Skutki nowelizacji ustawy o KSC dla właścicieli średnich i małych firm

SHARE

Nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa polski rząd pracował przez parę lat. Firmy z napięciem czekały na informacje, co nowy projekt zmieni w dotychczasowych ustaleniach. Wielu ekspertów jest zdania, że proponowane zapisy mogą być dla wielu podmiotów zbyt trudne do wdrożenia w szybkim czasie. Poza tym pomijają interesy małych i średnich operatorów telekomunikacyjnych. Na czym polega ustawa o krajowym systemie cyberbezpieczeństwa? Co właściwie wprowadza nowelizacja o KRS? Z jakimi jej skutkami będą się zmagać właściciele mniejszych firm? Dowiesz się z naszego artykułu.

 

Czym jest ustawa o krajowym systemie cyberbezpieczeństwa?

 

W 2016 roku Parlament Europejski uchwalił dyrektywę NIS. Dyrektywa ta stanowiła pierwsze europejskie prawo poświęcone cyberbezpieczeństwu. Zobowiązywała państwa należące do Unii Europejskiej do wprowadzenia w ustawodawstwie krajowym odpowiednich regulacji zapewniających bezpieczeństwo cyfrowe sieci i systemów informatycznych.

 

Dlatego właśnie Ministerstwo Cyfryzacji przygotowało ustawę o krajowym systemie cyberbezpieczeństwa. Weszła w życie w sierpniu 2018 roku. Umożliwiała wprowadzenie dyrektywy NIS na grunt polski oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego w naszym kraju.

 

Ustawa skupiała się przede wszystkim na dwóch kwestiach. Po pierwsze, dbała o niezakłócone świadczenie usług cyfrowych i usług kluczowych. Po drugie, dążyła do osiągnięcia wystarczająco wysokiego bezpieczeństwa systemów teleinformatycznych zapewniających wspomniane usługi.

 

Dlaczego postanowiono znowelizować ustawę o KSC?

 

Pod koniec 2020 roku zaktualizowano dyrektywę NIS, przede wszystkim z powodu wywołanej pandemią COVID-19 przyspieszonej cyfryzacji i przenoszenia wielu usług do sieci. Po zmianach otrzymała nazwę NIS 2.

 

Nowelizacja znacząco powiększyła listę podmiotów, które muszą przestrzegać ustalonych przepisów. Nałożyła obowiązek zwiększenia cyberbezpieczeństwa oraz kontroli tych sektorów gospodarki, które w pierwszej wersji NIS nie były jeszcze uznawane za kluczowe. Poza tym znacznie rozszerzyła dotychczasowy zakres obowiązków związanych z bezpieczeństwem w sieci.

 

W związku z tym nastąpiła konieczność nowelizacji polskiej ustawy o KSC, żeby jej zapisy nie kłóciły się z prawem unijnym.

 

25 marca 2022 roku na stronie internetowej Rządowego Centrum Legislacji umieszczono nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. W dokumencie między innymi poszerzono obowiązki przedsiębiorców komunikacyjnych w kwestiach związanych z cyberbezpieczeństwem. Poza tym najwięksi operatorzy telekomunikacyjni zostali dopuszczeni do postępowania w ramach oceny dostawców sprzętu.

 

Jakie skutki dla przedsiębiorców wnosi nowelizacja ustawy o KSC?

 

Nowelizacja planuje w znaczący sposób rozszerzyć listę podmiotów podlegających ustawie o KSC – aż o kilka tysięcy polskich firm. Na liście znajdują się na przykład producenci żywności, samochodów, komputerów i wyrobów medycznych, a także przedsiębiorstwa gospodarujące odpadami. Będą musiały dostosować się do nowych przepisów w bardzo krótkim czasie, gdyż vacatio legis wynosi jedynie 30 dni. Zainteresowane podmioty nie dostaną decyzji administracyjnej o włączeniu ich w przepisy ustawy, ale tak czy inaczej mają obowiązek przestrzegania nowego prawa. A jeśli nie dopasują się do regulacji, czekają je przykre konsekwencje.

 

Jeżeli przedsiębiorstwa nie dostosują się do obowiązujących przepisów, grozi im wysoka kara finansowa przewidziana przez ustawodawcę. Jej wysokość planuje się na nawet 10 milionów euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa.

 

W myśl znowelizowanych przepisów wszyscy przedsiębiorcy telekomunikacyjni, w tym podmioty świadczące usługi w zakresie poczty internetowej, staną się częścią krajowego systemu cyberbezpieczeństwa. Wiąże się to ze zwiększoną ochroną, nakładając na nowe podmioty szeroki zestaw obowiązków z zakresu cyberbezpieczeństwa.

 

Nowelizacja nakłada na operatorów usług kluczowych obowiązek powołania zespołów Security Operations Center (SOC). Mają to być specjalne jednostki organizacyjne (uformowane wewnętrznie albo zorganizowane przez podmioty zewnętrzne) dbające głównie o monitoring bezpieczeństwa systemów IT oraz wykrywanie i zwalczanie incydentów w sieci. W niektórych przypadkach koszty powołania i utrzymania takiego zespołu mogą przekroczyć 2-3 miliony złotych rocznie.

 

Nowelizacja przewiduje również nakaz ograniczenia ruchu sieciowego, który będzie można wprowadzić między innymi do zwalczenia incydentu krytycznego. Daje to pewne pole do nadużyć.

 

Duże kontrowersje wzbudza procedura oceny dostawców wysokiego ryzyka. Otrzymanie statusu wysokiego ryzyka może wykluczyć dostawcę z budowy polskich sieci telekomunikacyjnych (co obecnie grozi chińskiemu koncernowi Huawei, jednemu z głównych dostawców technologii 5G na świecie). Tym samym firmy świadczące usługi telekomunikacyjne stają w obliczu konieczności całkowitej wymiany sprzętu i oprogramowania, a tym samym poniesienia wysokich kosztów finansowych. Na taki wydatek mniejsze organizacje nie będą mogły sobie pozwolić.

 

Decyzję w sprawie oceny dostawców wysokiego ryzyka podejmowałoby specjalne kolegium ds. cyberbezpieczeństwa. Plusem jest to, że zostaliby do tego grona dopuszczeni operatorzy telekomunikacyjni. Ale istnieje też poważny minus. Otóż ustawa planuje wprowadzić kryterium finansowe: minimalny przychód dla operatorów dopuszczonych do procesu. Dlatego mali i średni przedsiębiorcy nie będą mieli możliwości wypowiedzenia się w sprawach kluczowych dla prowadzenia ich biznesu. A ich oferta sprzętowa bardzo często różni się od tego, co prezentują duże firmy.

 

Rynek zaapelował do rządu o ponowne konsultacje publiczne – na tyle długie i rzetelne, by można było skupić się na rozwiązaniu spornych kwestii. Warto pamiętać, że nowelizacja ustawy będzie miała ogromny wpływ nie tylko na firmy telekomunikacyjne, ale na wszystkie gałęzie gospodarki w Polsce.



Jak upewnić się, czy Twoja firma jest bezpieczna w sieci? Przeprowadź bezpłatny audyt cyberbezpieczeństwa, który odkryje luki w zabezpieczeniach. Poza tym odwiedzaj regularnie naszego bloga, a także fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami na temat bezpieczeństwa w sieci.

 

Do usłyszenia!

Zespół Sagenso

Przeprowadź darmowy audyt bezpieczeństwa IT

Sprawdź możliwości innowacyjnego narzędzia audytorskiego Telescope

Przeprowadź darmowy audyt IT