Prezydent Karol Nawrocki podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), implementującą unijną dyrektywę NIS2. Nowe przepisy znacząco rozszerzają zakres podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa i nakładają realną odpowiedzialność członków zarządów przedsiębiorstw. Jednocześnie skierowano wniosek do Trybunału Konstytucyjnego w celu kontroli przepisów dotyczących dostawców wysokiego ryzyka.
Nowelizacja stanowi przełomowy krok w kierunku zwiększenia bezpieczeństwa
cyfrowego strategicznych sektorów państwa, a dla biznesu oznacza konieczność
szybkiego przygotowania się do nowych wymogów.
Rozszerzony zakres podmiotów objętych KSC
Nowe regulacje obejmują nie tylko tradycyjne sektory infrastruktury krytycznej, ale
również branże wcześniej mniej uwzględniane, m.in.:
● sektor odprowadzania ścieków,
● usługi pocztowe,
● przemysł kosmiczny,
● produkcję i dystrybucję chemikaliów oraz żywności.
W praktyce oznacza to, że coraz więcej przedsiębiorstw musi przeanalizować
swoją pozycję w kontekście KSC i NIS2, aby ocenić obowiązki związane z
wdrożeniem odpowiednich środków bezpieczeństwa.
Odpowiedzialność zarządów
Kluczowe zmiany w ustawie obejmują:
- Podział na podmioty kluczowe i ważne – wymóg wdrożenia skutecznych
środków technicznych i organizacyjnych oraz osobista odpowiedzialność
kierowników za przestrzeganie przepisów. - Rozszerzenie kompetencji organów państwowych i pełnomocnika ds.
cyberbezpieczeństwa – większy nadzór i możliwość egzekwowania
obowiązków. - Wdrożenie zespołów CSIRT sektorowych i krajowych, wsparcie w
reagowaniu na incydenty oraz gromadzenie wiedzy o zagrożeniach. - Sankcje za naruszenia – od kar finansowych po odpowiedzialność karną dla
członków zarządów.
– Nowelizacja ustawy o KSC to krok w stronę zwiększenia bezpieczeństwa cyfrowego w strategicznych sektorach państwa. Równocześnie nowelizacja nakłada na przedsiębiorców znaczne obowiązki. Szczególną uwagę należy zwrócić na procedurę uznania za dostawcę wysokiego ryzyka oraz na odpowiedzialność zarządu za zapewnienie zgodności procesów wewnętrznych z wymogami NIS2 – podkreśla Adwokat Anna Kobylińska, Właścicielka Kancelarii Adwokackiej Legal Eagles.
Znaczenie dla biznesu
Dla przedsiębiorstw nowelizacja oznacza konieczność:
● przeglądu i aktualizacji polityk bezpieczeństwa,
● wdrożenia odpowiednich procedur i technologii ochrony danych,
● przygotowania organizacji do audytów i kontroli ze strony organów
państwowych,
● zwiększenia świadomości i odpowiedzialności kierownictwa w obszarze
cyberbezpieczeństwa.
Firmy, które zlekceważą nowe wymogi, mogą narazić się na poważne
konsekwencje finansowe i prawne.
Wsparcie prawne – konieczność dla przedsiębiorstw
W świetle nowych przepisów przygotowanie przedsiębiorstwa do wymogów
znowelizowanego KSC (NIS2) staje się obowiązkiem, a nie jedynie opcją. Obejmuje
to zarówno analizę podlegania pod ustawę, jak i wdrożenie procedur
zapewniających zgodność z wymogami prawa. Profesjonalne wsparcie prawne
pozwala właściwie ocenić ryzyka, odpowiedzialność zarządu oraz skutecznie
przygotować organizację do audytów i kontroli.