Nowelizacja ustawy o cyberbezpieczeństwie uderzy w małe firmy? Nie spełnisz wymogów – stracisz kontrakt [PYTANIA DO EKSPERTA]

Mały przewodnik po nowelizacji ustawy KSC

Żeby przełożyć przepisy na praktykę, przygotowaliśmy zestaw pytań, które najczęściej pojawiają się w firmach: od „czy w ogóle wpadam pod NIS2”, przez pierwsze obowiązki i terminy, po incydenty, kary oraz wątek „dostawcy wysokiego ryzyka”. W efekcie powstał przewodnik w formule Q&A – bez prawniczego żargonu tam, gdzie da się go uniknąć, ale z twardymi konkretami tam, gdzie decydują terminy, procedury i odpowiedzialność zarządu.

Czy Twoja firma podlega NIS2

Skąd mam wiedzieć, czy moja firma w ogóle „wpada” pod NIS2? Jakie są najprostsze kryteria (branża, wielkość), a gdzie ludzie najczęściej się mylą? Co z małymi podwykonawcami, którzy nie podlegają ustawie bezpośrednio?

Przepisy zawierają dwa główne kryteria klasyfikacji: branżowe oraz wielkościowe. Jeśli chodzi o kryterium wielkościowe, co do zasady, podmiotem ważnym lub kluczowym może być podmiot, który jest co najmniej średnim przedsiębiorstwem w rozumieniu przepisów. Jednak, przepisy przewidują od tego wyjątki i niektóre podmioty mogą być uznane za podlegające obowiązkom niezależnie od wielkości. Ponadto, w określonych sytuacjach uznanie za tego typu podmiot może nastąpić w drodze decyzji administracyjnej, pomimo niespełniania przesłanek ustawowych (np. jeśli jest to jedyny podmiot, który świadczy usługę, która ma kluczowe znaczenie dla krytycznej działalności społecznej lub gospodarczej).

Jeśli chodzi o kryterium branżowe, przepisy zawierają wykaz stosownych sektorów i podsektorów, w których działalność prowadzą podmioty zobowiązane. Należy więc w tym zakresie dokładnie przeanalizować wykaz i zestawić go w szczególności z kodami PKD prowadzonej przed dany podmiot działalności. Warto zwrócić uwagę na poszerzenie zakresu stosowania przepisów w stosunku do obecnego stanu o nowe sektory np. różne podsektory produkcyjne. Część podmiotów zobowiązanych może więc nie mieć świadomości, że podlega pod nowe przepisy. Dokonanie klasyfikacji może nie być więc łatwe i często będzie wymagało zewnętrznego wsparcia.

Nowe przepisy będą miały również wpływ na mniejsze podmioty, świadczące usługi/dostarczające towary na rzecz podmiotów zobowiązanych. Pomimo braku bezpośredniego stosowania przepisów do takich podmiotów, często będą oni musieli spełniać określone wymogi w zakresie bezpieczeństwa narzucane przez kontrahentów. Wynika to m.in. z obowiązków w zakresie bezpieczeństwa i ciągłości łańcucha dostaw, będących jednym z elementów systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym, która mają stosować podmioty zobowiązane.

Pierwsze kroki po wejściu przepisów

Co jest pierwszym obowiązkiem po wejściu przepisów i kiedy wejdą one w Polsce? Jeśli firma ma się sama „zidentyfikować” i zgłosić do wykazu, to co w praktyce trzeba przygotować i kto powinien to zrobić w organizacji?

Ustawa ma wejść po upływie miesiąca od dnia ogłoszenia. Pierwszym znaczącym obowiązkiem dla podmiotów zobowiązanych, po dokonaniu "samoidentyfikacji" jako podmiot ważny lub kluczowy jest złożenie wniosku o dokonanie wpisu w stosownym wykazie (w terminie 6 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny). Wniosek o wpis do wykazu zawiera szereg informacji wskazanych wprost w ustawie. Warto zwrócić uwagę np. na: dane osób do kontaktu z podmiotami z krajowego systemu cyberbezpieczeństwa, informację określającą, w których państwach członkowskich UE podmiot prowadzi działalność, informację o zawarciu umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa na realizację zadań określonych w ustawie. W związku z tym przed złożeniem wniosku o dokonanie wpisu pewne kwestie dotyczące np. personelu zajmującego się cyberbezpieczeństwem w organizacji powinno być już ustalone.

