Firmy pod lupą. Będą kary do 100 mln zł i obowiązkowe audyty
Nowe przepisy wprowadzają dwustopniowy podział podmiotów objętych ustawą: na kluczowe i ważne. Dotyczy to firm z sektorów takich jak energetyka, bankowość, wodociągi, transport, zdrowie, cyfrowa infrastruktura, produkcja żywności i chemikaliów czy usługi pocztowe. Każda z tych branż będzie zobowiązana do wdrożenia środków technicznych i organizacyjnych zapobiegających atakom, a także do raportowania incydentów.
Za niewypełnienie obowiązków podmiotom kluczowym grozi kara do 10 mln euro lub 2% rocznego światowego obrotu, natomiast dla podmiotów ważnych – do 7 mln euro lub 1,4% rocznego światowego obrotu. Dodatkowo, przewidziano grzywny od 500 do 100 tys. zł za każdy dzień zwłoki w realizacji zaleceń organów właściwych, a w przypadkach poważnych naruszeń, które mogą wpłynąć na bezpieczeństwo publiczne, zdrowie, życie ludzi lub ciągłość świadczenia usług – kary do 100 mln zł.
Od kanalizacji po kosmos – nowe sektory objęte cyberkontrolą
Ustawa rozszerza zasięg KSC na sektory dotąd nieobjęte przepisami, m.in. przestrzeń kosmiczną, gospodarkę wodno-ściekową, sektor rolno-spożywczy, przemysł chemiczny oraz usługi pocztowe. Firmy z tych branż będą musiały przeprowadzić analizę ryzyka, dostosować procedury bezpieczeństwa oraz przeszkolić personel. Nowe zespoły sektorowe CSIRT (Computer Security Incident Response Team) będą wspierać ich działania – zarówno operacyjnie, jak i edukacyjnie.
W ramach nowelizacji powstanie także krajowy plan reagowania na incydenty i sytuacje kryzysowe, który zapewni jednolite zasady działania w przypadku dużych zagrożeń.
KRÓTKI PRZEWODNIK: CSIRT I SYSTEM S46 W PRAKTYCE
CSIRT (Computer Security Incident Response Team) to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego. W Polsce działają trzy główne zespoły krajowe: CSIRT GOV (dla administracji publicznej), CSIRT MON (dla sektora obronnego) oraz CSIRT NASK (dla sektora cywilnego i przedsiębiorstw). Ich zadania to m.in. wykrywanie i analizowanie cyberataków, ostrzeganie przed zagrożeniami, pomoc w reakcji oraz prowadzenie działań edukacyjnych. Po nowelizacji powstaną też zespoły sektorowe, np. dla branży wodociągowej czy spożywczej.
Platforma S46 to system teleinformatyczny opracowany przez NASK, umożliwiający zgłaszanie incydentów cyberbezpieczeństwa. Obowiązek korzystania z tej platformy spoczywa na podmiotach objętych ustawą KSC. Zgłoszenia trafiają bezpośrednio do odpowiednich CSIRT-ów, co skraca czas reakcji i zwiększa skuteczność działań.
Minister z uprawnieniami operacyjnymi. Państwo zyskuje kontrolę
Minister Cyfryzacji, jako organ właściwy w systemie cyberbezpieczeństwa, otrzyma prawo do wydawania poleceń zabezpieczających w sytuacjach incydentów krytycznych, które mogą zagrażać bezpieczeństwu narodowemu, zdrowiu publicznemu lub ciągłości usług. Będzie mógł także prowadzić kampanie edukacyjne i działania podnoszące świadomość społeczną w zakresie cyberzagrożeń.
Dodatkowo, minister uzyska kompetencje do przeprowadzania procedury uznania dostawcy sprzętu lub oprogramowania za tzw. dostawcę wysokiego ryzyka. Decyzja taka podejmowana będzie we współpracy z Kolegium ds. Cyberbezpieczeństwa, na podstawie wieloetapowego postępowania administracyjnego. Podmioty kluczowe i ważne, które korzystają z produktów takiego dostawcy, będą zobowiązane do ich wycofania z użytkowania w ciągu maksymalnie 7 lat, a nowe zakupy od wskazanego dostawcy będą zakazane.
Równolegle Pełnomocnik Rządu ds. Cyberbezpieczeństwa ma zyskać szeroki wachlarz uprawnień, obejmujących m.in. prawo do żądania informacji od organów administracji rządowej oraz od podmiotów objętych systemem KSC, zlecanie badań i analiz niezbędnych do oceny poziomu cyberbezpieczeństwa, a także wydawanie rekomendacji technicznych i organizacyjnych. Będzie mógł również inicjować działania prewencyjne, uczestniczyć w pracach Połączonego Centrum Operacyjnego Cyberbezpieczeństwa oraz współdecydować o kierunkach strategicznych polityki bezpieczeństwa cyfrowego państwa.
To nie tylko bat, ale i mapa drogowa.
Choć nowe przepisy wzbudzają skojarzenia z paniką sprzed wdrożenia RODO, specjaliści ds. bezpieczeństwa podkreślają, że ustawa ma sens również poza systemem kar. Dyrektywa NIS2 promuje zarządzanie ryzykiem, analizę łańcucha dostaw, planowanie ciągłości działania i edukację pracowników jako realne filary bezpieczeństwa. Pamiętajmy też że najlepsza ochrona, to pracownik świadomy zagrożeń. Dlatego ustawa stawia na tzw. cyberhigienę kulturę organizacyjną, w której bezpieczeństwo jest codzienną praktyką, nie tylko procedurą awaryjną.
