Dyrektywa NIS2 w praktyce. Co zmienia nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa?

Cyberbezpieczeństwo jako odpowiedzialność biznesowa

Już na początku rozmowy Mateusz Koralnik zwraca uwagę, że dotychczas w wielu firmach cyberbezpieczeństwo bywało traktowane jako kwestia techniczna, a czasem wręcz „sprawa IT”. Dziś, pod wpływem zmian regulacyjnych i dynamiki zagrożeń, następuje „kompletna zmiana narracji”, bo cyberbezpieczeństwo staje się odpowiedzialnością biznesową, również na poziomie zarządu.

Ten wątek rozwija Marcin Kieszkowski, podkreślając, że nowe podejście nie powinno sprowadzać się do formalnego odhaczania wymogów. Chodzi o działający system zarządzania cyberbezpieczeństwem, osadzony w najwyższym kierownictwie i wspierający ochronę procesów oraz kluczowych usług.

Dlaczego NIS2 i nowelizacja ustawy o KSC były konieczne

Karolina Sosnowska przypomina, że pierwsza dyrektywa NIS miała zbudować fundamenty wspólnego podejścia do zarządzania ryzykiem i incydentami w całej Unii Europejskiej. Problem w tym, że w ostatnich latach otoczenie technologiczne i rynkowe zmieniło się radykalnie.

Jak wskazuje Mateusz Koralnik, organizacje są dziś mocniej uzależnione od technologii, usług chmurowych i dostawców zewnętrznych, a jednocześnie rośnie złożoność cyberataków. Pojawiają się nowe techniki, coraz częściej wspierane przez sztuczną inteligencję, a „próg wejścia” dla atakujących jest niski. To powoduje, że cyberodporność staje się krytyczna dla stabilności działania firm.

Skala zmian: więcej sektorów i więcej firm pod presją regulacji

Rozmówcy zwracają uwagę na fundamentalną różnicę względem poprzedniej wersji ustawy: rośnie zarówno zakres sektorowy, jak i skala przedsiębiorstw, które będą objęte wymaganiami. Marcin Kieszkowski podkreśla, że wcześniej regulacja dotyczyła w dużej mierze większych podmiotów, często o wyższym poziomie dojrzałości. Teraz obejmie także organizacje, dla których cyberbezpieczeństwo było obszarem „kompletnie nierozpoznanym”.

Karolina Sosnowska dodaje, że to moment, w którym wiele firm może się zdziwić, bo wcześniej w ogóle nie podlegały podobnym regulacjom. Cyberbezpieczeństwo przestaje być domeną wyłącznie infrastruktury krytycznej, a zaczyna dotyczyć znacznie szerszego rynku.

Podmiot kluczowy i ważny: koniec modelu „regulator wskazuje”

Nowelizacja wprowadza pojęcia podmiotu kluczowego i podmiotu ważnego, zastępując wcześniejszą logikę „operatora usługi kluczowej” wyznaczanego centralnie przez państwo. Marcin Kieszkowski podkreśla znaczenie zrozumienia różnic między kategoriami i obowiązkami, które na nich ciążą.

Kluczowa zmiana dotyczy też sposobu wejścia w system. Jak wyjaśnia Karolina Sosnowska, przechodzimy z modelu, w którym regulator wskazywał podmioty objęte ustawą, do modelu samoidentyfikacji. To organizacja ma przeprowadzić analizę podległości i ocenić, czy kwalifikuje się do objęcia regulacją.

Terminy i narzędzia: 12 miesięcy, rejestracja i system S46

W rozmowie padają konkretne ramy czasowe. Mateusz Koralnik wskazuje, że firmy dostały 12 miesięcy na wdrożenie wymagań, a więc mają czas do 3 kwietnia 2027 roku. Jednocześnie, w określonym oknie czasowym, podmioty mają być zobowiązane do samorejestracji w wykazie podmiotów kluczowych i ważnych w systemie S46, który ma być głównym narzędziem zgłaszania i raportowania incydentów. 

Karolina Sosnowska dopowiada, że choć formalnie mowa o kilkunastu miesiącach, realnie dostosowanie może wymagać więcej czasu, szczególnie w organizacjach, które wcześniej nie zarządzały bezpieczeństwem w sposób dojrzały. „Ten czas już biegnie” i dla wielu firm będzie to intensywny okres zmian.

Zarząd na pierwszej linii: odpowiedzialność personalna i kary

Jednym z najmocniej wybrzmiewających wątków jest odpowiedzialność najwyższego kierownictwa. Marcin Kieszkowski podkreśla, że ustawa zakłada bezpośrednią odpowiedzialność zarządu za obszar cyberbezpieczeństwa, w tym m.in. wyznaczenie pełnomocnika ds. cyberbezpieczeństwa i wdrożenie adekwatnych środków kontrolnych.

