Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) wdraża unijną dyrektywę NIS 2 i przenosi odpowiedzialność za odporność cyfrową z działów IT bezpośrednio na zarządy spółek. Choć może to wydawać się zaskakujące – UKSC to nie tylko cyberbezpieczeństwo! Przygotowałam dla Was kompendium wiedzy – od nowych obowiązków, przez zaskakujące branże objęte ustawą, aż po konkretne terminy, których nie można przegapić. Obejrzyj cały film!

‍

‍

‍

‍

Koniec z "jakoś to będzie"

‍

Dotychczasowe przepisy były traktowane przez wiele podmiotów (i państw członkowskich) dość lekko. Luki w ciągłości działania były ewidentne, a kary rzadko egzekwowane. Nowelizacja NIS2, a w ślad za nią Ustawy o KSC, jest odpowiedzią na trudne czasy: wojnę hybrydową, rosnącą liczbę cyberataków oraz rozwój sztucznej inteligencji, która pomaga cyberprzestępcom.

‍

Celem nowych regulacji jest uszczelnienie systemu i zapewnienie, że usługi kluczowe dla społeczeństwa będą działały nieprzerwanie.

‍

1. Czy Twoja firma jest na liście?

‍

Największym zaskoczeniem dla wielu przedsiębiorców jest zakres podmiotowy nowej ustawy. Nowe przepisy zasadniczo dotyczą firm średnich i dużych, czyli zatrudniających powyżej 50 pracowników lub posiadających obrót roczny powyżej 10 mln euro. Jednak uwaga – w niektórych przypadkach (np. dostawcy usług cyfrowych, TSL) progi mogą być inne lub firma może zostać wskazana decyzją administracyjną jako kluczowa, nawet jeśli jest mniejsza.

‍

Nowe sektory pod lupą:Oprócz standardowych branż (energia, transport, finanse, ochrona zdrowia), do gry wchodzą:

‍

• Żywność: Produkcja, przetwarzanie i dystrybucja żywności (także hurtownie i logistyka spożywcza!).

• Gospodarowanie odpadami: Utylizacja, wysypiska.

• Chemia: Produkcja i dystrybucja chemikaliów.

• Usługi pocztowe i kurierskie.

• Produkcja: Sprzętu medycznego, komputerów, urządzeń elektronicznych, a nawet pojazdów i naczep.

• Woda i ścieki.

‍

Znika z ustawy pojęcie "Operatora Usług Kluczowych". Teraz dzielimy firmy na Podmioty Kluczowe i Podmioty Ważne. Co istotne – to Ty musisz wiedzieć, czy podlegasz ustawie. Nie czekasz na decyzję urzędnika, tylko samodzielnie weryfikujesz PKD i wielkość firmy, a następnie zgłaszasz się do rządowego wykazu.

‍

2. Zarząd odpowiada głową (i portfelem)

‍

To koniec delegowania odpowiedzialności w stylu: "Nie znam się na IT, niech informatyk się tym martwi".

‍

• Odpowiedzialność ponosi zarząd (kierownik jednostki). Można wyznaczyć jedną osobę odpowiedzialną, ale musi ona mieć kompetencje zarządcze na poziomie członka zarządu.

• Członkowie zarządu muszą się regularnie szkolić z cyberbezpieczeństwa. To wymóg ustawowy.

• Za rażące lub uporczywe naruszenia, na kierownika podmiotu może zostać nałożona kara w wysokości do 300% miesięcznego wynagrodzenia (liczonego jak ekwiwalent za urlop, więc z premiami!).

‍

3. Bolesne kary dla firm – liczone od globalnego obrotu

‍

Stawki poszły w górę i są wzorowane na RODO. Jeśli Twoja firma ma oddział w Polsce, który zawinił, kara może być liczona od obrotu całej grupy kapitałowej.

‍

• Podmioty Kluczowe: kara do 2% globalnego obrotu rocznego.

