Tylko u nas
Rząd zaostrzy prawo? Kary nawet do 100 mln zł
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), który wdraża unijną dyrektywę NIS2, przenosi Polskę na ostrzejszą ścieżkę regulacyjną niż większość państw UE. Nowe przepisy rozszerzają katalog podmiotów objętych nadzorem, kładą akcent na bezpieczeństwo łańcucha dostaw ICT i przewidują kary sięgające 100 mln zł w przypadku naruszeń skutkujących poważnym zagrożeniem dla obronności lub bezpieczeństwa państwa. Dla przedsiębiorstw to sygnał: adaptacja musi ruszyć natychmiast, bo czasu jest niewiele, a koszty i konsekwencje mogą być duże.
Rządowy projekt przedstawiony przez Ministerstwo Cyfryzacji formalnie implementuje europejskie wymagania NIS2, lecz idzie dalej w kilku kluczowych obszarach. Najbardziej jaskrawy przykład to zapis przewidujący sankcję sięgającą 100 mln zł za naruszenia, które powodują bezpośrednie i poważne zagrożenie dla obronności, bezpieczeństwa państwa, życia lub zdrowia ludzi, bądź przyczyniają się do powstania znaczących strat majątkowych lub długotrwałych zaburzeń w świadczeniu usług.
To rozwiązanie, jak ostrzegają prawnicy i branżowi eksperci, przekracza wymogi dyrektywy, która przewiduje maksymalne kary nominalnie mniejsze i dodatkowo dopuszcza naliczanie procentowej wartości przychodów jako alternatywy dla kwoty stałej.
“Celem cyberataków jest sianie niepokoju”. Eksperci wyjaśniają zagrożenia
Projekt przewiduje też narzędzia egzekucyjne, które nie są typowe dla dotychczasowego porządku prawnego. Chodzi o okresowe sankcje pieniężne nakładane za niewykonanie nakazów organu cyberbezpieczeństwa oraz możliwość nadania decyzji o karze rygoru natychmiastowej wykonalności, gdy uzasadnia to ochrona porządku publicznego lub bezpieczeństwa.
Zdaniem krytyków, takie rozwiązania tworzą znaczne ryzyko dla firm, zwłaszcza gdy standardy stosowania i egzekwowania przepisów nie zostaną doprecyzowane przez organy nadzoru.
Cyberataki rosną… najsłabszym ogniwem pozostaje człowiek. Co to znaczy dla polskiego biznesu?
Nowy zakres obowiązków
Projekt KSC rozszerza katalog sektorów objętych regulacją z dotychczasowych dziewięciu do osiemnastu obszarów gospodarki i administracji oraz szacuje, że nowych obowiązków może dotyczyć około 42 tysięcy podmiotów. Najważniejszymi elementami, które będą musiały zostać wdrożone w praktyce, są mechanizmy zarządzania ryzykiem, systemy wykrywania i reagowania na incydenty, zabezpieczenia łańcucha dostaw ICT oraz regularne audyty i szkolenia personelu.
Projekt przewiduje obowiązek samoidentyfikacji, co oznacza, że firmy mają określić, czy podlegają ustawie i w razie kwalifikacji zarejestrować się jako podmiot ważny lub kluczowy. Na realizację tych obowiązków ustawodawca daje jednak niewiele czasu: wniosek rejestracyjny ma być złożony w ciągu trzech miesięcy od wejścia ustawy, a pełen zestaw wymogów technicznych i organizacyjnych ma być wdrożony w sześć miesięcy.
Cyberataki rosną w biznesie. Pracownikom brakuje edukacji?
Dla wielu przedsiębiorstw to realne wyzwanie operacyjne. Firmy, które do tej pory nie miały formalnych obowiązków wynikających z KSC, muszą szybko zbudować polityki bezpieczeństwa, wdrożyć narzędzia monitoringu oraz przeszkolenia, a także opracować procedury reagowania na incydenty.
Koszty tej transformacji eksperci szacują od kilkudziesięciu tysięcy złotych dla małych podmiotów do milionów w przypadku dużych grup, które muszą przebudować infrastrukturę i wprowadzić złożone systemy klasy SIEM.
Cyberataki paraliżują biznes? Polska na pierwszej linii frontu
Rola organu nadzoru
W praktyce największym wyzwaniem może okazać się nie tyle sama technologia, co interpretacja i spójne stosowanie nowych przepisów. W projekcie pozostaje wiele pojęć o nieostrych granicach, na przykład “dostawca usług chmurowych” czy katalog usług i procesów, które w praktyczny sposób wpływają na świadczenie krytycznych usług. Brak jednolitych wytycznych ze strony organu nadzorczego rodzi ryzyko rozbieżnych decyzji i potencjalnych sporów prawnych.
Z praktycznego punktu widzenia kluczowa będzie zatem aktywna rola Ministerstwa Cyfryzacji i zespołów nadzorczych w tworzeniu szczegółowych wytycznych, które pomogą przedsiębiorstwom ocenić, które rozwiązania technologiczne i organizacyjne są wystarczające.
Cyberbezpieczeństwo piętą Achillesową Polaków? Dużo jeszcze do nauki
Doświadczenia z wdrażania poprzedniej dyrektywy pokazują, że regulatorzy rzadziej sięgają od razu po maksymalne sankcje. W ocenie praktyków skuteczniejsza i bardziej realistyczna polityka nadzorcza powinna najpierw premiować poprawę i dialog, a dopiero w ostatniej kolejności stosować dotkliwe kary. W takiej logice kary mają pełnić rolę motywującą, nie zaś wyłącznie represyjną.
Co przedsiębiorcy powinni zrobić?
Choć ustawa nadal będzie procedowana w Sejmie i nie wejdzie w życie w tym roku, eksperci radzą, aby nie zwlekać z przygotowaniami. Największym błędem byłoby traktowanie zmian jako wyłącznie technologicznego projektu IT.
Krytyczne znaczenie mają procesy: mapowanie systemów i procesów wpływających na świadczenie usług, rzetelna analiza ryzyka, wdrożenie monitoringu oraz szkolenia pracowników. Jednocześnie warto rozpocząć przegląd łańcucha dostaw ICT i renegocjację umów z kluczowymi dostawcami. Firmy, które rozpoczną te działania z wyprzedzeniem, ograniczą ryzyko operacyjnych przestojów i ewentualnych sankcji.
Polska wśród krajów najbardziej zagrożonych cyberatakami. Kto za tym stoi?
Polska chce wzmocnić odporność na rosnące zagrożenia w cyberprzestrzeni i traktuje cyberbezpieczeństwo jako element bezpieczeństwa narodowego. Efektem będą wyższe wymogi organizacyjne i technologiczne oraz surowsze sankcje za najpoważniejsze naruszenia.
Dla przedsiębiorstw oznacza to konieczność szybkiej adaptacji, przemyślanej strategii inwestycyjnej i bliskiej współpracy z regulatorami. W warunkach rosnących zagrożeń i ograniczonego czasu przygotowania to właśnie zdolność do sprawnej transformacji procesów bezpieczeństwa zdecyduje o tym, kto uniknie największych kosztów i prawnych konsekwencji.
źródło: WNP, MamStartup, Bankier
