Incydenty bezpieczeństwa w nowych realiach

Kwestia NIS2 jest dość świeżym tematem, w mojej opinii bardzo ważnym. A jednak nie obserwuję zbyt dużego zainteresowania tym tematem wśród moich najbliższych współpracowników. Osobiście uważam, że nie powinno tak być, a świadomość czym jest NIS2 oraz ustawa o KSC, a także co to wnosi powinna być znana powszechnie.

Od 3 kwietnia b.r. obowiązuje nas ustawa o KSC - Krajowym Systemie Cyberbezpieczeństwa. Jest to bezpośrednia implementacja NIS2, czyli dyrektywy unijnej, która została uchwalona 14 grudnia 2022 r (w swojej pierwszej wersji, najnowsze poprawki wdrożone zostały w lutym 2026). Jak z wieloma ustawami, które dotyczą cyberbezpieczeństwa niesie ze sobą szeroko zakrojone zmiany, ale i istotne konsekwencje w razie nieprzestrzegania nowych przepisów.

Kto identyfikuje zainteresowanych?

Ważnym elementem w przypadku ustawy o KSC jest element samoidentyfikacji. Do tej pory było tak, że podmioty o znaczeniu strategicznym, czy też po prostu o dużym znaczeniu dla Państwa były identyfikowane z urzędu. Ta opcja oczywiście pozostała, jednakże jest traktowana jako opcja zapasowa, bo główny obowiązek rejestacji podmiotu jako ważny lub kluczowy spada na wspomniane podmioty. Innymi słowy to jednostki fizyczne odpowiedzialne bezpośrednio za dany podmiot prawny mają obowiązek zidentyfikować czy faktycznie są podmiotem, który się klasyfikuje i jeśli tak musi zgłosić się do odpowiedniego rejestru.

Kto jest odpowiedzialny w tym wszystkim?

Za niedopełnienie obowiązku rejestracji odpowiada sam podmiot bądź osoby odpowiedzialne za podmiot (np. zarząd spółki). Jednocześnie, za każdy incydent bezpieczeństwa i dochowanie obowiązku rejestracji incydentu po dniu 03.04 będzie również odpowiadać ten sam zbiór osób. Oznacza to, że czy spółka, czy DG wystarczy spełniać warunki objętościowe/wielkościowe, a także obszar działalności/firmy, a zaczynamy podpadać pod NIS2, gdzie odpowiedzialność ciąży na obywatelu.

Jakie są kryteria identyfikacji?

Podstawowym kryterium jest wielkość podmiotu. W ogólności chodzi zazwyczja o firmy (każdego rozmiaru), które muszą lub po prostu przetwarzają dane personalne pracowników i/lub kontrahentów w systemie IT, ale także muszą należeć do jednego ze wskazanych przez ministerstwo sektorów gospodarki. Trzeba jednak wskazać, że zgodnie z wytycznymi a także ze zwykłą logiką - w sektorze kluczowym zazwyczaj operują duże firmy, a w sektorze ważnym częściej spotkamy firmy małe i średnie. Oznacza to, że podmiotami ważnymi częściej będą małe i średnie działalności powiązane z danymi sektorami, a podmioty duże znacznie częściej będą uznawane za kluczowe. W rzeczywistości ten podział jest bardziej złożony, więc polecam odnieść się do podlinkowanej na dole posta strony, która opisuje to znacznie dokładniej.

Istotna nota jest taka, że katalogu przedsiębiorców wykluczonych nie ma. Po prostu nie istnieje. Działa to na tej zasadzie, że jeśli nie klasyfikujesz się (kryterium wielkościowe oraz kryterium sektora nie aplikują się do Twojej działalności) to te przepisy nie będą obowiązywały wobec Twojej firmy. Sektory kluczowe to:

energia (na przykład energia elektryczna, gaz, paliwa i ropa, ciepło)
transport lotniczy, kolejowy, wodny i drogowy
finanse (bankowość i infrastruktura rynku finansowego, jak instytucje kredytowe, operatorzy systemów obrotu i partnerzy centralni)
ochrona zdrowia, w tym podmioty świadczące opiekę zdrowotną, producenci podstawowych produktów farmaceutycznych i wyrobów medycznych o krytycznym znaczeniu oraz laboratoria referencyjne UE
woda pitna
ścieki
infrastruktura cyfrowa, w tym dostawcy usług centrów danych, usług przetwarzania w chmurze, publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej
zarządzanie usługami ICT (teleinformatycznymi)
przestrzeń kosmiczna
wybrane podmioty publiczne.

Sektory ważne to:

usługi pocztowe, w tym kurierskie
inwestycje energetyki jądrowej
gospodarka odpadami
produkcja, wytwarzanie i dystrybucja chemikaliów
produkcja, przetwarzanie i dystrybucja żywności
produkcja, w szczególności wyrobów medycznych, komputerowych, elektronicznych i optycznych, niektórych rodzajów sprzętu elektrycznego i maszyn, pojazdów silnikowych i innego sprzętu transportowego
dostawcy usług cyfrowych w zakresie internetowych platform handlowych, wyszukiwarek i sieci społecznościowych
badania naukowe
podmioty publiczne (regionalne): samorządowe jednostki budżetowe, samorządowe zakłady budżetowe, samorządowe instytucje kultury, spółki realizujące zadania użyteczności publicznej.

A co grozi podmiotowi, który zaniecha wdrożenia ustawy o KSC?

Kara za niedołożenie szczególnej staranności w przygotowaniu do wdrożenia w naszej firmie ustawy o KSC jest objęte dość srogimi karami finansowymi.

Podzielone one są ze względu na typ podmiotu: kluczowy i ważny. Podmiot kluczowy może otrzymać karę w wysokości do 10 mln EUR lub do 2% obrotu rocznego za rok poprzedzający nałożenie kary. Podmiot ważny może natomiast otrzymać karę w wysokości do 7 mln EUR lub do 1,4% obrotu rocznego. Jak łatwo zauważyć jest tam “lub”. Stosuje się oczywiście wymiar kary wyższy. W obu przypadkach jest też dolny limit kary. Dla podmiotów kluczowych jest to 20 000zł, a dla ważnych 15 000zł. Z kolei górny limit jest ustawiony na wartość 100 mln zł.

A tak w skrócie, to co należy wdrożyć?

Wdrożenie ustawy o KSC obejmuje przede wszystkim podjęcie takich działań jak:

zarządzanie ryzykiem w cyberbezpieczeństwie
wdrożenie odpowiednich i proporcjonalnych środki technicznych, operacyjnych i organizacyjnych w firmie
zgłaszanie incydenty cyberbezpieczeństwa
zarządzanie bezpieczeństwem łańcucha dostaw ICT
monitorowanie statusu dostawców (na przykład czy zostali uznani za wysokiego ryzyka).

Implementacja tych kroków tj. wypełnienie tych obowiązków realizowane ma być poprzez System Zarządzania Bezpieczeństwem Infomracji. O więcej detali dot. SZBI zachęcam do odwiedzenia podlinkowanej niżej strony rządowej.

Podsumowując, NIS2 nie jest niczym strasznym. W mojej opinii sprowadza się do zarejestrowania podmiotów, które podlegają pod to, wdrożenia relewantnych środków cyberbezpieczeństwa a następnie ciągłego monitorowania systemów, które posiadamy, ale także sytuacji cybersecurity w naszym najbliższym otoczeniu, dodatkowo zgłaszając wszelkie dotycące nas incydenty bezpieczeństwa.