lata, z koniecznością przedstawienia sprawozdania w krótkim terminie. Zmiany te wymagają od przedsiębiorców nie tylko bieżącego monitorowania i szybkiego reagowania na nowe przepisy, ale również wdrożenia skutecznych procedur zarządzania ryzykiem i planów awaryjnych.

W dalszej części artykułu szczegółowo omówimy te kluczowe aspekty nowelizacji, aby ułatwić przedsiębiorcom przygotowanie się do nadchodzących zmian.

Newsletter Prawny

Subskrybuj newsletter i otrzymuj aktualne informacje o zmianach w prawie dotyczących polskiego biznesu.

Zapisz się

Procedura uznania dostawcy za DWR

Nowelizacja ustawy o KSC szczegółowo opisuje proces uznania dostawcy za DWR, co może mieć znaczący wpływ na działalność podmiotów kluczowych i ważnych. Przyjrzyjmy się poszczególnym etapom tej procedury.

Procedura uznania dostawcy za DWR może zostać wszczęta z urzędu przez Ministra Cyfryzacji lub na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa. Postępowanie dotyczy dostawców sprzętu lub oprogramowania, którzy zaopatrują podmioty kluczowe lub ważne.

Przed podjęciem decyzji przez Ministra Cyfryzacji, Kolegium ds. Cyberbezpieczeństwa musi wydać opinię, która zawiera analizę ryzyka wynikającego z dalszej współpracy z danym dostawcą. Analiza obejmuje zagrożenia związane z bezpieczeństwem narodowym, zagrożenia ekonomiczne, wywiadowcze, czy terrorystyczne. Opinia jest kluczowa dla oceny ryzyka.

Po uzyskaniu opinii Kolegium, Minister Cyfryzacji podejmuje decyzję o uznaniu dostawcy DWR. Decyzja ta jest natychmiast publikowana w Dzienniku Urzędowym „Monitor Polski” i podlega natychmiastowemu wykonaniu. Oznacza to, że podmioty kluczowe mają obowiązek przystąpić do jej realizacji bez zwłoki.

Realizacja obowiązków przez podmioty kluczowe i ważne - Po ogłoszeniu decyzji, podmioty korzystające z produktów dostawcy uznanego za DWR muszą:

  • Natychmiast wstrzymać wprowadzanie do użytkowania sprzętu, oprogramowania lub usług dostawcy DWR.
  • Wycofać z użytkowania te produkty w ciągu 7 lat od wydania decyzji (4 lata w przypadku krytycznych funkcji ICT).
  • Nie nabywać produktów od dostawcy DWR w ramach zamówień publicznych.

Porady dla przedsiębiorców

 

Jako przedsiębiorca działający w sektorze kluczowym lub ważnym, musisz być świadomy nowelizacji ustawy o KSC, która wprowadza procedurę uznania dostawcy za DWR. Oto kluczowe punkty, na które musisz zwrócić uwagę:

 

Monitorowanie ogłoszeń: Bądź na bieżąco z informacjami publikowanymi w Biuletynie Informacji Publicznej (BIP), aby wiedzieć, kiedy Minister Cyfryzacji wszczyna postępowanie przeciwko dostawcom sprzętu lub oprogramowania.

 

Reagowanie na zawiadomienia: Gdy zostanie ogłoszone wszczęcie postępowania, masz 14 dni na przedstawienie swojego stanowiska. Skorzystaj z tej możliwości, aby wyrazić swoje opinie i obawy dotyczące dostawcy i jego produktów ICT.

 

Planowanie i zarządzanie ryzykiem: Opracuj plan działania na wypadek, gdyby Twój dostawca został uznany za DWR. Obejmuje to identyfikację alternatywnych dostawców i strategii minimalizacji zakłóceń w działalności.

 

Podsumowując, jako przedsiębiorca musisz aktywnie monitorować procedury uznawania dostawców za DWR, być gotowym do szybkiego reagowania i dostosowywania swojej działalności do nowych regulacji. Wdrożenie odpowiednich procedur zarządzania ryzykiem i planów awaryjnych jest kluczowe dla zapewnienia ciągłości operacyjnej Twojej firmy.

Audyty bezpieczeństwa

Podmioty kluczowe i ważne mają obowiązek przeprowadzać audyt bezpieczeństwa systemu informacyjnego co najmniej raz na dwa lata. Po otrzymaniu raportu z audytu, podmioty te muszą przedstawić sprawozdanie z przeprowadzonego audytu właściwemu organowi do spraw cyberbezpieczeństwa w ciągu trzech dni roboczych.

Audyt musi być przeprowadzony przez osobę niezależną, która nie była zaangażowana w realizację zadań związanych z bezpieczeństwem informacji w audytowanym podmiocie przez rok przed przystąpieniem do audytu. Dodatkowo, organ do spraw cyberbezpieczeństwa ma prawo nakazać przeprowadzenie audytu i określić termin przekazania sprawozdania. 

Porady dla przedsiębiorców

 

Zaplanuj audyty: Ustal harmonogram regularnych audytów co dwa lata, aby zapewnić zgodność z wymogami ustawy. Znajdź i zatrudnij niezależnego audytora, który spełnia kryteria niezależności i nie był zaangażowany w zarządzanie bezpieczeństwem informacji w Twojej firmie przez ostatni rok.

 

Przygotuj się na sprawozdanie: Opracuj procedurę szybkiego gromadzenia i przekazywania sprawozdania z audytu właściwemu organowi w ciągu 3 dni roboczych od jego otrzymania.

