Firmy pod lupą. Będą kary do 100 mln zł i obowiązkowe audyty

Nowe przepisy wprowadzają dwustopniowy podział podmiotów objętych ustawą: na kluczowe i ważne. Dotyczy to firm z sektorów takich jak energetyka, bankowość, wodociągi, transport, zdrowie, cyfrowa infrastruktura, produkcja żywności i chemikaliów czy usługi pocztowe. Każda z tych branż będzie zobowiązana do wdrożenia środków technicznych i organizacyjnych zapobiegających atakom, a także do raportowania incydentów.

ikona lupy />
Audyt cyfrowy, ustawa o KSC. / AI - GP Chat / genAI

Za niewypełnienie obowiązków podmiotom kluczowym grozi kara do 10 mln euro lub 2% rocznego światowego obrotu, natomiast dla podmiotów ważnych – do 7 mln euro lub 1,4% rocznego światowego obrotu. Dodatkowo, przewidziano grzywny od 500 do 100 tys. zł za każdy dzień zwłoki w realizacji zaleceń organów właściwych, a w przypadkach poważnych naruszeń, które mogą wpłynąć na bezpieczeństwo publiczne, zdrowie, życie ludzi lub ciągłość świadczenia usług – kary do 100 mln zł.

Od kanalizacji po kosmos – nowe sektory objęte cyberkontrolą

Ustawa rozszerza zasięg KSC na sektory dotąd nieobjęte przepisami, m.in. przestrzeń kosmiczną, gospodarkę wodno-ściekową, sektor rolno-spożywczy, przemysł chemiczny oraz usługi pocztowe. Firmy z tych branż będą musiały przeprowadzić analizę ryzyka, dostosować procedury bezpieczeństwa oraz przeszkolić personel. Nowe zespoły sektorowe CSIRT (Computer Security Incident Response Team) będą wspierać ich działania – zarówno operacyjnie, jak i edukacyjnie.

ikona lupy />
Materiały prasowe

W ramach nowelizacji powstanie także krajowy plan reagowania na incydenty i sytuacje kryzysowe, który zapewni jednolite zasady działania w przypadku dużych zagrożeń.

Minister z uprawnieniami operacyjnymi. Państwo zyskuje kontrolę

Minister Cyfryzacji, jako organ właściwy w systemie cyberbezpieczeństwa, otrzyma prawo do wydawania poleceń zabezpieczających w sytuacjach incydentów krytycznych, które mogą zagrażać bezpieczeństwu narodowemu, zdrowiu publicznemu lub ciągłości usług. Będzie mógł także prowadzić kampanie edukacyjne i działania podnoszące świadomość społeczną w zakresie cyberzagrożeń.

ikona lupy />
Wicepremier, minister cyfryzacji Krzysztof Gawkowski / Materiały prasowe / fot. Wojtek Górski

Dodatkowo, minister uzyska kompetencje do przeprowadzania procedury uznania dostawcy sprzętu lub oprogramowania za tzw. dostawcę wysokiego ryzyka. Decyzja taka podejmowana będzie we współpracy z Kolegium ds. Cyberbezpieczeństwa, na podstawie wieloetapowego postępowania administracyjnego. Podmioty kluczowe i ważne, które korzystają z produktów takiego dostawcy, będą zobowiązane do ich wycofania z użytkowania w ciągu maksymalnie 7 lat, a nowe zakupy od wskazanego dostawcy będą zakazane.

Równolegle Pełnomocnik Rządu ds. Cyberbezpieczeństwa ma zyskać szeroki wachlarz uprawnień, obejmujących m.in. prawo do żądania informacji od organów administracji rządowej oraz od podmiotów objętych systemem KSC, zlecanie badań i analiz niezbędnych do oceny poziomu cyberbezpieczeństwa, a także wydawanie rekomendacji technicznych i organizacyjnych. Będzie mógł również inicjować działania prewencyjne, uczestniczyć w pracach Połączonego Centrum Operacyjnego Cyberbezpieczeństwa oraz współdecydować o kierunkach strategicznych polityki bezpieczeństwa cyfrowego państwa.

To nie tylko bat, ale i mapa drogowa.

Choć nowe przepisy wzbudzają skojarzenia z paniką sprzed wdrożenia RODO, specjaliści ds. bezpieczeństwa podkreślają, że ustawa ma sens również poza systemem kar. Dyrektywa NIS2 promuje zarządzanie ryzykiem, analizę łańcucha dostaw, planowanie ciągłości działania i edukację pracowników jako realne filary bezpieczeństwa. Pamiętajmy też że najlepsza ochrona, to pracownik świadomy zagrożeń. Dlatego ustawa stawia na tzw. cyberhigienę kulturę organizacyjną, w której bezpieczeństwo jest codzienną praktyką, nie tylko procedurą awaryjną.