Wniosek jest składany pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia. Wniosek sporządza się w postaci elektronicznej. Ponadto, w ciągu 12 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny, podmiot zobowiązany musi spełnić szereg różnych innych obowiązków. Po pierwsze, musi wdrożyć system zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi przez ten podmiot, który musi spełniać wiele różnych kryteriów (np. w zakresie szacowania ryzyka wystąpienia incydentu, wdrożenia odpowiednich środków technicznych i organizacyjnych itd.).

Podmioty zobowiązane muszą również wyznaczyć osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Podmioty zobowiązane muszą opracować, stosować i aktualizować dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi obejmującą dokumentację normatywną i operacyjną. Kolejną ważną grupą obowiązków są obowiązki związane z obsługą incydentów. Dotyczy to w szczególności klasyfikowania incydentów, dokonywania ich zgłaszania, udzielania informacji odpowiednim organom, informowania użytkowników, przygotowywania sprawozdań itp.

W celu realizacji powyższych działań, podmioty zobowiązane mogą powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawrzeć umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa. Na podmioty kluczowe został ponadto nałożony dodatkowy obowiązek przeprowadzenia, co najmniej raz na 3 lata, zewnętrznego audytu bezpieczeństwa systemu informacyjnego. Kopia raportu jest przedstawiana organowi właściwemu do spraw cyberbezpieczeństwa. Podmioty ważne i kluczowe są zobowiązane również do korzystania z dedykowanego systemu teleinformatycznego zapewnianego przez właściwe ministerstwo w terminie 12 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny. System ten (S46) ma stać się głównym środkiem komunikacji pomiędzy podmiotami krajowego systemu cyberbezpieczeństwa.

Warto również zwrócić uwagę na przepisy przejściowe, w szczególności w przypadku podmiotów, które na podstawie dotychczasowych przepisów były kwalifikowane odpowiednio jako operatorzy usług kluczowych oraz dostawcy usług cyfrowych. Z tych przepisów mogą wynikać w szczególności inne terminy realizacji obowiązków.

Odpowiedzialność zarządu i sankcje osobiste

Jak realnie wygląda odpowiedzialność zarządu w związku z NIS2 w Polsce – co musi wiedzieć prezes, a co może delegować? Czy prezes firmy może naprawdę stracić pensję lub stanowisko przez hakerów?

Kierownik podmiotu kluczowego lub podmiotu ważnego (czyli w przypadku spółek – zarząd) z mocy ustawy ponosi odpowiedzialność za wykonywanie obowiązków podmiotu w zakresie cyberbezpieczeństwa. W przypadku gdy kierownikiem podmiotu kluczowego lub podmiotu ważnego jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponoszą wszyscy członkowie tego organu.

Odpowiedzialność kierownika podmiotu następuje także wtedy, gdy niektóre z obowiązków zostały powierzone innej osobie za jej zgodą. W szczególności kierownik podmiotu zobowiązanego:

• podejmuje decyzje w zakresie przygotowania i stosowania systemu zarządzania bezpieczeństwem informacji w podmiocie,
• planuje adekwatne środki finansowe na realizację obowiązków, przydziela zadania z zakresu cyberbezpieczeństwa i nadzoruje ich wykonanie,
• dba o świadomość personelu w zakresie obowiązków związanych z cyberbezpieczeństwem, zapewnia zgodność działania tego podmiotu z przepisami,
• musi również obowiązkowo raz do roku przejść szkolenie, w którym udział jest udokumentowany.

Przepisy, poza możliwością nałożenia kar na sam podmiot zobowiązany, umożliwiają również niezależnie nałożenie kary pieniężnej bezpośrednio na kierownika podmiotu zobowiązanego za niewypełnienie przez niego obowiązków wskazanych w ustawie. Taka kara pieniężna może być wymierzona w kwocie nie większej niż 300% otrzymywanego przez ukaranego wynagrodzenia.

