Najnowsze zmiany w zakresie cyberbezpieczeństwa, związane z Krajowym Systemem Cyberbezpieczeństwa (KSC2) i implementacją unijnej dyrektywy NIS2, mogą wkrótce istotnie wpłynąć na funkcjonowanie wielu firm i instytucji w Polsce. Przepisy te, niedawno zatwierdzone przez Senat, czekają na podpis prezydenta. Jeśli wejdą w życie, nałożą na przedsiębiorstwa nowe obowiązki w zakresie zabezpieczeń cyfrowych oraz mogą wiązać się z karami za ich niespełnienie.
Dyrektywa NIS2 rozszerza zakres podmiotów wchodzących do tzw. systemu cyberbezpieczeństwa, który obecnie obejmuje nie tylko dostawców usług kluczowych, ale także tzw. podmioty kluczowe i ważne. Obejmują one szereg sektorów, takich jak energetyka, transport, bankowość, infrastruktura cyfrowa czy ochrona zdrowia. Znacząco zwiększone będą również obowiązki dotyczące bezpieczeństwa, w tym m.in. konieczność raportowania incydentów oraz zarządzania ryzykiem.
Kto zostanie objęty systemem, musi zgłaszać się samodzielnie, co jest nowym wymogiem. Ustawa przewiduje, że określone firmy będą musiały wdrażać systemy zarządzania bezpieczeństwem informacji, obejmujące systematyczne szacowanie ryzyka oraz stosowanie środków technicznych i organizacyjnych zapewniających bezpieczeństwo. Przykłady takich środków to szyfrowanie, regularne tworzenie kopii zapasowych czy dwuskładnikowe uwierzytelnianie.
Podmioty kluczowe będą miały obowiązek co najmniej raz na trzy lata przeprowadzać audyty systemów informatycznych, a w niektórych przypadkach może być to nakazane przez odpowiednie organy. Istotnie wzrosną sankcje finansowe za niedopełnienie obowiązków związanych z bezpieczeństwem, gdzie dla podmiotów kluczowych mogą one sięgać nawet 10 milionów euro.
Zarówno podmioty kluczowe, jak i ważne będą zobowiązane do szybkiego zgłaszania incydentów. Minimalne terminy to 24 godziny na wczesne ostrzeżenie i 72 godziny na zgłoszenie incydentu poważnego. Dodatkowo, obowiązek poinformowania użytkowników o zaistniałych incydentach cyberbezpieczeństwa zostaje rozszerzony, jeśli mają one wpływ na użytkowników.
Nowe przepisy przewidują również, że w razie wystąpienia incydentu krytycznego, minister cyfryzacji będzie miał prawo wydać tzw. polecenie zabezpieczające, takie jak nakazanie stosowania określonych poprawek bezpieczeństwa czy zakazanie używania produktów stwarzających zagrożenie.
Nadchodzące zmiany wymagają od podmiotów nie tylko inwestycji w środki techniczne i szkolenia personelu, ale również kompleksowego podejścia do polityki bezpieczeństwa informacji. Firmy muszą być przygotowane, aby wdrożyć odpowiednie procesy i procedury, które zapewnią im zgodność z nowymi wymogami prawnymi oraz pozwolą na efektywne reagowanie na zagrożenia w cyberprzestrzeni.
