Ustawa wprowadza roczny okres adaptacyjny, który pozwoli organizacjom na dostosowanie się do nowych wymogów, zanim te wejdą w życie w pełni.

Z dniem 3 kwietnia weszły w życie nowe przepisy, które implementują dyrektywę NIS2 w ramach nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wprowadzone regulacje nakładają surowsze wymagania dotyczące zabezpieczeń systemów informatycznych, zarządzania ryzykiem oraz reakcji na incydenty związane z bezpieczeństwem. Nowe zasady wymagają od firm oraz instytucji publicznych bardziej zintegrowanego podejścia do cyberbezpieczeństwa, uwzględniającego zarówno aspekty technologiczne, jak i organizacyjne.

Jednym z kluczowych wymogów jest przeprowadzenie dokładnej inwentaryzacji zasobów IT oraz identyfikacja potencjalnych zagrożeń dla funkcjonowania systemów teleinformatycznych. Organizacje będą zobowiązane do opracowania i dokumentowania procedur dotyczących ciągłego zarządzania bezpieczeństwem, co obejmuje monitorowanie ryzyka i reagowanie na incydenty. W praktyce oznacza to konieczność utworzenia spójnego systemu zarządzania bezpieczeństwem informacji oraz systematycznego aktualizowania procedur ochrony danych i infrastruktury cyfrowej.

Nowelizacja wprowadza także znaczną zmianę w klasyfikacji podmiotów, które są objęte tymi regulacjami. Dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych został zastąpiony nowymi kategoriami: podmiotami kluczowymi i istotnymi. Katalog instytucji oraz firm zobowiązanych do przestrzegania nowych zasad został rozszerzony. Obejmuje on organizacje działające w sektorach o szczególnym znaczeniu dla funkcjonowania kraju, gospodarki oraz bezpieczeństwa obywateli.

Oszacowano, że nowe przepisy mogą dotyczyć około 38 tysięcy podmiotów, w tym około 27 tysięcy instytucji publicznych. Firmy oraz instytucje działające w wymienionych kompetencjach powinny już teraz ocenić, czy są zobowiązane do stosowania tych regulacji. Ustawa przewiduje roczny okres dostosowawczy, mający na celu umożliwienie organizacjom przygotowanie się do pełnego wdrożenia nowych zobowiązań oraz wprowadzenie odpowiednich procedur i rozwiązań organizacyjnych.

W dniu 13 kwietnia Minister Cyfryzacji rozpoczął procedurę wpisywania z urzędu do rejestru Krajowego Systemu Cyberbezpieczeństwa dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, firm telekomunikacyjnych oraz jednostek publicznych. Natomiast od 7 maja środowisko będzie miało możliwość samodzielnego wpisu do rejestru dla tych podmiotów, które nie zostały uwzględnione w automatycznym procesie.

Do kluczowych sektorów zaliczają się: energetyka (wydobycie surowców, produkcja energii elektrycznej, ciepła, ropa naftowa i paliwa, gaz, energetyka jądrowa, wodór), transport (lotniczy, kolejowy, wodny, drogowy), sektor bankowy oraz infrastruktura rynków finansowych, ochronę zdrowia (świadczenia zdrowotne, zdrowie publiczne, produkcja i dystrybucja substancji czynnych, produktów leczniczych oraz wyrobów medycznych), dostarczanie wody pitnej oraz jej dystrybucję, zbiorowe odprowadzanie ścieków, cyfrową infrastrukturę (z wyłączeniem komunikacji elektronicznej, komunikacja elektroniczna), zarządzanie usługami ICT, działalność w sektorze kosmicznym oraz jednostki publiczne.

W kategorii sektorów istotnych wskazano takie jak usługi pocztowe, inwestycje w energetykę jądrową, gospodarka odpadami (zbieranie, transport oraz przetwarzanie odpadów, w tym sortowanie, nadzór nad tymi działaniami oraz późniejsze prace związane z miejscami unieszkodliwiania odpadów, oraz działalność jako sprzedawca lub pośrednik w obrocie odpadami), produkcję oraz dystrybucję chemikaliów i żywności, a także produkcję: wyrobów medycznych, technologii do diagnostyki in vitro, komputerów, elektroniki i optyki, urządzeń elektrycznych, maszyn oraz pojazdów, a także jednostki prowadzące badania naukowe oraz inne podmioty publiczne.

W najbliższym czasie Ministerstwo Cyfryzacji planuje przekazać do publicznych konsultacji projekt dotyczący norm dokumentów regulacyjnych, które mają na celu pomoc w określeniu konkretnych wymagań dotyczących systemów zarządzania bezpieczeństwem informacji w poszczególnych sektorach objętych nowymi przepisami.

fot. freepik.com
oprac. /kp/