·

Ustawa o krajowym systemie cyberbezpieczeństwa: nowe obowiązki i kary

PrzezPerceptus

Cyberbezpieczeństwo przestaje być wyłącznie problemem działu
IT. Najnowsza nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa
(UKSC), wdrażająca unijną dyrektywę NIS2 została podpisana przez Prezydenta RP. Zapisy o dostawcach wysokiego ryzyka zostały skierowane do Trybunału
Konstytucyjnego.

Kogo to dotyczy? Kiedy podmiot kluczowy, a kiedy ważny?

Jak już wiele razy informowaliśmy na wcześniejszych etapach
prac nad ustawą, znikają dotychczasowi „operatorzy usług kluczowych”.
Zastępuje ich podział na podmioty kluczowe (zazwyczaj duże
przedsiębiorstwa) oraz podmioty ważne (zazwyczaj średnie
przedsiębiorstwa).

Największą niespodzianką dla wielu przedsiębiorców będzie potężne  rozszerzenie listy sektorów, które obejmują regulacje. Jeśli myślisz, że ustawa Cię nie dotyczy, bo nie jesteś elektrownią, sprawdź, czy Twoja firma nie działa w jednej z tych branż:

I. Sektory kluczowe (Załącznik nr 1):

  1. Energia
  2. Transport
  3. Bankowość i infrastruktura rynków finansowych
  4. Ochrona zdrowia
  5. Zaopatrzenie w wodę pitną i jej dystrybucja
  6. Zbiorowe odprowadzanie ścieków
  7. Infrastruktura cyfrowa
  8. Zarządzanie usługami ICT
  9. Przestrzeń kosmiczna
  10. Podmioty publiczne

II. Sektory ważne (Załącznik nr 2):

  1. Usługi pocztowe
  2. Inwestycje energetyki jądrowej.
  3. Gospodarowanie odpadami
  4. Produkcja, wytwarzanie i dystrybucja chemikaliów
  5. Produkcja, przetwarzanie i dystrybucja żywności
  6. Produkcja
  7. Dostawcy usług cyfrowych
  8. Badania naukowe
  9. Podmioty publiczne

Firma działająca w branży wymienionej w załączniku nr 1 (sektory kluczowe) może zostać sklasyfikowana jako podmiot ważny. Zasada mówiąca, że podmioty kluczowe to zazwyczaj duże firmy, a ważne to zazwyczaj
średnie, wynika z mechanizmu krzyżowania dwóch kryteriów: rodzaju sektora (załącznik 1 lub 2) oraz wielkości przedsiębiorstwa.

Ważne: Ocena wielkości firmy (czy jest średnia, czy duża) opiera się m. in. na rocznym zatrudnieniu i obrotach.

Ustawa zakłada zasadę samoidentyfikacji – państwo nie wyśle
Ci zaproszenia. Masz 6 miesięcy od momentu spełnienia kryteriów na samodzielne
zgłoszenie się do specjalnego wykazu,.

Osobista odpowiedzialność i kary

To absolutnie kluczowa zmiana. Ustawa wprowadza osobistą odpowiedzialność kierownika podmiotu (np. prezesa zarządu) za cyberbezpieczeństwo.

Nie można tego w pełni oddelegować. Nawet powołanie dyrektora IT (CISO) i powierzenie mu takiego zadania nie zdejmuje odpowiedzialności za nadzór i wdrożenie systemu z prezesa.

Kary dla osób fizycznych. Za zaniedbania na kierownika może zostać nałożona kara w wysokości do 300% jego wynagrodzenia (liczonego jak ekwiwalent za urlop).

Zakaz pełnienia funkcji
W skrajnych przypadkach (w podmiotach kluczowych), jeśli firma uporczywie nie usuwa naruszeń, organ nadzorczy  może zakazać prezesowi  pełnienia funkcji zarządczych do czasu naprawienia uchybień.

Obowiązkowa edukacja
Kierownictwo ma ustawowy obowiązek raz w roku przejść szkolenie z zakresu cyberbezpieczeństwa.

Zegarek tyka: 24 godziny na reakcję

Atak hakerski to jedno, ale to, co zrobisz potem, ustawa reguluje co do godziny. Raportowanie incydentów poważnych do odpowiednich zespołów CSIRT to teraz wyścig z czasem:

  • Wczesne ostrzeżenie: Masz zaledwie 24
    godziny od wykrycia incydentu na pierwsze zgłoszenie.
  • Pełne zgłoszenie: W ciągu 72 godzin
    musisz podać ocenę skutków.
  • Sprawozdanie końcowe: W ciągu miesiąca
    od zgłoszenia.

Jeśli zagrożenie jest poważne, masz obowiązek poinformować o nim odbiorców swoich usług i podać im instrukcje, jak mogą się chronić. Kary finansowe dla firm ważą więcej niż RODO.

  • Podmioty kluczowe: Do 10 000 000 euro lub
    2% rocznych przychodów (zastosowanie ma kwota wyższa).
  •           Podmioty ważne: Do 7 000 000 euro lub
    1,4% rocznych przychodów. Jeśli naruszenie doprowadzi do poważnego zagrożenia
    dla życia, zdrowia lub bezpieczeństwa państwa, kara może wynieść z marszu do
    100 000 000 zł.

