Mniejsze firmy zostały zwolnione z tych regulacji, chociaż istnieją wyjątki od tej zasady.
Zmiana ustawy dotyczącej krajowego systemu ochrony cybernetycznej znacząco zwiększy ilość podmiotów, które będą musiały przestrzegać nowych wymogów w tym zakresie. Nowe regulacje mogą obejmować od kilkunastu do nawet kilkudziesięciu tysięcy organizacji działających w Polsce. Dotychczas jedynie około 400-500 podmiotów było zobowiązanych do stosowania tych przepisów.
W dniu 19 lutego prezydent Karol Nawrocki zatwierdził nowelizację ustawy o krajowym systemie cyberbezpieczeństwa i skierował ją do analizy przez Trybunał Konstytucyjny. Zgodnie z zapowiedziami, nowe regulacje wejdą w życie miesiąc po publikacji w Dzienniku Ustaw, co oznacza, że zaczynają obowiązywać od 3 kwietnia. Jak wskazuje prawnik Michał Opala z kancelarii Sołtysiński Kawecki & Szlęzak, zmiany te znacznie poszerzają krąg sektorów objętych regulacjami cyberbezpieczeństwa. Dotychczas regulacje koncentrowały się głównie na takich obszarach, jak energetyka, transport, ochrona zdrowia, bankowość, infrastruktura rynków finansowych, dostarczanie wody oraz infrastruktura cyfrowa. Nowe przepisy dodają także inne sektory, w tym zarządzanie technologiami informacyjno-komunikacyjnymi, usługi pocztowe, gospodarkę ściekową, a także produkcję i dystrybucję, włączając przemysł chemiczny i spożywczy. Nowe regulacje obejmą też wiele instytucji publicznych, takich jak urzędy administracji, samorządy, szkoły, szpitale, jednostki badawcze oraz Polska Agencja Prasowa.
Jednym z wymogów dla podmiotów objętych nową ustawą będzie wprowadzenie Systemu Zarządzania Bezpieczeństwem Informacji. Musi on być oparty na rzetelnej analizie ryzyka i służyć zwiększeniu odporności organizacji na zagrożenia cybernetyczne, incydenty oraz luki w bezpieczeństwie. Wymaga to na przykład ustanowienia odpowiednich procedur, technicznych zabezpieczeń oraz działań organizacyjnych. Organizacje będą zobowiązane także do zapewnienia bezpieczeństwa łańcucha dostaw, przeprowadzania szkoleń dla pracowników dotyczących tzw. cyberhigieny oraz dokładnego identyfikowania posiadanych systemów i urządzeń informatycznych. Istotne będzie także określenie, kto w danej firmie lub instytucji ma dostęp do różnych zasobów cyfrowych.
– Cała idea regulacji w zakresie cyberbezpieczeństwa skupia się na tym, aby podejmowane działania przez konkretne podmioty w obszarze gospodarki były proporcjonalne zarówno do ich potrzeb, jak i do zagrożeń, jakie mogą wyniknąć z ich działalności. Inne rodzaje ryzyka występują w przypadku rolnictwa czy produkcji żywności, a inne w przypadku firm świadczących usługi cyfrowe. W pierwszym przypadku zakłócenie procesu produkcji żywności może mieć poważne konsekwencje – wyjaśnia ekspert.
Przedsiębiorstwa objęte nowymi zasadami będą miały rok na pełne dostosowanie się do wymogów ustawy. W pierwszej fazie, przez sześć miesięcy, będą musiały przeprowadzić tzw. samoidentyfikację, aby ustalić, czy podlegają nowym przepisom, a następnie zarejestrować się w odpowiednim rejestrze prowadzonym przez instytucje państwowe. Kolejne sześć miesięcy będzie przeznaczone na osiągnięcie pełnej zgodności z wymaganiami regulacyjnymi.
Jak zaznacza Michał Opala, ustalenie, czy firma podlega nowym przepisom, może być skomplikowane. Kryteria określone w załączniku do ustawy opierają się głównie na wielkości przedsiębiorstwa, liczbie zatrudnionych oraz rocznych przychodach. Dla średnich firm próg wynosi co najmniej 50 pracowników i 10 milionów euro obrotu rocznie. W przypadku dużych przedsiębiorstw granice wynoszą 250 pracowników i 50 milionów euro przychodu. Ponadto, małe przedsiębiorstwa są wyłączone z tych regulacji, chociaż istnieją wyjątki, dotyczące na przykład firm świadczących usługi związane z cyberbezpieczeństwem. – W tym przypadku próg wielkości jest niższy, i firma zatrudniająca nawet 10 osób może być objęta przepisami – podkreśla prawnik.
O zakwalifikowaniu firmy do nowych regulacji może decydować nie tylko jej podstawowa działalność, ale również poboczne aspekty działalności. Na przykład, małe przedsiębiorstwo produkcyjne, które posiada bocznicę kolejową, może zyskać inny status w kontekście nowych przepisów.
Największym wyzwaniem dla wielu organizacji może okazać się nie tyle wprowadzenie nowych procedur, ile ich efektywne wdrożenie w praktyce. – Istnieje pułapka, gdy na początku przyjmujemy zbyt ambitne cele, wyznaczając wysokie standardy, które chcemy utrzymać w naszej organizaacji. Czasami niemożliwe jest ich wdrożenie, co często zostaje zapomniane. To, co zaobserwowaliśmy w kontekście przepisów ogólnych o ochronie danych osobowych, gdzie tworzone były głośne dokumenty, które trafiały na półki, do których nikt nie zaglądał. Przepisy nowej ustawy o KSC z jednej strony dają swobodę w stworzeniu Systemu Zarządzania Bezpieczeństwem Informacji, ale z drugiej strony obligują do późniejszego przestrzegania założonych wymogów – tłumaczy Michał Opala.
Ustawa przewiduje także wysokie kary za brak realizacji nałożonych obowiązków. Maksymalne sankcje mogą wynosić nawet 10 milionów euro lub 2% rocznego obrotu przedsiębiorstwa. W najcięższych przypadkach do ignorowania wskazówek organów nadzorujących kary mogą sięgnąć nawet 100 milionów złotych. System kar jest jednak progresywny i ma na celu przede wszystkim nakłonienie firm do dostosowania się do nowych regulacji.
Nowelizacja ustawy wprowadza w Polsce dyrektywę unijną NIS 2 dotycząca cyberbezpieczeństwa oraz dokument 5G Toolbox związany zabezpieczeniem sieci 5G. Równocześnie zmienia się podział podmiotów objętych regulacjami – zamiast operatorów kluczowych i dostawców usług cyfrowych wprowadza się tzw. podmioty kluczowe oraz podmioty istotne.