W rozmowie padają również progi kar finansowych dla podmiotów kluczowych (do 10 milionów euro lub 2% przychodów za poprzedni rok obrotowy) i ważnych (do 7 milionów euro lub 1,4% obrotu), co ma wzmacniać motywację do podjęcia działań.

Łańcuch dostaw pod lupą: due diligence, umowy i monitoring

Nowelizacja mocno rozwija wątek bezpieczeństwa w relacjach z dostawcami. Marcin Kieszkowski zauważa, że dla części firm będzie to zupełnie nowy obszar, bo wcześniej nie był „zaopiekowany” w tak kompleksowy sposób. Wymagania obejmują cały cykl życia współpracy z dostawcą: od etapu due diligence i zapisów umownych, przez ciągłe monitorowanie, aż po zabezpieczenie momentu zakończenia współpracy, czyli posiadanie strategii wyjścia.

Mateusz Koralnik dodaje, że oznacza to konieczność budowania nowych kompetencji i procesów, zwłaszcza w organizacjach, które dotąd nie postrzegały dostawców jako ważnego elementu cyberodporności.

Incydenty i 24 godziny: procedury trzeba mieć nie tylko „na papierze”

Wątek raportowania incydentów pojawia się jako jedno z największych wyzwań operacyjnych. Marcin Kieszkowski mówi o reżimie czasowym, w którym na „wczesne ostrzeżenie” o incydencie organizacje mają 24 godziny. To wymusza przygotowanie źródeł danych i sposobu analizy zdarzeń tak, aby szybko ocenić, czy incydent ma znamiona poważnego i powinien zostać zgłoszony.

„Uzyskanie zgodności na papierze, czyli stworzenie procesu, jak mamy ten incydent zaraportować, co z nim zrobić, jak opisać, nie wystarczy” – twierdzi jednak Mateusz Koralnik i zaznacza, że niezwykle istotne jest testowanie ustanowionych procedur. „Kiedy mamy realny incydent, to dopiero okazuje się, czy faktycznie wiemy, jakie czynności wykonać, kto za to odpowiada i jak wygląda ścieżka eskalacji” – dodaje Karolina Sosnowska.

Centralizacja i wsparcie sektorowe: CSIRT-y i dostawcy wysokiego ryzyka

Rozmówcy zwracają uwagę na elementy, które wzmacniają centralizację zarządzania incydentami. Pojawia się m.in. rola systemu S46 oraz tworzenie sektorowych CSIRT-ów (Computer Security Incident Response Team), czyli zespołów reagowania na incydenty bezpieczeństwa komputerowego. Marcin Kieszkowski wskazuje, że CSIRT-y mają obsługiwać zgłoszenia incydentów, ale także pełnić funkcję doradczo‑wspierającą, pomagając w dzieleniu się informacjami o zagrożeniach w ramach sektora, a w przypadku rozległych zdarzeń wspierać koordynację na większą skalę.

W rozmowie pada również przykład narzędzia, które może wpływać na rynek technologiczny: możliwość uznania dostawcy za dostawcę wysokiego ryzyka i ograniczenia korzystania z jego usług lub wymuszenia dodatkowych mechanizmów kontrolnych.

Od czego zacząć: podległość, luka, inwentaryzacja i OT

W części praktycznej Karolina Sosnowska podkreśla, że pierwszym krokiem powinna być rzetelna weryfikacja, czy organizacja w ogóle podlega regulacji, w oparciu o skalę działalności, sektor oraz rolę w łańcuchu dostaw. Rozmówcy zwracają też uwagę, że to nie jest jednorazowe ćwiczenie, bo profil działalności może się zmieniać.

Następnie pojawia się analiza luki i inwentaryzacja zasobów. Marcin Kieszkowski wskazuje, że aby ocenić gotowość organizacji, trzeba najpierw dobrze zrozumieć, „co mamy”, szczególnie w obszarze zasobów wspierających usługi kluczowe lub ważne. W rozmowie mocno wybrzmiewa też znaczenie środowisk OT i automatyki przemysłowej, gdzie priorytety bywają inne (np. dostępność), a modernizacja jest kosztowna, co zwiększa wagę odpowiedniej ochrony.

„Papierowa zgodność” nie wystarczy

Na koniec rozmowy Marcin Kieszkowski wraca do kluczowego przesłania. Nowelizacja nie może skończyć się na „papierkach”, które lądują na półce. Obszar ochrony przed cyberzagrożeniami w organizacji powinien być stale doskonalony, bo zagrożenia wciąż się zmieniają.

„To powinien być funkcjonujący system zarządzania cyberbezpieczeństwem, za który bezpośrednio odpowiada zarząd” – podsumowuje ekspert.