Kary brzmią groźnie – ale za co w praktyce najłatwiej „dostać” sankcję? Jakie zachowania (albo zaniedbania) są najczęstszą przyczyną kar i kontroli?

Przepisy zawierają szeroki katalog sytuacji, za które grozi nałożenie kary finansowej. Dotyczą w szczególności niespełnienia któregokolwiek z obowiązków wskazanych powyżej. Kary są więc przewidziane przykładowo zarówno za brak wniosku o dokonanie wpisu w wykazie, jak i nieposiadanie stosownej dokumentacji, ale także brak odpowiedniej obsługi incydentów.

Karze podlegają również takie przewinienia jak brak współpracy z organami, utrudnianie kontroli, czy niewykonanie zaleceń pokontrolnych w terminie. Kary mogą być przy tym nakładane nawet, jeśli naruszenie miało charakter jednorazowy. Wysokość kar może sięgać 10 mln euro lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności. Kara ta nie może być jednak niższa niż 20 000 zł.

Co ważne, zgodnie z przepisami, kary pieniężne mogą być po raz pierwszy nałożone po upływie 2 lat od dnia wejścia w życie ustawy. Warto również wskazać, że podejmując decyzję o nałożeniu kary pieniężnej i ustalając jej wysokość, właściwy organ jest zobowiązany uwzględnić szereg kryteriów, takich jak: możliwości finansowe podmiotu, wagę naruszenia, czas jego trwania, wcześniejsze naruszenia ze strony podmiotu, umyślny lub nieumyślny charakter działania, spowodowane szkody, stopień współpracy z właściwym organem. Ważna jest więc aktywna postawa podmiotu zobowiązanego i chęć współpracy z organami, co może pozwolić na obniżenie wysokości ewentualnej kary pieniężnej lub nawet odstąpienie od jej nałożenia.

Wymogi na start

Jakie są najbardziej „bolesne” wymogi na start – takie, które w firmach najczęściej nie działają?

Zależy to oczywiście od wielu czynników, w tym wielkości organizacji, jej dojrzałości oraz sektora, w którym działa. Jeśli chodzi o obszary, które mogą być szczególnie problematyczne dla zobowiązanych podmiotów, możemy wskazać np. brak realnego systemu zarządzania ryzykiem cyberbezpieczeństwa, brak udokumentowanych planów awaryjnych i ciągłości działania (w tym polityk kopii zapasowych), brak uwierzytelnienia wieloskładnikowego we wszystkich istotnych systemach i aplikacjach, bezpieczeństwo łańcucha dostaw, formalna obsługa incydentów i obowiązek ich raportowania.

Warto przy okazji podkreślić, że dla podmiotów, które były objęte zakresem stosowania dotychczasowych przepisów z zakresu cyberbezpieczeństwa, nowe przepisy stanowią raczej ewolucję niż rewolucję. Można więc przypuszczać, że nowe obowiązki będą największym wyzwaniem dla podmiotów, które nie były zobowiązane prawnie do uregulowania wewnętrznie ww. obszarów.

---

Zgłaszanie incydentów:

Czy 24/72 godziny na zgłoszenie incydentu to termin realny? Co uznaje się za „poważny incydent”?

W zakresie incydentów, obowiązują trzy kluczowe terminy. W ciągu maksymalnie 24 godzin od momentu wykrycia incydentu poważnego, podmiot zobowiązany musi zgłosić wczesne ostrzeżenie o incydencie do właściwego CSIRT sektorowego. W ciągu maksymalnie 72 godzin od momentu wykrycia incydentu poważnego musi z kolei zgłosić ten incydent do właściwego CSIRT sektorowego.

Co ważne, podmiot zobowiązany przekazuje informacje znane mu w chwili dokonywania zgłoszenia, które uzupełnia w trakcie obsługi incydentu poważnego. Następnie nie później niż w ciągu miesiąca od dnia zgłoszenia musi przekazać właściwemu CSIRT sektorowemu sprawozdanie końcowe z obsługi incydentu poważnego.Są to podstawowe obowiązki w zakresie incydentów, które mogą w określonych sytuacjach podlegać modyfikacjom (np. o obowiązek poinformowania użytkowników o incydencie).

