
Nowelizacja ustawy KSC. Małe firmy mogą nie wiedzieć, że podlegają nowym obowiązkom
Cześć firm objętych znowelizowaną ustawą o krajowym systemie cyberbezpieczeństwa nie zdaje sobie sprawy z nowych obowiązków – uważają eksperci. Chodzi przede wszystkich o małe i mikro firmy oraz sektory, które wcześniej nie podlegały ustawie np. produkcja żywności. Co trzeba wiedzieć?

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), która w większości weszła w życie 3 kwietnia br., wprowadziła podział na podmioty kluczowe i ważne, a także nowe sektory, które podlegają ustawie. Chodzi m.in. o produkcję i dystrybucję żywności, czy produkcję sprzętu transportowego.
Firmy objęte znowelizowaną ustawą muszą spełnić szereg obowiązków związanych z cyberbezpieczeństwem, w tym same ocenić, czy spełniają kryteria dla podmiotu kluczowego lub podmiotu ważnego, czyli dokonać samoidentyfikacji. Jeśli odpowiedź jest pozytywna – są zobowiązane zarejestrować się w wykazie podmiotów KSC, na co mają czas do 3 października br. Jak przekazał PAP resort cyfryzacji w ciągu dwóch miesięcy od uruchomienia wpisów do wykazu z tego obowiązku wywiązało się 200 firm.
– Z mojego doświadczenia wynika, że często brak wiedzy na temat tego, że jest coś takiego jak nowelizacja UKSC, która może obowiązywać daną firmę, dotyczy branż, które do tej pory nie były objęte tą ustawą – ocenił w rozmowie z PAP radca prawny Tomasz Zalewski. Dodał, że chodzi m.in. o producentów żywności czy części samochodowych, którzy w rozmowie z nim byli zaskoczeni na wieść, że podlegają przepisom krajowego systemu cyberbezpieczeństwa.
Nowa projekcja NBP. Inflacja pod wpływem szoku z Bliskiego Wschodu, KPO napędzi PKB? Sprawdź!
W nowym modelu trzeba brać pod uwagę szerszą perspektywę
Zdaniem ekspertki cyberebezpieczeństwa Joanny Wziątek, problem z samoidentyfikacją mogą mieć zwłaszcza małe firmy. „Z moich obserwacji wynika, że przekonanie, że skoro podmiot jest mały, to regulacja go nie dotyczy, jest dość powszechne” – przekazała w komentarzu udzielonym PAP.
Zwróciła uwagę, że według ustawy o KSC, organ właściwy do spraw cyberbezpieczeństwa może uznać za podmiot kluczowy lub ważny także taki podmiot, który jako jedyny świadczy usługę o kluczowym znaczeniu dla krytycznej działalności społecznej lub gospodarczej i jeżeli zakłócenie tej usługi mogłoby wywołać poważne zagrożenie dla bezpieczeństwa państwa, porządku publicznego albo obronności oraz jeżeli spowodowałoby ryzyko systemowe dla innych podmiotów kluczowych i ważnych, albo gdy dana usługa ma istotne znaczenie na poziomie krajowym lub wojewódzkim, lub dla dwóch lub więcej sektorów.
„Dla wielu przedsiębiorców może to być szokujące, ponieważ dotąd część z nich w ogóle nie patrzyła na swoją działalność przez pryzmat wpływu na ciągłość usług, zależności międzysektorowych ani skutków cyberincydentu dla innych uczestników rynku. W nowym modelu nie wystarczy już odpowiedzieć sobie, że firma jest mała, lokalna albo działa poza “branżą cyber”. Trzeba będzie spojrzeć szerzej i ocenić, czy przypadkiem nie jest się ogniwem łańcucha dostaw, którego awaria zatrzymuje jakiś proces gospodarczy” – zaznaczyła Wziątek.
Rewolucja w AI Act już od 2 sierpnia. Te obowiązki wejdą w życie bez opóźnień, dowiedz się więcej!
Co robić w przypadku wątpliowości?
Jej zdaniem, w przypadku gdy dana firma ma wątpliwości, czy podlega nowym przepisom, najlepiej zapisać się do wykazu KSC „na wyrost”, niż nie zapisać się wcale.
