Firmy pod lupą. Będą kary do 100 mln zł i obowiązkowe audyty

**Nowe przepisy wprowadzają dwustopniowy podział podmiotów objętych ustawą: na kluczowe i ważne.** Dotyczy to firm z sektorów takich jak energetyka, bankowość, wodociągi, transport, zdrowie, cyfrowa infrastruktura, produkcja żywności i chemikaliów czy usługi pocztowe. Każda z tych branż będzie zobowiązana do wdrożenia środków technicznych i organizacyjnych zapobiegających atakom, a także do raportowania incydentów.

ikona lupy />
Audyt cyfrowy, ustawa o KSC. / AI - GP Chat / genAI

Za niewypełnienie obowiązków podmiotom kluczowym grozi kara do 10 mln euro lub 2% rocznego światowego obrotu, natomiast dla podmiotów ważnych – do 7 mln euro lub 1,4% rocznego światowego obrotu. Dodatkowo, przewidziano grzywny od 500 do 100 tys. zł za każdy dzień zwłoki w realizacji zaleceń organów właściwych, a w przypadkach poważnych naruszeń, które mogą wpłynąć na bezpieczeństwo publiczne, zdrowie, życie ludzi lub ciągłość świadczenia usług – kary do 100 mln zł.

Od kanalizacji po kosmos – nowe sektory objęte cyberkontrolą

Ustawa rozszerza zasięg KSC na sektory dotąd nieobjęte przepisami, m.in. przestrzeń kosmiczną, gospodarkę wodno-ściekową, sektor rolno-spożywczy, przemysł chemiczny oraz usługi pocztowe. Firmy z tych branż będą musiały przeprowadzić analizę ryzyka, dostosować procedury bezpieczeństwa oraz przeszkolić personel. Nowe zespoły sektorowe CSIRT (Computer Security Incident Response Team) będą wspierać ich działania – zarówno operacyjnie, jak i edukacyjnie.

ikona lupy />
Materiały prasowe

W ramach nowelizacji powstanie także **Krajowy Plan Reagowania na Incydenty i Sytuacje Kryzysowe**, który zapewni jednolite zasady działania w przypadku dużych zagrożeń.

Minister z uprawnieniami operacyjnymi. Państwo zyskuje kontrolę

Minister Cyfryzacji, jako organ właściwy w systemie cyberbezpieczeństwa, otrzyma prawo do wydawania poleceń zabezpieczających w sytuacjach incydentów krytycznych, które mogą zagrażać bezpieczeństwu narodowemu, zdrowiu publicznemu lub ciągłości usług. Będzie mógł także prowadzić kampanie edukacyjne i działania podnoszące świadomość społeczną w zakresie cyberzagrożeń.

ikona lupy />
Wicepremier, minister cyfryzacji Krzysztof Gawkowski / Materiały prasowe / fot. Wojtek Górski

Dodatkowo, minister uzyska kompetencje do przeprowadzania procedury uznania dostawcy sprzętu lub oprogramowania za tzw. dostawcę wysokiego ryzyka. Decyzja taka podejmowana będzie we współpracy z Kolegium ds. Cyberbezpieczeństwa, na podstawie wieloetapowego postępowania administracyjnego. Podmioty kluczowe i ważne, które korzystają z produktów takiego dostawcy, będą zobowiązane do ich wycofania z użytkowania w ciągu maksymalnie 7 lat, a nowe zakupy od wskazanego dostawcy będą zakazane.

Równolegle **Pełnomocnik Rządu ds. Cyberbezpieczeństwa** zyska szeroki wachlarz uprawnień, obejmujących m.in. prawo do żądania informacji od organów administracji rządowej oraz od podmiotów objętych systemem KSC, zlecanie badań i analiz niezbędnych do oceny poziomu cyberbezpieczeństwa, a także wydawanie rekomendacji technicznych i organizacyjnych. Będzie mógł również inicjować działania prewencyjne, uczestniczyć w pracach Połączonego Centrum Operacyjnego Cyberbezpieczeństwa oraz współdecydować o kierunkach strategicznych polityki bezpieczeństwa cyfrowego państwa.

To nie tylko bat, ale i mapa drogowa.

Choć nowe przepisy wzbudzają skojarzenia z paniką sprzed wdrożenia RODO, specjaliści ds. bezpieczeństwa podkreślają, że ustawa ma sens również poza systemem kar. Dyrektywa NIS2 promuje zarządzanie ryzykiem, analizę łańcucha dostaw, planowanie ciągłości działania i edukację pracowników jako realne filary bezpieczeństwa. Pamiętajmy też że najlepsza ochrona, to pracownik świadomy zagrożeń. Dlatego ustawa stawia na tzw. cyberhigienę kulturę organizacyjną, w której bezpieczeństwo jest codzienną praktyką, nie tylko procedurą awaryjną.