Prawo
Przygotowanie do NIS2 i Krajowego Systemu Cyberbezpieczeństwa – nowe obowiązki, wyzwania i szanse
Wielkimi krokami zbliża się nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która wprowadzi do polskiego porządku prawnego założenia unijnej dyrektywy NIS2. Dla wielu przedsiębiorców i instytucji będzie to moment przełomowy – nie tylko ze względu na konieczność wdrożenia nowych procedur, ale również z uwagi na znacząco rozszerzony zakres odpowiedzialności oraz dotkliwe sankcje za niedostosowanie się do wymogów.
Realizacja obowiązków wynikających z NIS2 i KSC może wymagać głębokich zmian organizacyjnych. Bezpieczeństwo ma być efektem zarówno wdrożenia narzędzi informatycznych, jak i świadomego i skutecznego zarządzania organizacją. Wymagane będzie wyznaczenie odpowiedzialnych osób, wdrożenie i egzekwowanie procedur oraz pełne zaangażowanie kierownictwa, które – co warto podkreślić – będzie ponosić osobistą odpowiedzialność za przestrzeganie przepisów.
Kto podlega nowym regulacjom?
Nowe przepisy będą miały zastosowanie do znacznie szerszego grona podmiotów, niż miało to miejsce dotychczas.
Obejmą m.in. przedsiębiorców komunikacji elektronicznej, dostawców usług DNS, IXP, chmurowych, ośrodka przetwarzania danych, rejestracji nazw domen, usług zaufania, usług zarządzanych, a także jednostki samorządu terytorialnego i wybrane instytucje publiczne. Podmioty te zostaną sklasyfikowane jako kluczowe lub ważne, co wiąże się z różnym poziomem obowiązków i katalogiem środków nadzoru. Poprawna identyfikacja własnego statusu w świetle nowych regulacji będzie zatem miała fundamentalne znaczenie. Takiej kwalifikacji należy zatem dokonać w pierwszej kolejności.
Wdrożenie KSC – od czego zacząć?
Choć przedsiębiorcy wdrażają normy ISO dotyczące systemu zarządzania bezpieczeństwem informacji oraz ciągłości działania, trzeba podkreślić, że samo ich wdrożenie może nie wystarczyć. Nawet jeżeli weźmiemy pod uwagę, że w normach ISO pojawia się wątek konieczności zapewnienia działań organizacji z prawem, samo wdrożenie norm ISO tej zgodności nie gwarantuje. Co więcej, warto, aby przedsiębiorcy (w szczególności przedsiębiorcy komunikacji elektronicznej, jak i dostawcy usług społeczeństwa informacyjnego, usług pośrednich – czyli np. hostingu – = produktów ICT, usług ICT czy też produktów z elementami cyfrowymi) zapewnili spójność procedur, które wdrażają wymogi NIS2 i KSC z procedurami wynikającymi z innych aktów prawnych, takich jak Prawo komunikacji elektronicznej, aktu o usługach cyfrowych czy aktu o cyberodporności.
Punktem wyjścia we wdrażaniu KSC powinno być kompleksowe rozpoznanie sytuacji wewnętrznej organizacji. Obejmuje to m.in. identyfikację zasobów, mapowanie procesów wewnętrznych i aktualnych praktyk w zakresie cyberbezpieczeństwa oraz relacji z podmiotami zewnętrznymi. Kluczowe jest wykonanie analizy ryzyka, opartej na analizie SWOT, która pozwoli zrozumieć zarówno zagrożenia zewnętrzne, jak i słabe punkty wewnętrzne organizacji. Dopiero na tej podstawie można projektować konkretne działania – zarówno techniczne (np. monitoring systemów), jak i organizacyjne (np. wyznaczenie odpowiedzialnych osób, przyjęcie i wdrożenie procedur). Takie podejście pozwala na wdrożenie rozwiązań właściwie dopasowanych do danej organizacji, co zwiększa skuteczność oraz pozwala ograniczyć koszty wynikające ze stosowania środków zbędnych lub nieadekwatnych.
W celu przeprowadzenia efektywnego wdrożenia warto zaangażować zespół złożony z prawników, audytorów oraz specjalistów IT, którzy będą współpracować z kierownictwem. Niezwykle istotne jest bowiem faktyczne stosowanie ustalonych procedur: ich przestrzeganie będzie podlegać kontroli. Należy z całą mocą podkreślić, że kontrole będą skupiać się nie tylko na istnieniu procedur, ale również na dowodach ich faktycznego stosowania.
Mimo pewnego progu trudności nowelizacja przepisów nie musi być jednak wyłącznie obciążeniem. To również okazja do uporządkowania procesów wewnętrznych, zwiększenia odporności organizacji na zagrożenia cyfrowe i zbudowania trwałej kultury bezpieczeństwa.
Chcesz wiedzieć więcej? Dowiedz się, czy Twoja organizacja podlega NIS2 i jak rozpocząć wdrażanie KSC!
Jeśli chcesz dowiedzieć się więcej o tym:
– które usługi podlegają regulacjom NIS2,
– jak ustalić, czy organizacja jest podmiotem kluczowym czy ważnym,
– od czego zacząć wdrożenie przepisów, by zapewnić zgodność i bezpieczeństwo,
to nie może Cię zabraknąć na wystąpieniu pt. „Przygotowanie do NIS2 i KSC”, które odbędzie się 26 maja 2025 r. o godzinie 12.30 (Scena II Prawna).
Wystąpienie przeprowadzi Kinga Pawłowska-Nojszewska z Kancelarii Prawnej Media – radca prawny z rozległym doświadczeniem w doradztwie z zakresu cyberbezpieczeństwa, w tym na rzecz klientów objętych obowiązującymi od 2018 roku przepisami ustawy KSC.
To doskonała okazja, by uzyskać praktyczne wskazówki, które pomogą nie tylko lepiej zrozumieć przepisy, ale przede wszystkim przygotować organizację na nadchodzące obowiązki.
