Ustawa została podpisana i może zostać ogłoszona w Dzienniku Ustaw, po czym rozpocznie się bieg vacatio legis. Jednocześnie Prezydent skierował ustawę do kontroli następczej przez Trybunał Konstytucyjny.
Nowe przepisy obejmują szerokie spektrum podmiotów działających w sektorach o kluczowym znaczeniu dla funkcjonowania gospodarki i bezpieczeństwa państwa, takich jak energetyka, transport, bankowość i rynki finansowe, zaopatrzenie w wodę, ochrona zdrowia, administracja publiczna oraz usługi ICT. Dla organizacji z tych branż zmiana oznacza konkretne obowiązki w zakresie zarządzania ryzykiem, wdrożenia mechanizmów raportowania incydentów oraz nadzoru nad dostawcami.
UKSC i terminy, które warto znać
Organizacje objęte przepisami będą miały 6 miesięcy na złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych. W ciągu 12 miesięcy konieczne będzie wdrożenie środków zarządzania ryzykiem oraz rozpoczęcie korzystania z systemu S46. Pierwszy audyt zgodności może zostać przeprowadzony nie wcześniej niż po 24 miesiącach od wejścia ustawy w życie.
Kary pieniężne będą mogły być nakładane dopiero po upływie 2 lat od momentu wejścia w życie przepisów, co wyznacza ramy czasowe na pełne dostosowanie organizacji do nowych wymogów.
Kogo dotyczą zmiany?
NIS2 i nowelizacja UKSC rozszerzają dotychczasowy katalog podmiotów o dodatkowe kategorie działalności i ustalają nowe kryteria identyfikacji podmiotów objętych nadzorem. W praktyce oznacza to, że zarówno organizacje już funkcjonujące w obszarze cyberbezpieczeństwa, jak i te, które do tej pory nie były formalnie objęte ustawą, powinny zweryfikować:
czy i w jakim zakresie podlegają nowym przepisom,
jakie obowiązki ciążą na nich na poziomie operacyjnym i zarządczym,
jakie procesy wymagają wdrożenia lub aktualizacji.
UKSC i NIS2 a zakres obowiązków
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa nie sprowadza się do wprowadzenia kilku dodatkowych procedur. Wymaga wdrożenia i utrzymywania spójnego systemu zarządzania bezpieczeństwem informacji (SZBI), obejmującego zarówno środki techniczne, jak i mechanizmy nadzorcze na poziomie organizacyjnym.
System zarządzania ryzykiem (SZBI)
Podmioty objęte ustawą muszą wdrożyć adekwatne środki techniczne i organizacyjne zgodne z katalogiem NIS2. Obejmuje to m.in. analizę i ocenę ryzyka, kontrolę dostępu, zarządzanie podatnościami, zapewnienie ciągłości działania, bezpieczeństwo łańcucha dostaw oraz procedury reagowania na incydenty. Środki te powinny funkcjonować w ramach uporządkowanego i nadzorowanego systemu, a nie jako rozproszone działania.
Raportowanie incydentów
Ustawa wprowadza obowiązek zgłaszania incydentów za pośrednictwem systemu S46 oraz współpracy z właściwymi CSIRT-ami sektorowymi. Obowiązek raportowania zacznie obowiązywać po 12 miesiącach od wejścia ustawy w życie, co wyznacza ramy na przygotowanie procesów operacyjnych i organizacyjnych.
Nadzór, kontrole i audyty
Organ nadzoru uzyskuje uprawnienia do prowadzenia kontroli planowych i doraźnych. Przewidziano również obligatoryjne oceny po 24 miesiącach oraz cykliczne audyty, zasadniczo co 3 lata. Oznacza to konieczność utrzymywania systemu w sposób ciągły, a nie wyłącznie projektowy.
Odpowiedzialność zarządu
Kierownictwo zatwierdza środki zarządzania ryzykiem i sprawuje nad nimi nadzór. Przepisy przewidują możliwość ponoszenia osobistej odpowiedzialności za naruszenie obowiązków wynikających z ustawy.
Kary finansowe
Administracyjne kary pieniężne mogą sięgać:
– do 10 mln EUR lub 2% rocznego przychodu w przypadku podmiotów kluczowych,
– do 7 mln EUR lub 1,4% rocznego przychodu w przypadku podmiotów ważnych,
– wobec członków kierownictwa – do 300% miesięcznego wynagrodzenia.
W praktyce oznacza to konieczność budowy lub dostosowania SZBI w sposób proporcjonalny do skali działalności i profilu ryzyka, z jasno przypisaną odpowiedzialnością oraz mierzalnymi mechanizmami nadzoru.
Dlaczego warto działać teraz?
Wdrażanie zmian wynikających z NIS2 to nie tylko kwestia zgodności z przepisami, ale też długofalowa odpowiedź na rosnące ryzyka cybernetyczne. Regulacja wymaga, aby działania w zakresie bezpieczeństwa były osadzone w codziennych procesach, dokumentowane oraz proporcjonalne do profilu działalności.
Jak SEDIVIO może pomóc?
W SEDIVIO od ponad dwóch dekad uczestniczymy w projektach cyfryzacji administracji i sektora prywatnego w Polsce. Pracowaliśmy przy systemach o znaczeniu krajowym, wdrażaliśmy rozwiązania w środowiskach o wysokim poziomie odpowiedzialności operacyjnej.
W kontekście nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wspieramy organizacje kompleksowo — od ustalenia statusu podmiotu i analizy obowiązków, przez identyfikację luk w istniejących procesach, po wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z wymaganiami UKSC / NIS2.
Napisz do nas!
Jeśli masz pytania, odezwij się do nas. Odpowiemy możliwie szybko!
Polityka Prywatności
Kliknij tutaj w celu zapoznania się z polityką prywatności Sedivio SA.
