Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) to najważniejsza od lat zmiana w polskim prawie dotyczącym bezpieczeństwa informacji. Jej celem jest pełne wdrożenie unijnej dyrektywy NIS2, a w praktyce – podniesienie poziomu ochrony cyfrowej państwa, firm i instytucji, które świadczą usługi kluczowe dla społeczeństwa i gospodarki.
Na dzień publikacji artykułu nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa jest na etapie prac sejmowych (druk nr 1955) i nie została jeszcze uchwalona. Poniżej opisujemy obowiązki wynikające z dyrektywy NIS2 oraz z aktualnego projektu uKSC.
Dlaczego nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa jest tak istotna?
Krajowy system cyberbezpieczeństwa (KSC) funkcjonuje w Polsce od 2018 r., jednak gwałtowny wzrost skali ataków oraz nowe zagrożenia na poziomie międzynarodowym spowodowały konieczność jego gruntownej przebudowy.
Projekt nowelizacji UKSC zakłada:
- pełne wdrożenie dyrektywy NIS2,
- rozszerzenie katalogu sektorów objętych regulacją,
- podniesienie wymogów w zakresie zarządzania ryzykiem,
- wprowadzenie odpowiedzialności osobistej dla kierownictwa,
- wzmocnienie roli CSIRT-ów i organów nadzorczych,
- wprowadzenie mechanizmu dostawcy wysokiego ryzyka.
Zmiany te mają zapewnić wyższy poziom odporności cybernetycznej państwa oraz podmiotów świadczących kluczowe usługi dla społeczeństwa.
Dla firm i instytucji oznacza to nie tylko dodatkowe obowiązki, ale także konieczność budowy realnej odporności cybernetycznej – procesowej, technologicznej i organizacyjnej.
Sprawdź, czy podlegasz pod UKSC (NIS2)
Sprawdz w minutę, czy Twoja firma podlega pod UKSC / NIS2. Masz pytanie? Skontaktuj się z nami!
Kogo obejmie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa?
Na ten temat pisaliśmy więcej w tym miejscu. Poniżej krótkie podsumowanie.
Podmioty kluczowe (essential entities)
To organizacje działające w sektorach o największym znaczeniu dla bezpieczeństwa państwa, m.in. energetyka, transport, infrastruktura finansowa, bankowość, ochrona zdrowia, dostawcy wody i ścieków, infrastruktura cyfrowa, administracja publiczna oraz sektor kosmiczny.
Podmioty te będą objęte najsilniejszym nadzorem i obowiązkowymi audytami.
Podmioty ważne (important entities)
To podmioty o dużym znaczeniu gospodarczym, m.in. usługi pocztowe i kurierskie, gospodarka odpadami, żywność, produkcja przemysłowa, chemikalia oraz wybrane usługi cyfrowe.
Kryterium wielkości (size-cap)
Regulacja obejmie głównie średnie i duże przedsiębiorstwa (≥50 pracowników i >10 mln euro obrotu lub bilansu), a także mniejsze podmioty, jeśli pełnią funkcje krytyczne dla bezpieczeństwa państwa.
Nowelizacja UKSC a obowiązki organizacji
Nowe przepisy nie sprowadzają się jedynie do dopisania kilku paragrafów. To kompleksowa reforma, która zmusi organizacje do faktycznego zarządzania cyberbezpieczeństwem, a nie tylko deklarowania zgodności.
System zarządzania ryzykiem
Każdy podmiot objęty UKSC będzie musiał wdrożyć spójny i udokumentowany system obejmujący:
- analizę i ocenę ryzyka cyber,
- procesy zarządzania incydentami,
- polityki i procedury bezpieczeństwa,
- środki techniczne i organizacyjne,
- kontrolę dostępu, MFA, monitoring, logowanie,
- zapewnienie ciągłości działania (BCP/DRP),
- zabezpieczenie łańcucha dostaw.
To właśnie bezpieczeństwo dostawców i podwykonawców stało się jednym z najważniejszych wymogów nowelizacji.
Obowiązek zgłaszania incydentów – nowe terminy
Zgodnie z NIS2 i uKSC incydenty znaczące będą raportowane według modelu wieloetapowego:
- 24 godziny – wstępne ostrzeżenie,
- 72 godziny – raport wstępny z oceną skutków,
- 30 dni – raport końcowy.
Niezgłoszenie incydentu w terminie może skutkować poważnymi sankcjami.
Odpowiedzialność zarządu
Osoby zarządzające podmiotem mają obowiązek:
- zapewnić zgodność organizacji z uKSC,
- zatwierdzić strategię i środki bezpieczeństwa,
- regularnie szkolić się w obszarze cyberbezpieczeństwa,
- nadzorować procesy zarządzania ryzykiem.
Obowiązkowe audyty
Podmioty kluczowe będą podlegały regularnym audytom: zarówno wewnętrznym, jak i zewnętrznym. Audyt obszarowy może zostać zarządzony także przez organ nadzorczy.
