Dnia 24 kwietnia 2024 roku został opublikowany projekt ustawy („Projekt ustawy”), który wdraża unijną Dyrektywę NIS 2 („Dyrektywa NIS 2”) do polskiego systemu prawnego. Dyrektywa NIS 2 reguluje wymagania dotyczące cyberbezpieczeństwa.
Główne założenia Dyrektywy NIS 2 omówiliśmy w naszym artykule Dyrektywa NIS 2, czyli nowe cyber-obowiązki, w którym opisaliśmy również kategorie podmiotów objętych regulacjami, dzieląc je na podmioty kluczowe i ważne.
Odnośnie Projektu ustawy – w naszej ocenie jednym z kluczowych aspektów jest obowiązek wdrażania systemu bezpieczeństwa informacji. Poniżej przedstawiamy Państwu syntetyczny opis najważniejszych kwestii z tym związanych.
Świadome podejście do ryzyka
Projekt ustawy zakłada, że w ramach wdrażania systemu bezpieczeństwa informacji podmioty ważne i kluczowe będą zobligowane do systematycznego szacowania ryzyka wystąpienia incydentu oraz odpowiedniego zarządzania tym ryzykiem.
Kluczowe jest, aby proces ten był systematyczny, a nie jednorazowy. Oznacza to, że przedsiębiorcy będą zobowiązani na stałe wdrożyć lub przeorganizować procesy związane z szacowaniem ryzyka i zarządzania tym ryzykiem.
Wdrożenie odpowiednich środków technicznych i organizacyjnych
Projekt ustawy nakłada na podmioty kluczowe i ważne obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w zakresie prowadzonej działalności.
Poniżej przedstawiamy 5 przykładowych środków technicznych i organizacyjnych wymienionych w Projekcie ustawy:
- Polityka szacowania ryzyka i bezpieczeństwa systemu informacyjnego,
- Plany działania umożliwiające ciągłe i niezakłócone świadczenie usługi,
- System monitorowania w trybie ciągłym,
- Polityki i procedury oceny skuteczności środków technicznych i organizacyjnych,
- Edukacja z zakresu cyberbezpieczeństwa.
Środki te powinny być „szyte na miarę”, co oznacza, że muszą być one:
- odpowiednie,
- proporcjonalne,
- uwzględniające:
- najnowszy stan wiedzy,
- koszty wdrożenia,
- wielkość podmiotu,
- prawdopodobieństwo wystąpienia incydentów,
- narażenie podmiotu na ryzyka.
Zwracamy uwagę, że każdorazowe wdrożenie powinno być poprzedzone odpowiednią analizą uwzględniającą specyfikę działalności danego podmiotu.
Działania zapobiegawcze
Projekt ustawy wprowadza również obowiązek stosowania środków zapobiegających oraz ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego. W ten zakres wchodzą między innymi:
- Mechanizmy zapewniające poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym;
- Bieżące aktualizowanie oprogramowania;
- Niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń.
Obowiązek rejestracyjny i terminy realizacji obowiązków
Podmioty, spełniające kryteria uznania za podmiot kluczowe lub ważne, będą zobowiązane do rejestracji w wykazie podmiotów kluczowych i ważnych. Terminy rejestracji zostaną określone przez Ministerstwo w odrębnym harmonogramie.
Niezależnie od rejestracji, podmioty te będą również miały 6 miesięcy od dnia wejścia w życie ustawy na realizację wynikających z niej obowiązków.
Obecnie Projekt ustawy przewiduje zaskakująco krótki termin wejścia w życie nowych przepisów – 1 miesiąc od dnia ogłoszenia ustawy w Dzienniku Ustaw. Jednakże wpisy do wykazu podmiotów kluczowych i ważnych mają trwać aż do dnia 1 kwietnia 2025 r. i następować mają wg harmonogramu ustalonego przez Ministra do spraw informatyzacji. Dokładany harmonogram zostanie ogłoszony w późniejszym terminie.
Zarząd osobiście odpowiedzialny
Osoby zarządzające podmiotami kluczowymi lub ważnymi, muszą być świadome swojej personalnej odpowiedzialności za wdrożenie i realizację wymagań wynikających z Dyrektywy NIS 2.
Projekt ustawy określa obowiązki osób zarządzających, które obejmują między innymi:
- Podejmowanie decyzji dotyczących przygotowania, wdrażania, stosowania i przeglądu systemu zarządzania bezpieczeństwem informacji,
- Zapewnienie świadomości personelu w zakresie obowiązków związanych z cyberbezpieczeństwem,
- Wprowadzenie wewnętrznych regulacji (np. regulaminów),
- Zapewnienie zgodności działania z przepisami oraz z wewnętrznymi regulacjami (np. regulaminami).
Jeżeli osoby zarządzające nie będą stosowały się do wymagań związanych z Dyrektywą NIS 2, mogą zostać obciążone karą pieniężną.
Zwracamy uwagę, że niezależnie od odpowiedzialności osobistej zarządzających, podmioty kluczowe i ważne mogą zostać obciążone karą w kwocie do 100 mln zł za naruszenia związane z Dyrektywą NIS 2.
Podsumowanie
Wymagania związane z implementacją Dyrektywy NIS 2 z pewnością będą rzutowały na procesy i obszary związane z cyfrowym bezpieczeństwem przedsiębiorstw.
Zwracamy uwagę, że Projekt ustawy zawiera również szereg innych wymagań związanych z Dyrektywą NIS 2 – z których powyżej wymieniono tylko kluczowe.
Ponadto, szczegółowe wytyczne dotyczące systemu zarządzania bezpieczeństwem informacji mogą być ustalane odrębnie dla każdej branży przez Radę Ministrów w formie rozporządzeń.
0 Komentarzy