- Email: biuro@kicb.pl
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Procedowanie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa znacznie przyspieszyło. Sejm uchwalił ustawę 23 stycznia, a w środę, 28 stycznia projektem ustawy przyjętym przez Sejm ma zająć się Senat. Ze względu na konieczność szybkiego przyjęcia ustawy należy spodziewać się raczej kosmetycznych poprawek w dokumencie, a nie wywrócenia jej zapisów do góry nogami. Choć, jak podkreśla Senat, ze względu na zakres zmian w ustawie, zgodnie z zasadami techniki prawodawczej, powinna być raczej opracowana nowa ustawa, a nie jedynie nowelizacja KSC. Co czeka podmioty ważne i kluczowe i jakich kar mogą się spodziewać?
Ponad 400 dni opóźnienia w implementacji dyrektywy NIS2 – Polska jest jednym z ostatnich krajów UE, które finalizują proces wdrożenia zapisów unijnej dyrektywy w sprawie podniesienia ogólnego poziomu cyberbezpieczeństwa. Na początku stycznia proces legislacyjny znacznie przyspieszył – w środę, 28 stycznia ustawą zajmie się Senat, a następnie trafi ona do podpisu prezydenta. Ustawa wejdzie w życie po miesiącu od dnia jej ogłoszenia.
W miejsce operatorów usług kluczowych pojawią się podmioty kluczowe i ważne, których klasyfikacja zależy od wielkości przedsiębiorstwa, a także sektora prowadzonej działalności. Podmioty kluczowe to duże przedsiębiorstwa z branż o wysokim stopniu krytyczności (m.in. energia, transport, bankowość, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna).
Podmioty ważne to m.in. średnie przedsiębiorstwa z sektorów takich jak usługi pocztowe, gospodarka odpadami, produkcja i dystrybucja chemikaliów, produkcja żywności oraz produkcja wyrobów medycznych. Pełny wykaz podmiotów kluczowych oraz ważnych określonych w załącznikach nr 1 i 2 do ustawy.
podmioty kluczowe – zobacz
podmioty ważne – zobacz
UWAGA! Zgodnie z nową ustawą, ciężar odpowiedzialności związany z klasyfikacją i uznaniem czy dany podmiot spełnia ustawowe progi spocznie na samych podmiotach. W ramach obowiązku samodzielnej identyfikacji, zgodnie z art. 5, podmiot, który spełnia ustawowe progi, musi sam wpisać się do rejestru.
Krok 1 – wielkość przedsiębiorstwa – podmiot sprawdza, czy jest średnim lub dużym przedsiębiorstwem (zgodnie z załącznikiem nr 1 do rozporządzenia Komisji (UE) nr 651/2014).
Krok 2 – sektor działania – podmiot sprawdza, czy prowadzi działalność w sektorach wymienionych w załącznikach nr 1 i 2 do ustawy (np. energia, transport, ochrona zdrowia, administracja publiczna, produkcja żywności).
UWAGA! Zgodnie z wyjątkami, niektóre podmioty są uznawane za kluczowe bez względu na swoją wielkość (np. dostawcy publicznych sieci łączności elektronicznej czy podmioty administracji publicznej).
Przytoczone przepisy (art. 5 ust. 6 i 7 projektu ustawy) wprowadzają bardzo istotny wyjątek od zasady sumowania zasobów w grupach kapitałowych. Jest to mechanizm „bezpieczeństwa”, który pozwala uniknąć automatycznego nakładania rygorystycznych obowiązków KSC na mniejsze spółki-córki, tylko dlatego, że należą do dużej grupy.
Postanowiliśmy również zinterpretować poniższe zapisy odnoszące się do wielkości przedsiębiorstw powiązanych lub partnerskich. Jak czytamy:
ust. 6. Jeżeli podmiot spełnia wymogi do uznania za podmiot kluczowy, ponieważ przewyższa kryteria dla średniego przedsiębiorstwa zgodnie z art. 6 ust. 2–4 załącznika I do rozporządzenia 651/2014/UE, ale jego system informacyjny jest niezależny od systemów informacyjnych jego przedsiębiorstw powiązanych lub przedsiębiorstw partnerskich lub nie świadczy on usług wspólnie z jego przedsiębiorstwami powiązanymi lub przedsiębiorstwami partnerskimi, to nie jest podmiotem kluczowym.
ust. 7. Jeżeli podmiot spełnia wymogi do uznania za podmiot ważny, ponieważ spełnia kryteria dla średniego przedsiębiorstwa zgodnie z art. 6 ust. 2–4 załącznika I do rozporządzenia 651/2014/UE, ale jego system informacyjny jest niezależny od systemów informacyjnych jego przedsiębiorstw powiązanych lub przedsiębiorstw partnerskich lub nie świadczy on usług wspólnie z jego przedsiębiorstwami powiązanymi lub przedsiębiorstwami partnerskimi, to nie jest podmiotem ważnym.,br>
Jak to rozumieć? Zgodnie z prawem unijnym, aby określić czy firma jest średnia lub duża, nie patrzy się tylko na nią samą, ale sumuje się pracowników i obroty wszystkich przedsiębiorstw powiązanych (np. spółek w holdingu) i partnerskich. Na czym więc polega wyjątek opisany w ust. 6 i 7? Zapisy te pozwalają tej spółce uniknąć statusu podmiotu kluczowego lub ważnego, jeśli udowodni ona swoją faktyczną niezależność operacyjną i technologiczną. W praktyce musi ona spełnić dwa warunki. Po pierwsze, udowodnić niezależność systemów informacyjnych: Systemy IT tej spółki (serwery, sieci, bazy danych) są całkowicie odseparowane od systemów spółki-matki lub spółek-sióstr. Awaria w jednej spółce nie przenosi się na drugą, a administratorzy z grupy nie mają automatycznego dostępu do infrastruktury tej konkretnej spółki.
