Malé firmy jsou z pravidel vyňaty, nicméně existují výjimky.
Revize zákona o národním systému kybernetické bezpečnosti značně rozšíří okruh subjektů, které budou mít povinnosti v této sféře. Nové předpisy mohou zasáhnout od desítek po stovky tisíc organizací v Polsku. Doposud se regulace vztahovaly pouze na asi 400–500 subjektů.
Dne 19. února prezident Karol Nawrocki schválil novelu zákona o národním systému kybernetické bezpečnosti a současně ji předložil Ústavnímu soudu k posouzení. Podle plánů mají nové předpisy vstoupit v platnost měsíc po zveřejnění ve Sbírce zákonů, tedy 3. dubna. Jak uvedl právník Michał Opala z kanceláře Sołtysiński Kawecki & Szlęzak, změny podstatně rozšiřují seznam odvětví, na které se regulace kybernetické bezpečnosti vztahují. Dosud zahrnovaly především oblasti jako energetika, doprava, zdravotnictví, bankovnictví, infrastruktura finančních trhů, vodní hospodářství a digitální infrastruktura. Novelizace však přidává další sektory, včetně odpadového hospodářství, správy informačních a komunikačních technologií, kosmického prostoru, poštovních služeb, jakož i výroby a distribuce, zvláště v chemickém a potravinářském průmyslu. Nová pravidla se také vztahují na řadu veřejných institucí, jako jsou správní úřady, samosprávy, školy, nemocnice, výzkumné ústavy a také Česká tisková kancelář.
Jedním z úkolů pro subjekty, na které se zákon vztahuje, bude zavést Systém správy informační bezpečnosti. Tento systém by měl být postaven na důkladné analýze rizik a sloužit k budování odolnosti organizace vůči kybernetickým hrozbám, incidentům a bezpečnostním mezerám. V praxi to znamená, že organizace budou muset zavést potřebné postupy, technická opatření a organizační kroky. Také budou muset dbát na bezpečnost dodavatelského řetězce, školit zaměstnance v oblasti takzvané kybernetické hygieny a pečlivě identifikovat své informační systémy a zařízení. Důležitým prvkem bude rovněž určení, kdo v organizaci má přístup k jednotlivým digitálním zdrojům.
– Celá filozofie regulací týkajících se kybernetické bezpečnosti spočívá v tom, že opatření přijatá jednotlivými subjekty v ekonomice by měla být přiměřená jak jejich potřebám, tak i hrozbám, které taková činnost obnáší. Úplně jiná jsou nebezpečí v případě zemědělské činnosti nebo výroby potravin než třeba u firem poskytujících digitální služby, protože v prvním případě může zásah a incident, který naruší proces výroby potravin, způsobit závažné důsledky – vysvětluje odborník.
Subjekty, které se novými regulacemi budou řídit, dostanou jeden rok na to, aby plně splnily povinnosti vyplývající ze zákona. V prvních šesti měsících budou muset provést takzvanou sebeidentifikaci, což znamená zjistit, zda se na ně nové předpisy vztahují, a poté se zaregistrovat v příslušném registru vedeném státními orgány. Druhá polovina roku je pak určena k dosažení plné souladu s regulačními požadavky.
Jak uvádí Michał Opala, zjistit, zda se konkrétní firma podřizuje předpisům, může být složité. Kritéria uvedená v příloze zákona se většinou opírají o velikost podniku, počet zaměstnanců a roční obrat. U středních firem je prahová hodnota alespoň 50 zaměstnanců a 10 milionů eur ročních příjmů. Pro velké podniky je tato hranice 250 zaměstnanců a 50 milionů eur ročního obratu. Malé podniky byly z regulací vyloučeny, ale existují i výjimky, například pro firmy zabývající se kybernetickou bezpečností. – Zde je prahová hodnota snížena, a pokud budeme mít firmu s deseti zaměstnanci, tak takový subjekt bude také podléhat těmto předpisům – zdůrazňuje právník.
Na zahrnutí podniku do nových regulací nemusí mít vliv pouze jeho hlavní činnost, ale také vedlejší aspekty. Příkladem může být menší výrobní podnik, který provozuje vlečku – taková činnost může změnit jeho status podle zákona.
Největší výzvou pro mnohé organizace však může být nikoli samotná povinnost implementovat nové postupy, ale jejich skutečné uplatnění v praxi. – To je past velmi ambiciózního přístupu na začátku, stanovení si příliš vysokých standardů a normativů, které bychom chtěli dodržovat ve své organizaci. Někdy se tyto cíle nedají splnit, na to se často zapomíná. Viděli jsme to na poli pravidel o ochraně osobních údajů, kde se často vytvářely takzvané „slavné složky“, které končily na policích, do kterých nikdo nenahlížel. Pravidla zákona o KSC na jedné straně poskytují svobodu ve vytváření Systému správy informační bezpečnosti, ale na druhé straně ukládají povinnost později naplnit veškeré závazky, které si sami na sebe de facto ukládáme a definujeme – objasňuje Michał Opala.
Zákon také stanoví vysoké pokuty za nesplnění povinností. Maximální sankce mohou dosáhnout až 10 milionů eur nebo 2 % ročního obratu společnosti. V extrémních případech, kdy jsou ignorovány pokyny dozorových orgánů, mohou sankce činit až 100 milionů zlotých. Systém sankcí je však postupný a má především motivovat firmy k přizpůsobení se novým požadavkům.
Novela zákona implementuje v Polsku evropskou směrnici NIS 2 týkající se kybernetické bezpečnosti a dokument 5G Toolbox spojený s bezpečností sítí 5G. S novými pravidly se také mění klasifikace subjektů, na které se regulace vztahují – místo poskytovatelů klíčových služeb a poskytovatelů digitálních služeb se objevují takzvané klíčové subjekty a významné subjekty.


.png)











