Kary wyższe niż wymaga Unia
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), przygotowany przez Ministerstwo Cyfryzacji, wdraża unijną dyrektywę NIS2, której celem jest podniesienie poziomu ochrony przed cyberzagrożeniami w całej Unii Europejskiej. Jak zauważa portal WNP, Polska jednak proponuje przepisy bardziej restrykcyjne niż większość krajów członkowskich.
Dyrektywa NIS2 przewiduje bowiem maksymalne kary w wysokości 10 mln euro lub 2 proc. rocznych przychodów dla podmiotów kluczowych i 7 mln euro lub 1,4 proc. przychodów dla podmiotów ważnych. W polskim projekcie pojawia się jednak nowy, znacznie wyższy próg – aż 100 mln zł.
Eksperci zgodnie uważają, że to „nadregulacja, której nie wymaga Unia”. Tak wysoka kara ma dotyczyć przypadków, gdy naruszenie ustawy powoduje m.in. bezpośrednie zagrożenie dla obronności lub bezpieczeństwa państwa – pisze WNP.
Dodatkowo, ustawa przewiduje okresowe kary pieniężne – od 500 zł do 100 tys. zł dziennie – za niewykonanie nakazu organu cyberbezpieczeństwa. Co więcej, decyzje o karach mogą otrzymać rygor natychmiastowej wykonalności, co nie jest wymagane w dyrektywie.
Skąd tak wysokie kary? Jak stwierdziło Ministerstwo Cyfryzacji w uzasadnieniu ustawy, „kara pieniężna ma odstraszać od kolejnych naruszeń i w związku z tym być odpowiednio dolegliwa”.
Nowe obowiązki dla podmiotów publicznych i prywatnych
Zgodnie z projektem, nowe przepisy obejmą nawet 42 tysiące podmiotów publicznych i prywatnych – od instytucji finansowych po dostawców usług cyfrowych, pisze WNP.
Pierwszym krokiem będzie samoidentyfikacja, czyli określenie, czy dana organizacja podlega pod ustawę jako „podmiot ważny” lub „podmiot kluczowy”. Na złożenie wniosku rejestracyjnego przedsiębiorcy będą mieć trzy miesiące od wejścia w życie ustawy, a na wdrożenie pełnego systemu cyberbezpieczeństwa – sześć miesięcy. Kto uzna, że NIS2 go nie dotyczy, okaże się inaczej, musi się liczyć z karą.
Jak pisze portal, nowe przepisy wymuszą na firmach konieczność opracowania całego systemu zarządzania bezpieczeństwem informacji, analizy ryzyka, weryfikacji dostawców i wdrożenia szkoleń z tzw. cyberhigieny.
– Nowym obowiązkiem, któremu nie podlegają obecne podmioty KSC, będzie zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT (informacyjno-komunikacyjnych). Trzeba będzie zweryfikować zarówno dostawcę, jak i jego produkt. To będzie duże wyzwanie dla organizacji – ocenia Agnieszka Wachowska w rozmowie z WNP.
W ramach zarządzania bezpieczeństwem informacji firmy będą musiały regularnie oceniać ryzyko wystąpienia incydentów i podejmować działania zapobiegawcze.
– Trzeba określić, jakie zdarzenia mogą zakłócić świadczenie usług lub spowodować straty. Przykładowo, błędnie wysłany e-mail z poufnymi danymi do osoby spoza firmy może ułatwić atak hakerski lub doprowadzić do wycieku informacji – wyjaśnia Kinga Pawłowska-Nojszewska w rozmowie z WNP.
Jak podkreśla ekspertka, podmioty objęte NIS2 nie będą rozliczane z samego wystąpienia incydentu, ale z przygotowania na taką ewentualność – m.in. poprzez analizę ryzyka i szkolenie pracowników.
Kosztowna transformacja i wyścig z czasem
Eksperci ostrzegają, że na dostosowanie się do nowych wymogów czasu będzie niewiele. Projekt nie przewiduje dłuższego okresu przejściowego, a pierwsze audyty bezpieczeństwa dla podmiotów kluczowych mają odbywać się w ciągu 24 miesięcy od wejścia ustawy w życie.
Jak pisze WNP, powołując się na szacunki firmy EY, wdrożenie systemów cyberbezpieczeństwa może kosztować od kilkudziesięciu tysięcy złotych w przypadku małych firm do nawet kilku milionów złotych dla dużych korporacji. Do tego dochodzą koszty szkoleń, audytów i utrzymania nowych struktur.
Największym zagrożeniem jest jednak brak świadomości – zauważa eksperci w rozmowie z portalem. Wiele firm bowiem wciąż nie zdaje sobie sprawy, że podlega pod NIS2.
Choć ustawa nie wejdzie w życie w tym roku, prawnicy zachęcają przedsiębiorców, by nie czekali na ostatnią chwilę.