Z godnie z zapisami nowelizacji powstaną nowe zespoły CSIRT (tj. Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki. CSIRT-y sektorowe mają zwiększyć skuteczność reagowania na cyberzagrożenia i pozwolą
zbudować bazę wiedzy o zagrożeniach oraz podatnościach danego sektora.

Wyrywanie kabli, czyli „Dostawca Wysokiego Ryzyka”

Łańcuch dostaw staje się integralną częścią Twojego
bezpieczeństwa. Nowe prawo daje rządowi potężne narzędzie: Minister
Informatyzacji może uznać dostawcę sprzętu lub oprogramowania za „dostawcę
wysokiego ryzyka” (z powodów np. geopolitycznych). Co to oznacza dla
biznesu?

  • Zakaz kupowania nowych rozwiązań od takiego dostawcy.
  • Obowiązek wycofania z użytkowania dotychczasowego
    sprzętu w ciągu 7 lat (lub zaledwie 4 lat w przypadku funkcji krytycznych dla
    sieci).

Ze względu m. in. na protesty środowisk biznesowych, zapisy o dostawcach wysokiego ryzyka zostały skierowane przez Prezydenta do Trybunału Konstytucyjnego z wnioskiem o kontrolę następczą. Oznacza to, że ustawa wchodzi w życie mimo wątpliwości odnośnie tych przepisów.

Przeglądając setki stron nowelizacji, można trafić na przepisy, które pewnie zaskoczą przedsiębiorców. Oto najciekawsze z nich:

Czy trzeba zażądać zaświadczenia o niekaralności od działu IT?

Administratorzy i osoby realizujące w Twojej firmie kluczowe zadania z zakresu cyberbezpieczeństwa (wdrażające zabezpieczenia, obsługujące incydenty) muszą przedstawić zaświadczenie z Krajowego Rejestru Karnego. Osoba skazana za przestępstwa przeciwko ochronie informacji nie może pełnić tej funkcji.

Czy masz obowiązek wpuścić urzędnika monitorującego, kiedy zapuka do drzwi?

Jeśli jesteś podmiotem kluczowym – tak. Organ nadzorczy ma prawo zastosować wobec podmiotu kluczowego środek w postaci urzędnika
monitorującego”. Urzędnik taki jest wprowadzany do firmy na okres do miesiąca, otrzymuje przepustkę (nie można mu odmówić) i ma prawo swobodnego poruszania się po firmie oraz wglądu w systemy i dokumenty.

Środek ten stosuje się, gdy zachodzi potrzeba bezpośredniego nadzorowania, czy podmiot wykonuje swoje ustawowe obowiązki z zakresu cyberbezpieczeństwa.

Ustanowienie urzędnika monitorującego ma miejsce w szczególności w sytuacji, gdy podmiot kluczowy nie zastosował się do wcześniejszego pisma z ostrzeżeniem (które organ kieruje w przypadku uzasadnionego podejrzenia, że działania lub zaniechania podmiotu mogą naruszać przepisy ustawy).

Czy kontrole muszą być zapowiadane?

Kontrole doraźne prowadzi się zgodnie z przepisami dotyczącymi kontroli na zasadach ogólnych. Mogą jednak być przeprowadzane bez wcześniejszego powiadomienia firmy, jeśli wymaga tego pilność sprawy lub bezpieczeństwo państwa.

Czy obowiązkowa będzie weryfikacja właścicieli domen?

Rejestratorzy domen (np. .pl) muszą weryfikować prawdziwość danych abonentów (np. weryfikując numer telefonu lub e-mail) i na żądanie udostępniać je służbom w ciągu zaledwie 72 godzin. Także nie zdziwcie się, jeśli wasz dotychczasowy dostawca zacznie sprawdzać, kto odbiera podany numer telefonu 😉

Na co zostaną wydane środki z kar za naruszenia zapisów ustawy?

Kary pieniężne nakładane na firmy i prezesów nie rozpłyną się w ogólnym budżecie. Będą one zasilać specjalny „Fundusz  Cyberbezpieczeństwa”, z którego finansowane są m.in. dodatki do pensji („świadczenia teleinformatyczne”) dla ekspertów pracujących dla państwa. 

Podmioty mają 12 miesięcy od momentu wejścia w życie ustawy na wdrożenie odpowiednich systemów zarządzania bezpieczeństwem (SZBI).

Podmioty kluczowe muszą w ciągu 24 miesięcy przejść kosztowny, obowiązkowy audyt. To ostatni dzwonek, aby dokonać analizy prawnej, sprawdzić, czy Twoja firma wpada do „koszyka” NIS2 i rozpocząć audyt zerowy.

 

Chcesz zadbać o cyberbezpieczeństwo?

Skontaktuj się z nami

Zostaw dane - oddzwonimy

Nasz specjalista odezwie się do Ciebie najpóźniej kolejnego dnia roboczego. Nie musisz wypełniać pola wiadomości, ale krótka informacja o interesującym Cię temacie rozmowy będzie dla nas cenną wskazówką.


Powiązane wpisy