 

Wdrożenie obowiązków: Jeśli Twoja firma zostanie uznana za podmiot kluczowy lub ważny, masz 6 miesięcy na wdrożenie wymaganych obowiązków i 12 miesięcy na przeprowadzenie pierwszego audytu. Obydwa terminy będą liczone od dnia wejścia w życie nowelizacji KSC. 

Polecenie zabezpieczające

Polecenie zabezpieczające to decyzja Ministra Cyfryzacji, stosowana w reakcji na incydenty krytyczne, wpływająca na podmioty kluczowe i ważne. Umożliwia szybkie działanie, pomijając niektóre procedury administracyjne. Jej wynikiem jest nałożenie na podmiot objęty decyzją obowiązku określonego zachowania, którego celem ma być ograniczenie skutków incydentu krytycznego.

Przed wydaniem polecenia przeprowadzana jest analiza ryzyka i skutków incydentu. Polecenie określa obowiązki dla podmiotów, takie jak ocena ryzyka, aktualizacje bezpieczeństwa czy ograniczenia technologiczne i jest natychmiast wykonalne na okres do dwóch lat.

Ogłaszane jest w dzienniku urzędowym i na stronie internetowej, a informacje o jego wykonaniu muszą być przekazywane właściwym organom. Można na nie złożyć skargę w sądzie administracyjnym w ciągu 2 miesięcy od ogłoszenia.

Porady dla przedsiębiorców

 

Monitorowanie i reagowanie: Utrzymuj czujność w monitorowaniu ogłoszeń w Biuletynie Informacji Publicznej i na stronie internetowej ministra właściwego do spraw informatyzacji. W przypadku wydania polecenia zabezpieczającego, natychmiast przystąp do analizy jego wymagań i wdrożenia odpowiednich działań zabezpieczających.

 

Wewnętrzna koordynacja: Szybko poinformuj zespół IT i zarząd o poleceniu, aby zapewnić zrozumienie i wykonanie wymaganych działań. Zaktualizuj procedury bezpieczeństwa i plany awaryjne zgodnie z wytycznymi. Dokładnie dokumentuj wszystkie podjęte kroki oraz zmiany wprowadzone w odpowiedzi na polecenie. Bądź gotowy do przekazywania informacji o wykonywaniu polecenia właściwym organom cyberbezpieczeństwa.

 

Komunikacja z dostawcami: Jeśli polecenie dotyczy produktów lub usług od zewnętrznych dostawców, skontaktuj się z nimi, aby wspólnie znaleźć rozwiązanie i zminimalizować wpływ na działalność firmy.

Kary naruszenie obowiązków

Aby zapewnić zgodność z nowymi przepisami, nowelizacja wprowadza szczegółowy system kar pieniężnych. Te sankcje mają na celu egzekwowanie przestrzegania przepisów zarówno przez podmioty kluczowe i ważne, jak i przez osoby zarządzające tymi podmiotami.

Wysokość kar jest surowa i ma charakter odstraszający. Podmioty kluczowe mogą zostać ukarane kwotą do 10 milionów euro lub 2% rocznego obrotu, w zależności od tego, która kwota jest wyższa. W przypadku mniejszych podmiotów, kara może wynosić do 7 milionów euro lub 1,4% obrotu. Minimalne kary wynoszą odpowiednio 20 000 zł dla podmiotów kluczowych i 15 000 zł dla podmiotów ważnych. Najbardziej surowe kary dotyczą niewykonania obowiązków związanych z dostawcami uznanymi za DWR. Dodatkowo, za niewykonanie polecenia zabezpieczającego, przewidziano kary sięgające nawet 100 milionów złotych. Kara ta jest nakładana, gdy naruszenie powoduje poważne zagrożenie dla bezpieczeństwa państwa lub porządku publicznego.

Osoby zarządzające podmiotami kluczowymi i ważnymi także podlegają odpowiedzialności. Zgodnie z projektowanymi rozwiązaniami, kierownicy podmiotów mogą zostać ukarani karą pieniężną do 600% swojego wynagrodzenia, jeżeli nie wywiązują się z obowiązków wynikających z ustawy. To dodatkowy mechanizm, który ma na celu motywowanie osób na stanowiskach kierowniczych do pilnego przestrzegania przepisów.

Make AI Clear

Chcesz wiedzieć więcej o kwestiach prawnych związanych z AI?

Odwiedź nasz portal: Make AI Clear 

Podsumowanie

Nowelizacja ustawy o KSC wprowadza nowe wymogi i procedury, których celem jest zwiększenie ochrony przed zagrożeniami cybernetycznymi. Wprowadzenie procedury uznania dostawcy za DWR oraz surowe kary finansowe za jej niewykonanie stanowią kluczowe elementy tej regulacji. Czas na dostosowanie się do jej wymogów będzie krótki. Warto już dziś monitorować zmiany, aby w odpowiednim czasie powziąć działania zmierzające do zapewnienia zgodności z nowymi wymogami. 

Kontakt

Chcesz dowiedzieć się więcej?

Skontaktuj się z nami.

Informacje

Autor Justyna Wilczyńska-Baraniak

EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat

Lider Zespołu Prawa Własności Intelektualnej, Technologii, Danych Osobowych w Kancelarii EY Law. Doradza na rzecz korporacji w zakresie ochrony własności intelektualnej i wdrażania nowych technologii.

Współautorzy
Szymon Skalski
Powiązane tematy Doradztwo prawne AI Cybersecurity
  • Facebook
  • LinkedIn
  • X (formerly Twitter)