Po drugie, wykazać, że spółka nie realizuje swoich usług wspólnie z innymi podmiotami z grupy. Działa jako samodzielny byt rynkowy, a jej produkt lub usługa nie jest elementem większego „łańcucha” usług cyfrowych świadczonych przez grupę kapitałową.
W momencie, gdy dany podmiot uzna, że podlega pod przepisy ustawy, jest podmiotem ważnym lub kluczowym, musi dopełnić kilku formalności zgodnie z harmonogramem.
W ciągu 6 miesięcy od dnia spełnienia przesłanek (np. od dnia wejścia w życie ustawy lub od dnia osiągnięcia odpowiedniego progu zatrudnienia/obrotu) musi złożyć wniosek o wpis do rejestru podmiotów. Należy to zrobić drogą elektroniczną poprzez dedykowany system teleinformatyczny S46, który służy także do zgłszania incydentów oraz wymiany informacjami pomiędzy podmiotami krajowego systemu cyberbezpieczeństwa. We wniosku o wpis do rejestru należy podać: nazwę (firmę) i dane teleadresowe, numer NIP lub inny numer identyfikacyjny, wskazanie sektora, podsektora i rodzaju działalności, aktualne dane kontaktowe (w tym numer telefonu i adres e-mail) osoby odpowiedzialnej za cyberbezpieczeństwo w danej organizacji.
Na samym zgłoszeniu nie kończy się aktywność podmiotów. Są one zobowiązane do zgłaszania każdej zmiany danych zawartych w rejestrze w terminie 14 dni od dnia zaistnienia zmiany, jak również wnioskowania o wykreślenie z rejestru, jeśli przestaną spełniać ustawowe kryteria (np. w wyniku zmniejszenia skali działalności).
Zgodnie z mechanizmem nadzorczym opisanym w ustawie, niedopełnienie obowiązku samoidentyfikacji i zgłoszenia w ustawowym terminie może skutkować interwencją organu właściwego i wpisem do rejestru z urzędu, jak również karami finansowymi.
Kary są uzależnione od statusu podmiotu (kluczowy czy ważny) oraz osiąganego przez niego obrotu:
W przypadku podmiotów kluczowych maksymalna kara do 10 mln EUR lub do 2% łącznego rocznego światowego obrotu (zastosowanie ma kwota wyższa). Tu kara minimalna to 20 000 zł.
W przypadku podmiotów ważnych maksymalna kara wynosi do 7 mln EUR lub do 1,4% łącznego rocznego światowego obrotu (zastosowanie ma kwota wyższa). Kara minimalna to 15 000 zł.
Ustawa przewiduje nadzwyczajną karę pieniężną w wysokości do 100 000 000 zł, jeżeli naruszenie przepisów przez podmiot kluczowy lub ważny powoduje bezpośrednie i poważne zagrożenie dla obronności lub bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi czy ciągłości świadczenia usług.
Niezależnie od powyższych limitów, organ nadzorczy może nałożyć karę za każdy dzień opóźnienia w wykonaniu nakazu (np. po audycie lub w celu obsługi incydentu poważnego). Kara ta wynosi od 500 zł do 100 000 zł za każdy dzień zwłoki.
Jedną z fundamentalnych zmian ustawy jest wprowadzenie osobistej odpowiedzialności kierownika podmiotu za zaniedbania w obszarze cyberbezpieczeństwa organizacji. I tak organ nadzorczy może nałożyć karę na kierownika podmiotu kluczowego lub ważnego w wysokości do 600% jego miesięcznego wynagrodzenia (jeśli naruszenie dotyczy m.in. braku wdrożenia środków zarządzania ryzykiem).
UWAGA! Sejm przyjął poprawkę wprowadzającą okres przejściowy. Zgodnie z nią kary pieniężne za nieprzestrzeganie nowych przepisów mają być nakładane dopiero po upływie dwóch lat od wejścia ustawy w życie, co ma dać firmom czas na dostosowanie się. Wprowadzono również mechanizm zakazujący dublowania kar, który mówi o tym, że podmiot nie może zostać ukarany przez organ cyberbezpieczeństwa, jeśli za ten sam czyn otrzymał już prawomocną karę od Prezesa Urzędu Ochrony Danych Osobowych (RODO).
Szerzej opisuje ten obszar artykuł 8 procedowanej ustawy. Podmioty kluczowe i ważne są zobowiązane do wdrożenia proporcjonalnych środków technicznych i organizacyjnych, w tym:
– polityki analizy ryzyka i bezpieczeństwa systemów informacyjnych.
– procedur obsługi incydentów.
– planów ciągłości działania (np. zarządzanie kopiami zapasowymi, przywracanie gotowości po awarii).
– bezpieczeństwa łańcucha dostaw – uwzględnienie ryzyk wynikających z relacji z dostawcami zewnętrznymi.
– stosowania uwierzytelniania wieloskładnikowego (MFA) tam, gdzie to możliwe.
– regularnego uczestnictwa w szkoleniach, w tym kadry kierowniczej
Progi uznania incydentu za incydent poważny zostaną określone przez Radę Ministrów, w drodze rozporządzenia. Zgłoszenie incydentu będzie dokonywane za pośrednictwem wspomnianego już wyżej systemu S46:
– wczesne ostrzeżenie – w ciągu 24 godzin od powzięcia wiadomości o incydencie poważnym
– zgłoszenie incydentu – w ciągu 72 godzin
– raport końcowy – w ciągu miesiąca.
Projekty przyjętej ustawy przez Sejm oraz poprawki Senatu:
Ustawa KSC 2026- zobacz
Poprawki Senatu – zobacz
Najnowsze komentarze