Cisza przed burzą w polskim biznesie. Tysiące firm ma tylko kilka miesięcy, by uniknąć gigantycznych kar

Unijna dyrektywa NIS2 i nowe obowiązki dla biznesu

Czas pobłażliwości w kwestiach cyfrowego bezpieczeństwa powoli dobiega końca. Już 3 kwietnia w polskim porządku prawnym pojawiła się istotna nowelizacja ustawy o KSC, która stanowi bezpośrednie wdrożenie głośnej, unijnej dyrektywy NIS2 oraz dokumentu Toolbox 5G. Przepisy te znacząco rozszerzają dotychczasowy katalog podmiotów objętych nadzorem i wprowadzają zupełnie nowy podział rynkowy na tzw. podmioty kluczowe oraz podmioty ważne.

Procedury operacyjne i platforma S46 Cyber Hub

Jak miałoby działać nowe rozwiązanie w praktyce? Firmy będą zmuszone do wdrożenia całego szeregu zaawansowanych procedur operacyjnych. Mowa tu między innymi o systematycznym zarządzaniu bezpieczeństwem informacji, regularnej ocenie ryzyka wystąpienia ataków hakerskich na firmy czy też o sprawnym raportowaniu incydentów i łagodzeniu ich skutków. Przedsiębiorstwa uzyskają w zamian pełny dostęp do platformy S46 Cyber Hub, co ma docelowo ułatwić codzienną komunikację z krajowymi zespołami reagowania (CSIRT).

Samoidentyfikacja to podstawa. Kto musi się zarejestrować?

O ile same założenia dotyczące poprawy bezpieczeństwa wydają się całkowicie uzasadnione, o tyle urzędowe procedury potrafią być dla właścicieli firm dość skomplikowane. Według szacunków Ministerstwa Cyfryzacji, system cyberbezpieczeństwa może objąć docelowo nawet 38 tysięcy podmiotów (w tym około 27 tysięcy placówek publicznych).

Należy jednak zauważyć, że państwo w dużej mierze przerzuciło ciężar weryfikacji na sam biznes. Przedsiębiorcy muszą samodzielnie przeprowadzić proces tak zwanej samoidentyfikacji. Oznacza to konieczność dogłębnego sprawdzenia swojego profilu działalności, przypisanych kodów PKD (warto zauważyć, że od ubiegłego roku obowiązuje nowa Polska Klasyfikacja Działalności 2025) oraz wielkości przedsiębiorstwa (wliczając w to spółki powiązane i partnerskie).

Branże objęte ustawą o KSC

Lista branż objętych ustawą jest niezwykle długa – w sektorach kluczowych i ważnych znalazła się m.in. energetyka, transport, bankowość, ochrona zdrowia, gospodarka odpadami, a także produkcja żywności, chemikaliów, maszyn czy sprzętu elektronicznego.

Dwa tryby wpisu. Do kiedy trzeba dopełnić formalności?

Ustawodawca przewidział dwa odrębne tryby wpisu do krajowego systemu. Część firm (głównie podmioty prywatne spełniające odpowiednie kryteria wielkościowe i sektorowe) musi złożyć wniosek samodzielnie, logując się poprzez Węzeł Krajowy na dedykowanej platformie wykaz-ksc.gov.pl. Samorejestracja ruszyła oficjalnie 7 maja, a ostateczny termin na podpisanie i przesłanie dokumentów mija nieubłaganie 3 października.

Wpis z urzędu — dla kogo?

Zupełnie inaczej sytuacja wygląda w przypadku wpisów realizowanych z urzędu. Procedura ta dotyczy między innymi podmiotów publicznych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych oraz firm, które już wcześniej posiadały status operatora usługi kluczowej. Podmioty z tej konkretnej grupy absolutnie nie powinny składać wniosków samodzielnie – muszą jedynie cierpliwie czekać na wezwanie od resortu cyfryzacji, po którym otrzymają równe sześć miesięcy na uzupełnienie swoich danych systemowych.

W praktyce nowe regulacje oznaczają, że każdy właściciel firmy powinien dziś założyć, iż prędzej czy później ktoś będzie próbował dokonać do niej włamania – a brak odpowiednich procedur może oznaczać nie tylko paraliż działalności, ale i wielomilionowe kary.

Obserwuj nas w Google Discover

Podobają Ci się nasze treści?

Google Discover

Obserwuj