Co się właśnie wydarzyło?

Ustawa wdraża do polskiego prawa unijną dyrektywę NIS2 oraz założenia tzw. Toolbox 5G. Nowe regulacje zostały opublikowane w Dzienniku Ustaw 2 marca i wejdą w życie na początku kwietnia. Jednocześnie Prezydent skierował część przepisów, dotyczących tzw. dostawców wysokiego ryzyka, do kontroli przez Trybunał Konstytucyjny.

Krótko mówiąc: ustawa obowiązuje, ale dyskusja o jej najostrzejszych mechanizmach jeszcze się nie kończy.

Co to oznacza w praktyce?

🔹 Więcej sektorów pod lupą cyberbezpieczeństwa
Do dotychczasowych branż (jak energetyka, bankowość czy transport) dołączają kolejne: m.in. gospodarka ściekowa, usługi pocztowe, produkcja i dystrybucja żywności oraz chemikaliów, a nawet sektor kosmiczny. Lista podmiotów objętych regulacją znacząco się rozszerza.

🔹 Nowy podział: podmioty kluczowe i ważne
Firmy i instytucje działające w strategicznych obszarach zostaną formalnie zakwalifikowane do jednej z dwóch kategorii. Z tym wiążą się konkretne obowiązki: analiza ryzyka, wdrożenie adekwatnych środków technicznych i organizacyjnych, raportowanie incydentów, szkolenia pracowników.

Co istotne, odpowiedzialność nie będzie „rozmyta”. Zarządy ponoszą osobistą odpowiedzialność za realizację obowiązków z zakresu cyberbezpieczeństwa.

🔹 Silniejsze kompetencje organów państwa
Minister właściwy ds. cyfryzacji oraz organy sektorowe (np. KNF czy UKE) zyskują nowe narzędzia: od ostrzeżeń, przez nakaz audytów, po tzw. polecenia zabezpieczające w sytuacji incydentu krytycznego.

Rozwijana będzie też rola zespołów CSIRT i Połączonego Centrum Operacyjnego Cyberbezpieczeństwa jako miejsca wymiany informacji o zagrożeniach i podatnościach.

🔹 Dostawcy wysokiego ryzyka - temat budzący emocje
Ustawa przewiduje procedurę uznania dostawcy za wysokiego ryzyka. W praktyce może to oznaczać konieczność wycofania określonego sprzętu lub oprogramowania z kluczowych systemów - na koszt przedsiębiorcy. To właśnie te przepisy stały się przedmiotem wniosku do Trybunału Konstytucyjnego.

Z naszej perspektywy w C&C Partners to kolejny sygnał, że cyberbezpieczeństwo przestaje być wyłącznie domeną działu IT. Staje się tematem strategicznym - zarządczym i operacyjnym jednocześnie.

Dla wielu organizacji najbliższe miesiące będą czasem:
✔ przeglądu architektury systemów,
✔ weryfikacji dostawców,
✔ aktualizacji procedur,
✔ budowania świadomości wśród pracowników.

Nowelizacja KSC to nie tylko nowe obowiązki. To także impuls do uporządkowania procesów i zwiększenia odporności organizacji na realne, rosnące zagrożenia.

Jeśli chcecie porozmawiać o tym, jak przygotować swoją organizację na nowe wymogi - jesteśmy do dyspozycji.