Nowe obowiązki firm w cyberbezpieczeństwie. Nowelizacja KSC już działa

Od początku kwietnia obowiązują zmienione przepisy dotyczące krajowego systemu cyberbezpieczeństwa. Nowelizacja wdraża unijną dyrektywę NIS 2 oraz założenia Toolbox 5G, co w praktyce oznacza rozszerzenie katalogu firm zobowiązanych do spełnienia nowych wymogów.  

Zmiany obejmują nie tylko duże podmioty infrastrukturalne, lecz także tysiące przedsiębiorstw działających w strategicznych sektorach gospodarki. 

Kogo obejmują nowe przepisy i jakie są terminy? 

Nowelizacja ustawy o KSC wprowadza nowy podział przedsiębiorstw – zamiast dotychczasowych operatorów usług kluczowych i dostawców usług cyfrowych pojawiają się podmioty kluczowe oraz podmioty ważne. To rozróżnienie ma znaczenie przede wszystkim dla zakresu obowiązków i wysokości ewentualnych kar. 

Szacuje się, że nowe regulacje mogą dotyczyć nawet 38 tysięcy podmiotów, z czego znaczną część stanowią instytucje publiczne. Do grup objętych przepisami należą m.in. firmy z branży energetycznej, transportowej, finansowej, medycznej, cyfrowej czy produkcyjnej. W praktyce oznacza to, że wiele organizacji, które wcześniej nie podlegały rygorystycznym wymogom cyberbezpieczeństwa, musi teraz dostosować się do nowych standardów. 

Istotnym elementem zmian jest harmonogram wdrożenia obowiązków. Przedsiębiorcy mają 12 miesięcy na pełne dostosowanie się do przepisów, licząc od wejścia w życie nowelizacji. Równolegle trwa proces wpisywania podmiotów do specjalnego wykazu KSC – część firm trafia do niego automatycznie, a pozostałe muszą dokonać samodzielnej rejestracji w wyznaczonym terminie. Brak wpisu może skutkować konsekwencjami finansowymi, dlatego identyfikacja swojego statusu powinna być jednym z pierwszych kroków. 

Jakie obowiązki muszą spełnić przedsiębiorstwa? 

Zakres nowych wymagań jest szeroki i obejmuje zarówno kwestie organizacyjne, jak i techniczne. Podstawą jest wdrożenie systemu zarządzania bezpieczeństwem informacji, który pozwoli na stałe monitorowanie zagrożeń oraz reagowanie na incydenty. Firmy będą zobowiązane do regularnej analizy ryzyka, identyfikowania podatności oraz podejmowania działań ograniczających skutki potencjalnych ataków. 

Nowe regulacje kładą również nacisk na konkretne rozwiązania operacyjne. Wśród nich znajdują się m.in. aktualizacje oprogramowania, kontrola dostępu do systemów, stosowanie uwierzytelniania wieloskładnikowego czy zapewnienie bezpiecznych kanałów komunikacji. Nie bez znaczenia pozostaje także aspekt ludzki – przedsiębiorstwa muszą zadbać o odpowiednie szkolenia pracowników oraz budowanie świadomości zagrożeń. 

Wdrożone środki powinny być dostosowane do skali działalności i poziomu ryzyka, ale ich wspólnym celem jest zapewnienie ciągłości działania. Oznacza to, że organizacja powinna być przygotowana na funkcjonowanie nawet w sytuacji poważnego incydentu cybernetycznego. W przypadku podmiotów kluczowych dodatkowym obowiązkiem będzie przeprowadzenie audytu cyberbezpieczeństwa w ciągu dwóch lat, a następnie jego cykliczne powtarzanie. 

Wysokie kary za brak dostosowania do przepisów 

Nowelizacja przewiduje surowe sankcje dla firm, które zignorują nowe regulacje lub wdrożą je w niewystarczającym zakresie. W przypadku podmiotów kluczowych kary mogą sięgać do 2 proc. rocznych przychodów, a dla podmiotów ważnych – do 1,4 proc. Dodatkowo przewidziano wysokie maksymalne limity kwotowe liczone w milionach euro. 

To jednak nie wszystko. Przepisy dopuszczają również nakładanie kar dziennych za niewykonanie decyzji organów nadzorczych, co może szybko przełożyć się na znaczące obciążenia finansowe. Najbardziej dotkliwe sankcje przewidziano dla sytuacji, w których naruszenia powodują poważne zagrożenie dla bezpieczeństwa państwa, obywateli lub gospodarki – w takich przypadkach kary mogą sięgać dziesiątek milionów złotych. 

Nowe regulacje jasno pokazują, że cyberbezpieczeństwo przestaje być wyłącznie kwestią technologiczną, a staje się jednym z filarów odpowiedzialnego zarządzania organizacją. Firmy, które odpowiednio wcześnie rozpoczną proces dostosowania, nie tylko unikną kar, ale również zwiększą swoją odporność na realne zagrożenia cyfrowe.