„Podmiot wpisany do wykazu, który w rzeczywistości nie podlega ustawie, może zostać z niego wykreślony przez organ właściwy do spraw cyberbezpieczeństwa. Większym ryzykiem wydaje się zaniechanie samoidentyfikacji niż sama nadmierna ostrożność, o ile oczywiście podmiot działa w dobrej wierze i jest gotów przedstawić argumenty oraz dane uzasadniające swoją decyzję” – przekazała ekspertka.
Zwróciła też uwagę, że dla małych organizacji problemem może być nie tylko samoidentyfikacja, ale też budżet. „By dobrze zrozumieć, a następnie wdrożyć wymogi ustawy może być konieczne skorzystanie z usług specjalistów, których jest mało i których usługi są drogie. Obawiam się że mniejsze firmy, mimo obowiązku podlegania ustawie, nadal nie będą mieć ludzi, czasu ani pieniędzy, by podnieść poziom cyberbezpieczenstwa w sposób metodyczny” – oceniła ekspertka.
Radzi więc, by firma z niewielkim budżetem ocenił tzw. apetyt na ryzyko, czyli odpowiedziała sobie na pytanie, jakie ryzyko jest w stanie zaakceptować, a jakie musi ograniczyć bezwzględnie. „Organizacja musi znać swoje aktywa, ryzyka i zagrożenia, dobrać adekwatne środki techniczne i organizacyjne ograniczające ryzyko oraz mieć wdrożone, przetestowane i realnie stosowane procedury zarządzania incydentami. Należy podkreślić, że sama kupiona dokumentacja, podpisana przez zarząd i schowana do segregatora z napisem “UKSC”, nie zapewnia cyberbezpieczeństwa” – zaznaczyła Wziątek.
Jakie kroki małe firmy powinny wykonać najpierw?
Według ekspertki małe firmy powinny zacząć od trzech rzeczy: spokojnej samoidentyfikacji, mapy procesów krytycznych oraz sprawdzenia, od których systemów i dostawców faktycznie zależy ciągłość działania.
Resort cyfryzacji pytany przez PAP, jak dociera do firm, które podlegają nowym przepisom, a mogą o tym nie wiedzieć, przekazał, że robi to przez działania informacyjne, tj. publikowanie w internecie komunikatów czy materiałów Q&A. Ministerstwo Cyfryzacji organizuje też „liczne wydarzenia, w trakcie których przekazywana jest wiedza dotycząca obowiązków wynikających z nowych regulacji oraz zasad samoidentyfikacji podmiotów” – dodano.
– Dobrze byłoby, gdyby Ministerstwo Cyfryzacji rozpoczęło jakąś szerszą kampanię nakierowaną na konkretne branże, które wcześniej nie podegały ustawie o KSC. Dobrze byłoby docierać do firm z tych sektorów poprzez izby handlowe czy organizacje branżowe. Myślę, że to jest najlepszy sposób na to, żeby wszyscy zainteresowani się dowiedzieli o nowych regulacjach – ocenił Tomasz Zalewski.
Waga może zdecydować o zatrudnieniu? Zaskakujące kryterium na rynku pracy, dowiedz się więcej!
Jakie obowiązki wdrożyła nowelizacja ustawy?
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrożyła w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Nowela przewiduje, że organizacje z sektorów kluczowych i ważnych będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem, w tym m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami.
Do nowych obowiązków należy również wdrożenie środków technicznych i organizacyjnych proporcjonalnych do oszacowanego ryzyka. Nowela zakłada także, że podmioty kluczowe i ważne będą przekazywać sobie nawzajem informacje o incydentach, cyberzagrożeniach i podatnościach za pomocą systemu s46.
Nowymi przepisami objętych jest część podmiotów publicznych, w tym urzędy, samorządy, szkoły, szpitale, instytuty badawcze i Polska Agencja Prasowa.
Podmioty kluczowe i ważne mają czas na dostosowanie się do nowych przepisów do 3 kwietnia 2027. Za niewywiązanie się z nowych obowiązków przedsiębiorcom grożą kary finansowe, które będą mogły być nakładane od 3 kwietnia 2028 r.