• Podmioty Ważne: kara do 1,4% globalnego obrotu rocznego.

‍

4. Zarządzanie ciągłością działania (BCM) – prawdziwy cel dyrektywy

‍

Wbrew pozorom, w dyrektywie NIS2 i w Ustawie o KSC w gruncie rzeczy chodzi o jedno - aby usługi kluczowe były świadczone nieprzerwanie.

‍

Musisz posiadać i wdrożyć:

‍

1. Plan Ciągłości Działania (BCP): Jak biznes przetrwa kryzys? Co zrobimy, gdy nie będzie prądu, spali się magazyn lub stanie linia produkcyjna?.
2. ‍Plan Odtwarzania (DRP): Jak odbudujemy infrastrukturę i technologię po katastrofie?.
3. ‍Plan Obsługi Incydentu: Procedury reagowania na zdarzenia, które zagrażają cyberbezpieczeństwu. Przyczyny tych zdarzeń mogą byc dowolne (nie tylko cyber)!

‍

Ważne: Plany muszą być testowana. Papier przyjmie wszystko, ale czy Twoi ludzie na pewno wiedzą, co robić w sytuacji kryzysowej? Testy odporności nie ograniczają się wyłącznie do testów penetracyjnych. Warto o tym pamiętać, aby nie musieć tłumaczyć się audytorowi.

‍

5. Łańcuch dostaw i „dręczenie” gigantów

‍

Twoja firma nie jest samotną wyspą. Ustawa wymaga zarządzania ryzykiem w łańcuchu dostaw. Musisz wiedzieć, czy Twoi dostawcy również się zabezpieczają.

‍

• Nie bój się pytać. Nawet jeśli korzystasz z usług Microsoftu, Google'a czy Amazona – masz prawo pytać o ich zabezpieczenia i wymagać wyjaśnień. Pamiętaj, że nawet chmura może ulec awarii.

• Procedury awaryjne najlepiej testować wspólnie z kluczowymi dostawcami.

‍

6. Raportowanie incydentów – wyścig z czasem

‍

Nowe przepisy wprowadzają bardzo rygorystyczne terminy zgłaszania problemów do odpowiednich CSIRT-ów (NASK, GOV lub MON):

‍

1. Wczesne ostrzeżenie: masz na to tylko 24 godziny od momentu wykrycia incydentu, a dla niektórych sektorów (np. finansowych pod DORA) czas ten może wynosić nawet 4 godziny od jego klasyfikacji jako poważny.
2. Pełne zgłoszenie: do 72 godzin.
3. Raport końcowy: miesiąc po obsłudze incydentu.

‍

Lepiej zgłosić incydent na wyrost i potem go odwołać, niż narazić się na karę za brak zgłoszenia incydentu poważnego.

‍

Co teraz musisz zrobić ? Harmonogram działań

‍

Zegar tyka. Od momentu wejścia ustawy w życie, terminy są nieubłagane:

‍

• 3 miesiące na wpisanie się do wykazu podmiotów.

• 6 miesięcy na pełne wdrożenie wymagań.

‍

Plan działania "na wczoraj":

‍

1. Sprawdź w załącznikach do ustawy (1 i 2), czy Twoja branża i wielkość firmy podlegają przepisom?
2. Sprawdź, co już masz, a czego brakuje (analiza luk)? Działaj adekwatnie do ryzyka – nie musisz wdrażać zabezpieczeń "na ślepo", ale tam, gdzie jest to uzasadnione.
3. Zabezpiecz środki finansowe. Możesz starać się o dofinansowanie z Ministerstwa Cyfryzacji.

‍

Nowelizacja UKSC to wyzwanie, ale też szansa na uporządkowanie procesów w firmie. Pamiętaj – stawką jest zgodność z prawem, ale przede wszystkim realne przetrwanie Twojej organizacji w kryzysowej sytuacji.

‍