Skip to main content
Wyślij zapytanie

      Po głosowaniu w Sejmie oraz przyjęciu przez Senat RP bez poprawek, ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw została przekazana do podpisu Prezydenta RP, co rozpocznie proces jej wejścia w życie.

      Nowelizacja ta, implementująca unijną dyrektywę NIS2, wprowadza szereg istotnych zmian, które będą miały bezpośredni wpływ na funkcjonowanie wielu przedsiębiorstw w Polsce.

      Podział na podmioty kluczowe i ważne

      Jedną z najważniejszych zmian jest zastąpienie dotychczasowych operatorów usług kluczowych oraz dostawców usług cyfrowych nowymi kategoriami: podmiotami kluczowymi oraz podmiotami ważnymi. System obejmie teraz aż szesnaście sektorów, podzielonych na sektory kluczowe i ważne.

      Do sektorów kluczowych zaliczają się:

      • energia,
      • transport,
      • bankowość i infrastruktura rynków finansowych,
      • ochrona zdrowia,
      • zaopatrzenie w wodę pitną i jej dystrybucja,
      • zbiorowe odprowadzanie ścieków,
      • infrastruktura cyfrowa,
      • zarządzanie usługami ICT,
      • przestrzeń kosmiczna,
      • podmioty publiczne (m. in. władza centralna).

      Sektory ważne to:

      • usługi pocztowe,
      • inwestycje energetyki jądrowej,
      • gospodarowanie odpadami,
      • produkcja, wytwarzanie i dystrybucja chemikaliów,
      • produkcja, przetwarzanie i dystrybucja żywności,
      • dostawcy usług cyfrowych,
      • badania naukowe,
      • podmioty publiczne (głównie władzy samorządowej).

      Samodzielna identyfikacja podmiotu

      Warto podkreślić, że zgodnie z nowymi przepisami, każdy podmiot jest zobowiązany do samodzielnej identyfikacji, czy spełnia kryteria podmiotu kluczowego lub ważnego. Efektem tej analizy powinna być decyzja o dokonaniu wpisu do odpowiedniego rejestru podmiotów kluczowych lub ważnych.

      To na przedsiębiorstwie ciąży obowiązek prawidłowej klasyfikacji swojej działalności i zgłoszenia tego faktu do organu nadzorczego.

      Różnice w nadzorze

      Podstawowa różnica między podmiotem kluczowym a ważnym dotyczy nadzoru.

      • Wobec podmiotów kluczowych możliwe są czynności nadzorcze zarówno ex ante (przed wystąpieniem naruszenia), jak i ex post (po wystąpieniu naruszenia).
      • W przypadku podmiotów ważnych nadzór prowadzony jest wyłącznie ex post.

      Nowe obowiązki dla przedsiębiorstw

      Branże objęte nowelizacją będą zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, dostosowanych do skali działania i charakteru świadczonych usług. Wsparciem będzie sieć sektorowych zespołów CSIRT, które będą analizować incydenty, budować bazę wiedzy o zagrożeniach oraz szkolić przedsiębiorców. Nowy system zgłoszeń S46 usprawni wymianę informacji między podmiotami a organami nadzorczymi.

      Odpowiedzialność kierownictwa

      Warto podkreślić, że zgodnie z nowelizacją osobami odpowiedzialnymi za cyberbezpieczeństwo są kierownicy podmiotu – nawet jeśli część obowiązków zostanie przekazana innym osobom.

      Do głównych zadań kierownika podmiotu kluczowego lub ważnego należą:

      1. Decyzje i nadzór nad systemem zarządzania bezpieczeństwem informacji
        Kierownik odpowiada za przygotowanie, wdrożenie, stosowanie, przegląd i rozwój systemu zarządzania bezpieczeństwem informacji.
      2. Planowanie środków finansowych
        Zapewnia odpowiednie, dostosowane do możliwości podmiotu, środki finansowe na realizację obowiązków z zakresu cyberbezpieczeństwa.
      3. Przydzielanie i nadzorowanie zadań
        Przydziela zadania związane z cyberbezpieczeństwem i nadzoruje ich wykonanie.
      4. Budowanie świadomości personelu
        Zapewnia, że personel zna swoje obowiązki i wewnętrzne regulacje dotyczące cyberbezpieczeństwa.
      5. Zapewnienie zgodności z przepisami
        Dba o zgodność działania podmiotu z przepisami prawa oraz regulacjami wewnętrznymi.

      Dodatkowo, osoby kierujące podmiotami kluczowymi lub ważnymi muszą raz w roku przejść szkolenie z zakresu wykonywania zadań związanych z cyberbezpieczeństwem, w tym opracowania systemu zarządzania bezpieczeństwem informacji, zgłaszania incydentów oraz dokumentowania SZBI.

      Najważniejsze obowiązki dla podmiotów

      1) Wdrożenie systemu zarządzania bezpieczeństwem informacji, obejmujące m.in.:

      • regularne szacowanie ryzyka,
      • wdrożenie odpowiednich środków technicznych i organizacyjnych,
      • zarządzanie incydentami,
      • stosowanie środków zapobiegawczych,
      • politykę kontroli dostępu.

      2) Dokumentacja systemu zarządzania bezpieczeństwem informacji (SZBI):

      • przechowywanie dokumentacji,
      • zawartość obejmująca polityki, procedury, plany ciągłości działania, plany awaryjne, polityki kontroli dostępu, polityki i procedury kryptografii, dokumenty związane z zarządzaniem ryzykiem i bezpieczeństwem informacji,
      • dostępność dokumentacji dla osób odpowiedzialnych za zarządzanie bezpieczeństwem oraz personelu,
      • ewidencja i raportowanie incydentów, raporty z audytów, wyniki analiz ryzyka.