Mocniejsze CSIRT-y i sektorowe zespoły bezpieczeństwa
Nowelizacja uKSC wzmacnia rolę organów odpowiedzialnych za cyberbezpieczeństwo w Polsce:
- powstają sektorowe CSIRT-y, dedykowane branżom o wysokim stopniu krytyczności,
- minister właściwy ds. informatyzacji zyskuje rozszerzone kompetencje nadzorcze,
- tworzone są procedury reagowania na incydenty na poziomie krajowym,
- wzmacnia się współpraca między instytucjami publicznymi i prywatnymi
Czy podlegam pod UKSC?
Najłatwiej ustalić, czy sektor Państwa firmy podlega NIS2/UKSC, korzystając z ankiety powyżej. Odpowiedzi na kilka pytań pozwalają w kilka chwil uzyskać jednoznaczną ocenę.
Sankcje w projekcie UKSC: co grozi za naruszenia?
Projekt nowelizacji uKSC opiera się na poziomach kar z dyrektywy NIS2:
- podmioty kluczowe:
co najmniej 10 mln euro lub 2% globalnego rocznego obrotu,
- podmioty ważne:
co najmniej 7 mln euro lub 1,4% obrotu.
Projekt uKSC przewiduje również dodatkową sankcję:
- karę do 100 mln zł w przypadku najpoważniejszych naruszeń dotyczących m.in. obronności i bezpieczeństwa państwa.
Oprócz kar finansowych mogą pojawić się:
- nakazy wdrożenia określonych środków,
- przymusowe audyty,
- czasowe ograniczenia świadczenia usług,
- sankcje wobec kierownictwa.
Jak przygotować organizację do wymogów NIS2 i nowelizacji KSC?
Niezależnie od ostatecznego brzmienia ustawy, organizacje powinny rozpocząć przygotowania już teraz. Rekomendowane działania:
- Ocena czy organizacja podlega UKSC i w jakiej kategorii
- Ocena stany obecnego – analiza luk względem NIS2 i projektu UKSC
- Rozwój systemu zarządzania ryzykiem cyber
- Procedury raportowania incydentów w modelu 24/72/30
- Weryfikacja ryzyka ze strony dostawców i umów (supply chain security)
- Szkolenia zarządu i kluczowych pracowników
- Audyty i testy bezpieczeństwa
Choć prace nad polską implementacją NIS2 nadal trwają, odkładanie przygotowań to ryzyko, na które niewiele organizacji może sobie pozwolić. Każdy miesiąc daje przestrzeń, by uporządkować procesy, zbudować odporność i uniknąć nerwowych działań tuż przed wejściem nowych przepisów w życie. Wczesne działania to mniejszy stres, niższe koszty i wyższy poziom bezpieczeństwa.
SEDIVIO to zgodność z UKSC i NIS2
W SEDIVIO pomagamy organizacjom przejść przez cały proces wdrożenia wymagań wynikających z projektu ustawy o krajowym systemie cyberbezpieczeństwa – od kwalifikacji, przez audyt, aż po przygotowanie dokumentacji, procesów i zabezpieczeń technicznych.
Wspieramy nie tylko zgodność z przepisami, ale również realne podnoszenie poziomu cyberbezpieczeństwa. Korzystamy z narzędzi, które umożliwiają monitorowanie podatności, zarządzanie incydentami, weryfikację ryzyka i poprawę odporności operacyjnej na co dzień, dzięki czemu wdrożenie UKSC jest trwałe i praktyczne
O SEDIVIO
Jesteśmy firmą technologiczną z blisko 20-letnim doświadczeniem w budowie cyfrowej infrastruktury Polski. Aktywnie wspieramy cyfryzację sektora publicznego i prywatnego, dostarczając rozwiązania, które spełniają najwyższe standardy bezpieczeństwa. Tworzymy systemy, które pozwalają naszym klientom działać efektywnie w dynamicznym środowisku cyfrowym.
Blisko 20 lat budowania
cyfrowej infrastruktury
Polski
Aktywnie uczestniczymy w transformacji cyfrowej Polski. Wykorzystując bogate doświadczenie, tworzymy i wdrażamy rozwiązania, które stanowią fundament cyfryzacji.
Bezpieczne i zgodne z regulacjami rozwiązania dla biznesu i sektora publicznego
Dostarczamy niezawodne i bezpieczne technologie dla firm oraz instytucji sektora publicznego, umożliwiając im efektywne działanie w dynamicznym środowisku cyfrowym.
Implementacja najwyższych standardów ochrony
Bezpieczeństwo danych i systemów naszych klientów jest dla nas priorytetem. Dzięki temu klienci mogą skupić się na rozwoju swojej działalności, mając pewność, że ich zasoby cyfrowe są w pełni chronione.