Co do zasady, zgłoszeniu podlegają tylko incydenty o pewnym poziomie istotności, czyli incydenty poważne. Progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w ustawie zostaną określone w rozporządzeniu do ustawy (tak, jak ma to miejsce w obecnej treści ustawy). Pozwoli to ograniczyć nadmiarowe zgłaszanie incydentów przez podmioty zobowiązane.

Dostawca wysokiego ryzyka i kto za to wszystko zapłaci

„Dostawca wysokiego ryzyka” co to znaczy i kto ma się tym przejmować? Czy przedsiębiorca ma obowiązek wymieniać sprzęt/oprogramowanie, jeśli państwo uzna dostawcę za ryzykownego i jakie są typowe spory prawne na tym tle?

Regulacje dotyczące dostawców wysokiego ryzyka, choć są zawarte w przepisach nowelizujących dotychczasową ustawę o krajowym systemie cyberbezpieczeństwa nie stanowią stricte implementacji przepisów dyrektywy NIS2. Przepisy w tym zakresie umożliwiają uznanie określonego dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Postępowanie w tym zakresie nie będzie dotyczyło wszystkich produktów ICT, usług ICT i procesów ICT pochodzących od konkretnego dostawcy sprzętu lub oprogramowania, lecz tylko tych, które są wykorzystywane przez podmioty kluczowe i podmioty ważne (z pewnymi wyłączeniami np. dla mniejszych podmiotów wykonującymi działalność telekomunikacyjną).

Minister w drodze decyzji, uznaje dostawcę sprzętu lub oprogramowania oraz podmioty wchodzące w skład grupy kapitałowej za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowi zagrożenie dla podstawowego interesu bezpieczeństwa państwa. Decyzja zawiera w szczególności wskazanie typów produktów ICT, rodzajów usług ICT lub konkretnych procesów ICT pochodzących od dostawcy sprzętu lub oprogramowania uwzględnionych w postępowaniu w sprawie uznania za dostawcę wysokiego ryzyka. Decyzja podlega natychmiastowemu wykonaniu.

Jeśli chodzi o skutki dla podmiotów stosujących produkty ICT, usługi ICT lub procesy ICT wskazane w decyzji, są one zobowiązane do:

1. niewprowadzania do użytkowania takich produktów, usług i procesów w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka,
2. wycofania z użytkowania takich produktów, usług i procesów w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka w określonym, kilkuletnim terminie.

Jednocześnie, do czasu wycofania sprzętu lub oprogramowania dopuszcza się użytkowanie dotychczas posiadanych produktów, usług i procesów w zakresie naprawy, modernizacji, wymiany elementu lub aktualizacji, jeżeli jest to niezbędne dla zapewnienia odpowiedniej jakości i ciągłości świadczonych usług, w szczególności dokonywania niezbędnych napraw awarii lub uszkodzeń.Za niezastosowanie się do ww. decyzji przewidziano dla podmiotów ważnych i kluczowych w szczególności sankcję w postaci kary pieniężnej.

Czy koszty NIS2 zobaczymy w rachunkach i cenach usług? Które branże najpewniej przerzucą koszty na klientów (telekom, usługi komunalne, zdrowie), a gdzie prawnicy widzą ryzyko „ukrytych” kosztów w umowach i regulaminach?

Można spodziewać się pewnego wzrostu cen, jako że dostosowanie do wymogów może oznaczać duże inwestycje po stronie podmiotów zobowiązanych i część tych kosztów zostanie zapewne przerzucona bezpośrednio na klientów. Można tutaj wskazać w szczególności takie sektory jak telekomy, infrastruktura cyfrowa, sektor komunalny, prywatna opieka medyczna, energia, platformy cyfrowe, usługi SaaS. Dodatkowe koszty mogą być "ukrywane" np. w dodatkowych "usługach bezpieczeństwa".