      3) Zgłaszanie incydentów:

      • Podmioty kluczowe mają obowiązek zgłaszania incydentów do odpowiednich organów oraz współpracy z CSIRT w zakresie zgłaszania incydentów i wymiany informacji o cyberzagrożeniach.
      • Podmioty ważne muszą zapewnić możliwość zgłaszania cyberzagrożeń i incydentów przez użytkowników oraz zgłaszać poważne incydenty do CSIRT sektorowego w określonych ramach czasowych.

      4) Wycofanie sprzętu lub oprogramowania od dostawców wysokiego ryzyka:

      • Zakaz wprowadzania produktów ICT od dostawców uznanych za wysokiego ryzyka – obowiązek ten dotyczy podmiotów kluczowych i ma na celu zapewnienie bezpieczeństwa systemów informacyjnych.

      Dostawcy wysokiego ryzyka

      Sprzęt lub oprogramowanie od dostawcy wysokiego ryzyka należy wymienić w ciągu 7 lat (lub 4 lat dla największych operatorów telekomunikacyjnych) od ogłoszenia decyzji.
      Dostawcą wysokiego ryzyka może być każdy producent, importer lub dystrybutor, którego produkty, usługi lub procesy ICT stwarzają poważne zagrożenie dla bezpieczeństwa państwa – decyzję podejmuje minister ds. informatyzacji.

      Produkt ICT oznacza „element lub grupę elementów systemów informacyjnych”, obejmując praktycznie wszystkie przypadki oprogramowania oraz urządzeń.

      Usługi ICT to wszelkie działania związane z przetwarzaniem informacji za pośrednictwem systemów informacyjnych.

      Proces ICT to „zestaw czynności wykonywanych w celu projektowania, budowy, rozwijania, dostarczania lub utrzymywania produktów ICT lub usług ICT”.

      Dostawca będzie badany pod kątem:

      • zagrożenia dla podstawowego interesu bezpieczeństwa państwa,
      • ryzyka dla bezpieczeństwa sieci i systemów informatycznych,
      • możliwości nieuprawnionego dostępu, ingerencji lub zakłócenia działania produktów, usług lub procesów ICT,
      • powiązań kapitałowych lub organizacyjnych z państwami uznawanymi za stwarzające zagrożenie dla bezpieczeństwa,
      • dotychczasowej historii działalności dostawcy, w tym incydentów związanych z bezpieczeństwem,
      • zdolności dostawcy do zapewnienia wsparcia technicznego, aktualizacji oraz szybkiego reagowania na podatności,
      • przestrzegania przez dostawcę standardów i norm bezpieczeństwa,
      • transparentności działania dostawcy oraz możliwości audytowania jego produktów i usług.

      Kary za naruszenia

      Nowelizacja przewiduje surowe kary finansowe za naruszenie przepisów:

      • Minimalna kara dla podmiotów kluczowych to 20 000 zł, a dla podmiotów ważnych 15 000 zł.
      • Maksymalna kara nie może przekroczyć 10 000 000 euro (lub 2% przychodów) dla podmiotów kluczowych oraz 7 000 000 euro (lub 1,4% przychodów) dla podmiotów ważnych – stosuje się wyższą z tych wartości.
      • W przypadku poważnych naruszeń zagrażających bezpieczeństwu państwa, zdrowiu lub życiu ludzi, kara może wynieść nawet 100 000 000 zł.

      Podsumowanie

      Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco rozszerza zakres obowiązków i odpowiedzialności przedsiębiorstw w Polsce. Warto już dziś przygotować się do nowych wymagań, aby zapewnić bezpieczeństwo swoich systemów informacyjnych i uniknąć dotkliwych sankcji.

      Jeśli potrzebujesz wsparcia w zakresie wdrożenia nowych obowiązków lub masz wątpliwości co do swojej klasyfikacji – skontaktuj się z naszym zespołem ekspertów.

      Oferujemy m.in.:

      • identyfikację statusu podmiotu jako ważnego lub kluczowego,
      • szkolenia zwiększające świadomość zagrożeń (Cybersecurity Awareness Programs),
      • diagnozę i identyfikację luk bezpieczeństwa,
      • analizę umów i dokumentów z dostawcami pod kątem wymagań dotyczących cyberbezpieczeństwa,
      • opracowanie polityk oraz procedur analizy i zarządzania ryzykiem.

      Nasi eksperci:

      Grzegorz Wójcik
      Grzegorz Wójcik

      Dyrektor, Dział Doradztwa Podatkowego, Zespół ds. Podatku Dochodowego od Osób Prawnych

      KPMG w Polsce

      Kinga Masilunas
      Kinga Masilunas

      Menedżer, Dział Doradztwa Podatkowego, Zespół ds. Podatku Dochodowego od Osób Prawnych

      KPMG w Polsce

      Krzysztof Owsiany
      Krzysztof Owsiany

      Konsultant, Dział Doradztwa Podatkowego, Zespół ds. Podatku Dochodowego od Osób Prawnych

      KPMG w Polsce

      Skontaktuj się z nami


      Dowiedz się więcej, o tym w jaki sposób wiedza i technologia KPMG mogą pomóc Tobie i Twojej firmie.

      Wyślij zapytanie

      Zobacz także

      Wdrażamy spójne systemy zarządzania cyberbezpieczeństwem w przedsiębiorstwach działających w branżach istotnych dla gospodarki.
      Dowiedz się więcej

      Kompleksowe wsparcie podatkowe dla firm – od opracowania strategii po wdrożenie rozwiązań i zapewnienie zgodności z przepisami.
      Dowiedz się więcej

      Usługi poprawiające efektywność funkcjonowania organizacji, zapewniające bezpieczeństwo i napędzające digitalizację.
      Dowiedz się więcej